本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon OpenSearch Serverless 的 IAM Identity Center 支援
<a name="serverless-iam-identity-center"></a>

## Amazon OpenSearch Serverless 的 IAM Identity Center 支援
<a name="serverless-iam-identity-support"></a>

您可以使用 IAM Identity Center 主體 （使用者和群組） 透過 Amazon OpenSearch 應用程式存取 Amazon OpenSearch Serverless 資料。若要啟用 Amazon OpenSearch Serverless 的 IAM Identity Center 支援，您需要啟用 IAM Identity Center 的使用。若要進一步了解如何執行此操作，請參閱[什麼是 IAM Identity Center？](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)

**注意**  
若要使用 IAM Identity Center 使用者或群組存取 Amazon OpenSearch Serverless 集合，您必須使用 OpenSearch UI （應用程式） 功能。不支援使用 IAM Identity Center 登入資料直接存取 OpenSearch Serverless Dashboards。如需詳細資訊，請參閱 [ OpenSearch 使用者介面入門](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/application.html)。

建立 IAM Identity Center 執行個體之後，客戶帳戶管理員需要為 Amazon OpenSearch Serverless 服務建立 IAM Identity Center 應用程式。這可以透過呼叫 [CreateSecurityConfig 來完成](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateSecurityConfig.html)。客戶帳戶管理員可以指定要用於授權請求的屬性。使用的預設屬性為 `UserId`和 `GroupId.`

Amazon OpenSearch Serverless 的 IAM Identity Center 整合使用以下 AWS IAM Identity Center (IAM) 許可：
+ `aoss:CreateSecurityConfig` – 建立 IAM Identity Center 供應商
+ `aoss:ListSecurityConfig` – 列出目前帳戶中的所有 IAM Identity Center 供應商。
+ `aoss:GetSecurityConfig` – 檢視 IAM Identity Center 提供者資訊。
+ `aoss:UpdateSecurityConfig` – 修改指定的 IAM Identity Center 組態
+ `aoss:DeleteSecurityConfig` – 刪除 IAM Identity Centerprovider。

下列身分型存取政策可用於管理所有 IAM Identity Center 組態：

------
#### [ JSON ]

****  

```
{
"Version": "2012-10-17",
    "Statement": [
        {
"Action": [
                "aoss:CreateSecurityConfig",
                "aoss:DeleteSecurityConfig",
                "aoss:GetSecurityConfig",
                "aoss:UpdateSecurityConfig",
                "aoss:ListSecurityConfigs"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

------

**注意**  
`Resource` 元素必須是萬用字元。

## 建立 IAM Identity Center 提供者 （主控台）
<a name="serverless-iam-console"></a>

您可以建立 IAM Identity Center 提供者，以使用 OpenSearch 應用程式啟用身分驗證。若要啟用 OpenSearch Dashboards 的 IAM Identity Center 身分驗證，請執行下列步驟：

1. 登入 [Amazon OpenSearch Service](https://console.aws.amazon.com/aos/home.) 主控台。

1. 在左側導覽面板上，展開**無伺服器**並選擇**身分驗證**。

1. 選擇** IAM Identity Center 身分驗證**。

1. 選取**編輯**

1. 勾選使用 IAM Identity Center 驗證旁的方塊。

1. 從下拉式選單中選取**使用者和群組**屬性索引鍵。使用者屬性將用於根據 `UserName`、 `UserId`和 授權使用者`Email`。群組屬性將用於根據 `GroupName`和 對使用者進行身分驗證`GroupId`。

1. 選取 **IAM Identity Center** 執行個體。

1. 選取**儲存**

## 建立 IAM Identity Center 提供者 (AWS CLI)
<a name="serverless-iam-identity-center-cli"></a>

若要使用 AWS Command Line Interface (AWS CLI) 建立 IAM Identity Center 提供者，請使用下列命令：

```
aws opensearchserverless create-security-config \
--region us-east-2 \
--name "iamidentitycenter-config" \
--description "description" \
--type "iamidentitycenter" \
--iam-identity-center-options '{
    "instanceArn": "arn:aws:sso:::instance/ssoins-99199c99e99ee999",
    "userAttribute": "UserName",                  
    "groupAttribute": "GroupId"
}'
```

啟用 IAM Identity Center 之後，客戶只能修改**使用者和群組**屬性。

```
aws opensearchserverless update-security-config \
--region us-east-1 \
--id <id_from_list_security_configs> \
--config-version <config_version_from_get_security_config> \
--iam-identity-center-options-updates '{
    "userAttribute": "UserId",
    "groupAttribute": "GroupId"
}'
```

若要使用 檢視 IAM Identity Center 供應商 AWS Command Line Interface，請使用下列命令：

```
aws opensearchserverless list-security-configs --type iamidentitycenter
```

## 刪除 IAM Identity Center 供應商
<a name="serverless-iam-identity-center-deleting"></a>

 IAM Identity Center 提供兩個提供者執行個體，一個用於您的組織帳戶，另一個用於您的成員帳戶。如果您需要變更 IAM Identity Center 執行個體，則需要透過 `DeleteSecurityConfig` API 刪除安全組態，並使用新的 IAM Identity Center 執行個體建立新的安全組態。下列命令可用來刪除 IAM Identity Center 提供者：

```
aws opensearchserverless delete-security-config \
--region us-east-1 \
--id <id_from_list_security_configs>
```

## 授予 IAM Identity Center 對集合資料的存取權
<a name="serverless-iam-identity-center-collection-data"></a>

啟用 IAM Identity Center 提供者後，您可以更新集合資料存取政策，以包含 IAM Identity Center 主體。IAM Identity Center 主體需要以下列格式更新：

```
[
   {
"Rules":[
       ...  
      ],
      "Principal":[
         "iamidentitycenter/<iamidentitycenter-instance-id>/user/<UserName>",
         "iamidentitycenter/<iamidentitycenter-instance-id>/group/<GroupId>"
      ]
   }
]
```

**注意**  
Amazon OpenSearch Serverless 為所有客戶集合僅支援一個 IAM Identity Center 執行個體，且單一使用者最多可支援 100 個群組。如果您嘗試使用超過允許的執行個體數量，您會遇到與資料存取政策授權處理不一致的情況，並收到`403`錯誤訊息。

您可以授予對集合、索引或兩者的存取權。如果您希望不同的使用者具有不同的權限，則需要建立多個規則。如需可用許可的清單，請參閱 [Amazon OpenSearch Service 中的 Identity and Access Management](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html)。如需如何格式化存取政策的資訊，請參閱[授予 SAML 身分對集合資料的存取權。 ](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-saml.html#serverless-saml-policies)