Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Identity and Access Management para Amazon OpenSearch Ingestion
AWS Identity and Access Management (IAM) es una Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a los AWS recursos. IAMlos administradores controlan quién puede autenticarse (iniciar sesión) y quién puede autorizarse (tener permisos) para usar los recursos de OpenSearch Ingestion. IAMes una Servicio de AWS que puede utilizar sin coste adicional.
Temas
- Políticas de ingestión basadas en la identidad OpenSearch
- Acciones políticas para la ingestión OpenSearch
- Recursos de políticas para la ingestión OpenSearch
- Claves de condición de la política para Amazon OpenSearch Ingestion
- ABACcon Ingestión OpenSearch
- Uso de credenciales temporales con Ingestion OpenSearch
- Funciones vinculadas al servicio para Ingestion OpenSearch
- Ejemplos de políticas de ingestión basadas en la identidad OpenSearch
Políticas de ingestión basadas en la identidad OpenSearch
Compatibilidad con las políticas basadas en identidad: sí
Las políticas basadas en la identidad son documentos de política de JSON permisos que se pueden adjuntar a una identidad, como un IAM usuario, un grupo de usuarios o un rol. Estas políticas controlan qué acciones puedes realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener información sobre cómo crear una política basada en la identidad, consulte Definir IAM permisos personalizados con políticas administradas por el cliente en la Guía del usuario. IAM
Con las políticas IAM basadas en la identidad, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. No es posible especificar la entidad principal en una política basada en identidad porque se aplica al usuario o rol al que está adjunto. Para obtener más información sobre todos los elementos que puede utilizar en una JSON política, consulte la referencia sobre los elementos de la IAM JSON política en la Guía del IAMusuario.
Ejemplos de políticas de ingestión basadas en la identidad OpenSearch
Para ver ejemplos de políticas de OpenSearch ingestión basadas en la identidad, consulte. Ejemplos de políticas de ingestión basadas en la identidad OpenSearch
Acciones políticas para la ingestión OpenSearch
Compatibilidad con las acciones de política: sí
El Action elemento de una JSON política describe las acciones que puede utilizar para permitir o denegar el acceso a una política. Las acciones de política suelen tener el mismo nombre que la AWS API operación asociada. Hay algunas excepciones, como las acciones que solo permiten permisos y que no tienen una operación coincidente. API También hay algunas operaciones que requieren varias acciones en una política. Estas acciones adicionales se denominan acciones dependientes.
Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Las acciones políticas de OpenSearch Ingestión utilizan el siguiente prefijo antes de la acción:
osis
Para especificar varias acciones en una única instrucción, sepárelas con comas.
"Action": [ "osis:action1", "osis:action2" ]
Puede especificar varias acciones utilizando caracteres comodín (*). Por ejemplo, para especificar todas las acciones que comiencen con la palabra List, incluya la siguiente acción:
"Action": "osis:List*"
Para ver ejemplos de políticas de OpenSearch ingestión basadas en la identidad, consulte. Ejemplos de políticas basadas en la identidad para Serverless OpenSearch
Recursos de políticas para la ingestión OpenSearch
Compatibilidad con los recursos de políticas: sí
Los administradores pueden usar AWS JSON políticas para especificar quién tiene acceso a qué. Es decir, qué entidad principal puedes realizar acciones en qué recursos y en qué condiciones.
El elemento Resource JSON de política especifica el objeto o los objetos a los que se aplica la acción. Las instrucciones deben contener un elemento Resource o NotResource. Como práctica recomendada, especifique un recurso mediante su nombre de recurso de Amazon (ARN). Puedes hacerlo para acciones que admitan un tipo de recurso específico, conocido como permisos de nivel de recurso.
Para las acciones que no admiten permisos de nivel de recurso, como las operaciones de descripción, utiliza un carácter comodín (*) para indicar que la instrucción se aplica a todos los recursos.
"Resource": "*"
Claves de condición de la política para Amazon OpenSearch Ingestion
Compatibilidad con claves de condición de políticas específicas del servicio: no
Los administradores pueden usar AWS JSON las políticas para especificar quién tiene acceso a qué. Es decir, qué entidad principal puedes realizar acciones en qué recursos y en qué condiciones.
El elemento Condition (o bloque de Condition) permite especificar condiciones en las que entra en vigor una instrucción. El elemento Condition es opcional. Puedes crear expresiones condicionales que utilizan operadores de condición, tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud.
Si especifica varios elementos de Condition en una instrucción o varias claves en un único elemento de Condition, AWS las evalúa mediante una operación AND lógica. Si especifica varios valores para una única clave de condición, AWS evalúa la condición mediante una OR operación lógica. Se deben cumplir todas las condiciones antes de que se concedan los permisos de la instrucción.
También puedes utilizar variables de marcador de posición al especificar condiciones. Por ejemplo, puede conceder a un IAM usuario permiso para acceder a un recurso solo si está etiquetado con su nombre de IAM usuario. Para obtener más información, consulte los elementos IAM de la política: variables y etiquetas en la Guía del IAM usuario.
AWS admite claves de condición globales y claves de condición específicas del servicio. Para ver todas las claves de condición AWS globales, consulte las claves de contexto de condición AWS globales en la Guía del IAMusuario.
Para ver una lista de claves de condición de OpenSearch ingesta, consulta Claves de condición de Amazon OpenSearch Ingestion en la Referencia de autorización de servicio. Para saber con qué acciones y recursos puede utilizar una clave de condición, consulte Acciones definidas por Amazon OpenSearch Ingestion.
ABACcon Ingestión OpenSearch
Soportes ABAC (etiquetas en las políticas): Sí
El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define los permisos en función de los atributos. En AWS, estos atributos se denominan etiquetas. Puede adjuntar etiquetas a IAM entidades (usuarios o roles) y a muchos AWS recursos. Etiquetar entidades y recursos es el primer paso deABAC. Luego, diseñe ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso al que está intentando acceder.
ABACes útil en entornos de rápido crecimiento y ayuda en situaciones en las que la administración de políticas se vuelve engorrosa.
Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el elemento de condición de una política utilizando las claves de condición aws:ResourceTag/, key-nameaws:RequestTag/ o key-nameaws:TagKeys.
Si un servicio admite las tres claves de condición para cada tipo de recurso, el valor es Sí para el servicio. Si un servicio admite las tres claves de condición solo para algunos tipos de recursos, el valor es Parcial.
Para obtener más informaciónABAC, consulte Definir permisos con ABAC autorización en la Guía del IAM usuario. Para ver un tutorial con los pasos de configuraciónABAC, consulte Usar el control de acceso basado en atributos (ABAC) en la Guía del IAMusuario.
Para obtener más información sobre el etiquetado de los recursos de OpenSearch ingestión, consulte. Etiquetado de canalizaciones de Amazon OpenSearch Ingestion
Uso de credenciales temporales con Ingestion OpenSearch
Compatibilidad con credenciales temporales: sí
Algunas Servicios de AWS no funcionan cuando inicias sesión con credenciales temporales. Para obtener información adicional, incluida la información sobre cuáles Servicios de AWS funcionan con credenciales temporales, consulta Servicios de AWS la guía del IAM usuario sobre cómo trabajar con IAM ellas.
Está utilizando credenciales temporales si inicia sesión en ellas AWS Management Console mediante cualquier método excepto un nombre de usuario y una contraseña. Por ejemplo, cuando accedes AWS mediante el enlace de inicio de sesión único (SSO) de tu empresa, ese proceso crea automáticamente credenciales temporales. También crea credenciales temporales de forma automática cuando inicia sesión en la consola como usuario y luego cambia de rol. Para obtener más información sobre el cambio de rol, consulte Cambiar de un rol de usuario a un IAM rol (consola) en la Guía del IAMusuario.
Puede crear credenciales temporales manualmente con la tecla AWS CLI o AWS API. A continuación, puede utilizar esas credenciales temporales para acceder AWS. AWS recomienda generar credenciales temporales de forma dinámica en lugar de utilizar claves de acceso a largo plazo. Para obtener más información, consulte Credenciales de seguridad temporales en IAM.
Funciones vinculadas al servicio para Ingestion OpenSearch
Admite roles vinculados al servicio: sí
Un rol vinculado a un servicio es un tipo de rol de servicio que está vinculado a un. Servicio de AWS El servicio puedes asumir el rol para realizar una acción en su nombre. Los roles vinculados al servicio aparecen en usted Cuenta de AWS y son propiedad del servicio. Un IAM administrador puede ver los permisos de los roles vinculados al servicio, pero no editarlos.
OpenSearch Ingestion utiliza un rol vinculado a un servicio denominado. AWSServiceRoleForAmazonOpenSearchIngestionService El rol vinculado al servicio denominado también AWSServiceRoleForOpensearchIngestionSelfManagedVpce está disponible para canalizaciones con puntos finales autogestionados. VPC Para obtener más información sobre la creación y la administración de funciones vinculadas al servicio de OpenSearch ingestión, consulte. Uso de roles vinculados a servicios para crear canalizaciones de ingestión OpenSearch
Ejemplos de políticas de ingestión basadas en la identidad OpenSearch
De forma predeterminada, los usuarios y los roles no tienen permiso para crear o modificar OpenSearch los recursos de ingestión. Tampoco pueden realizar tareas con AWS Management Console, AWS Command Line Interface (AWS CLI) o AWS API. Para conceder a los usuarios permiso para realizar acciones en los recursos que necesitan, un IAM administrador puede crear IAM políticas. A continuación, el administrador puede añadir las IAM políticas a las funciones y los usuarios pueden asumir las funciones.
Para obtener información sobre cómo crear una política IAM basada en la identidad mediante estos documentos de JSON política de ejemplo, consulte Crear IAM políticas (consola) en la Guía del IAMusuario.
Para obtener más información sobre las acciones y los tipos de recursos definidos por Amazon OpenSearch Ingestion, incluido el formato de cada uno de los tipos de recursos, consulte Acciones, recursos y claves de condición de Amazon OpenSearch Ingestion en la Referencia de autorización de servicio. ARNs
Temas
Prácticas recomendadas sobre las políticas
Las políticas basadas en identidad son muy eficaces. Determinan si alguien puede crear, eliminar o acceder a los recursos de OpenSearch Ingestion de su cuenta. Estas acciones puedes generar costes adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
Las políticas basadas en la identidad determinan si alguien puede crear recursos de OpenSearch ingestión de tu cuenta, acceder a ellos o eliminarlos. Estas acciones puedes generar costes adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
-
Comience con las políticas AWS administradas y opte por los permisos con privilegios mínimos: para empezar a conceder permisos a sus usuarios y cargas de trabajo, utilice las políticas AWS administradas que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Para obtener más información, consulte las políticas AWS gestionadas o las políticas AWS gestionadas para las funciones laborales en la Guía del IAM usuario.
-
Aplique permisos con privilegios mínimos: cuando establezca permisos con IAM políticas, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se puedes llevar a cabo en determinados recursos en condiciones específicas, también conocidos como permisos de privilegios mínimos. Para obtener más información sobre cómo IAM aplicar permisos, consulte Políticas y permisos IAM en la IAM Guía del usuario.
-
Utilice las condiciones en IAM las políticas para restringir aún más el acceso: puede añadir una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de política para especificar que todas las solicitudes deben enviarse medianteSSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo AWS CloudFormation. Para obtener más información, consulte los elementos IAM JSON de la política: Condición en la Guía del IAM usuario.
-
Utilice IAM Access Analyzer para validar sus IAM políticas y garantizar permisos seguros y funcionales: IAM Access Analyzer valida las políticas nuevas y existentes para que se ajusten al lenguaje de las políticas (JSON) y IAM a las IAM mejores prácticas. IAMAccess Analyzer proporciona más de 100 comprobaciones de políticas y recomendaciones prácticas para ayudarle a crear políticas seguras y funcionales. Para obtener más información, consulte Validar políticas con IAM Access Analyzer en la Guía del IAM usuario.
-
Requerir autenticación multifactorial (MFA): si se encuentra en una situación en la que se requieren IAM usuarios o un usuario raíz Cuenta de AWS, actívela MFA para aumentar la seguridad. Para solicitarlo MFA cuando se convoque a API las operaciones, añada MFA condiciones a sus políticas. Para obtener más información, consulte APIAcceso seguro con MFA en la Guía del IAM usuario.
Para obtener más información sobre las prácticas recomendadasIAM, consulte las prácticas recomendadas de seguridad IAM en la Guía del IAM usuario.
Uso OpenSearch de Ingestion en la consola
Para acceder a OpenSearch Ingestion desde la consola de OpenSearch servicio, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y ver detalles sobre los recursos de OpenSearch Ingestion de su AWS cuenta. Si creas una política basada en la identidad que sea más restrictiva que los permisos mínimos requeridos, la consola no funcionará según lo previsto para las entidades (como los IAM roles) que cuenten con esa política.
No es necesario que concedas permisos mínimos de consola a los usuarios que solo realicen llamadas a la AWS CLI o a. AWS API En su lugar, permita el acceso únicamente a las acciones que coincidan con la API operación que está intentando realizar.
La siguiente política permite al usuario acceder a OpenSearch Ingestion desde la consola de OpenSearch servicio:
{ "Version": "2012-10-17", "Statement": [ { "Resource": "*", "Effect": "Allow", "Action": [ "osis:ListPipelines", "osis:GetPipeline", "osis:ListPipelineBlueprints", "osis:GetPipelineBlueprint", "osis:GetPipelineChangeProgress" ] } ] }
Como alternativa, puede utilizar la política Acceso de solo lectura a Amazon OpenSearchingestion AWS gestionada, que concede acceso de solo lectura a todos los recursos de OpenSearch Ingestion durante un período de tiempo. Cuenta de AWS
Administrar los canales de ingestión OpenSearch
Esta política es un ejemplo de política de «administración de canalizaciones» que permite a un usuario gestionar y administrar las canalizaciones de Amazon OpenSearch Ingestion. El usuario puede crear, ver y eliminar canalizaciones.
{ "Version": "2012-10-17", "Statement": [ { "Resource": "arn:aws:osis:region:123456789012:pipeline/*", "Action": [ "osis:CreatePipeline", "osis:DeletePipeline", "osis:UpdatePipeline", "osis:ValidatePipeline", "osis:StartPipeline", "osis:StopPipeline" ], "Effect": "Allow" }, { "Resource": "*", "Action": [ "osis:ListPipelines", "osis:GetPipeline", "osis:ListPipelineBlueprints", "osis:GetPipelineBlueprint", "osis:GetPipelineChangeProgress" ], "Effect": "Allow" } ] }
Ingerir datos en una canalización de ingestión OpenSearch
Este ejemplo de política permite a un usuario u otra entidad ingerir datos en una canalización de Amazon OpenSearch Ingestion de su cuenta. El usuario no puede modificar las canalizaciones.
{ "Version": "2012-10-17", "Statement": [ { "Resource": "arn:aws:osis:region:123456789012:pipeline/*", "Action": [ "osis:Ingest" ], "Effect": "Allow" } ] }
