Comment puis-je déléguer l'accès à OpenSearch Service sur des comptes AWS à l'aide de rôles IAM ?
Je souhaite partager les ressources Amazon OpenSearch Service de mon compte AWS avec les utilisateurs d'un autre compte.
Brève description
Effectuez les étapes suivantes pour permettre aux utilisateurs d'utiliser un rôle AWS Identity and Access Management (IAM ) pour accéder aux ressources de votre domaine :
- Créez un rôle dans le compte A autorisé à accéder au domaine cible.
- Créez un utilisateur sous le compte B autorisé à endosser un rôle dans le compte A.
- Accordez l'accès aux utilisateurs du compte B pour qu'ils puissent changer de rôle afin d'accéder au domaine cible.
Remarque : Le compte A est le compte sur lequel réside le domaine cible. Le compte B est le compte à partir duquel les utilisateurs accèdent au poste d'enregistrement central.
Résolution
Remarque : Si vous recevez des erreurs lors de l'exécution des commandes de l'interface de la ligne de commande AWS (AWS CLI), vérifiez que vous utilisez la version la plus récente de l'AWS CLI.
Créer un rôle et accorder des autorisations pour gérer votre domaine
Créez un rôle IAM et accordez des autorisations pour permettre aux utilisateurs de gérer votre domaine.
Dans cet exemple, un rôle nommé CrossAccount-Test est créé et accorde des autorisations complètes pour gérer le test du domaine.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "es:*" ], "Resource": "arn:aws:es:<Region>:<Account A-ID>:domain/test/*" }] }
Modifier la relation de confiance du rôle
Modifiez la relation de confiance du rôle. Dans cet exemple, il s'agit de CrossAccount-Test.
Remarque : Remplacez ID du compte B et nom d'utilisateur par l'ID du compte B et votre nom d'utilisateur.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "es.amazonaws.com", "AWS": ["arn:aws:iam::<Account B-ID>:root", "arn:aws:iam::<Account B-ID>:user/<User Name>"] }, "Action": "sts:AssumeRole" }] }
Accorder l'accès aux utilisateurs du compte B
Dans le compte B, créez un utilisateur ou un groupe avec les autorisations suivantes :
Remarque : Remplacez ID du compte A par l'identifiant du compte A.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::<Account A-ID>:role/<CrossAccount-test>" } }
L'ajout de cette instruction de politique autorise l'action de l'API AssumeRole sur le rôle CrossAccount-Test dans le compte A.
Modifier la politique d'accès au service OpenSearch pour autoriser le rôle à accéder au domaine
Autorisez ce rôle à accéder à votre domaine.
Modifiez la politique d'accès au service OpenSearch et entrez les informations suivantes :
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::<Account A-ID>:role/<CrossAccount-test>" ] }, "Action": "es:*", "Resource": "arn:aws:es:<region>:<Account A-ID>:domain/<Domain Name>/*" }] }
Changer de rôle pour tester l'accès
Changez de rôle pour tester l'accès :
- Copiez l'ARN de CrossAccount-Test dans votre presse-papiers.
- Utilisez la console de gestion AWS pour vous connecter au compte B.
- Dans l'onglet Utilisateur, choisissez Changer de rôle dans la liste déroulante.
- Sur la page Changer de rôle, entrez l'ID du compte A et le nom du rôle. Dans cet exemple, le nom du rôle est CrossAccount-Test.
- Choisissez Changer de rôle.
Remarque : Si le compte B fonctionne dans l'environnement du compte A sur la ligne de commande, vous pouvez utiliser l'interface de la ligne de commande AWS (AWS CLI) pour changer de rôle. Pour plus d'informations, consultez Changer de rôle (AWS CLI).
Informations connexes
Logique d'évaluation des politiques entre comptes
Gestion des identités et des accès dans Amazon OpenSearch Service
Contenus pertinents
- demandé il y a 9 mois
- demandé il y a 10 mois
- demandé il y a un an
- demandé il y a un an
- AWS OFFICIELA mis à jour il y a un an
- AWS OFFICIELA mis à jour il y a un an
