在Amazon OpenSearch Service中,主用户的配置可以通过三种方式进行:用户名和密码组合、IAM角色,以及通过第三方联合登录。这样的配置授权主用户在OpenSearch仪表板上进行内部用户、角色和角色映射的创建。需要注意的是,OpenSearch Service在任何时候只能支持一种仪表板认证方式。因此,尽管IAM主用户配置主要用于通过Cognito进行身份验证和管理,但这并不影响通过SDK对集群进行操作的能力。在使用SDK进行集群操作时,我们应确保将其与仪表板的认证配置区分开来,避免混淆两者的功能和用途。
这种设置设计旨在确保用户可以根据自己的安全需求和操作习惯选择合适的身份验证方法,同时通过Cognito集成增强安全性和用户管理的灵活性。这样,无论是直接操作集群还是通过仪表板管理用户和权限,用户都能有明确的操作路径和安全保障。
主用户设置内部数据库
- 内部数据库:基本HTTP验证
- IAM: 需要在dashboard中添加all_access,使用编程方式访问
-
SAML:未开启
主用户设置IAM身份
-
内部数据库:报错Invalid username or password. Please try again(基本HTTP被禁用 - IAM: 使用编程方式访问。如果要使用 IAM 进行用户管理,请使用 为 OpenSearch 控制面板配置 Amazon Cognito 认证 访问控制面板。否则,控制面板将显示一个不起作用的登录页面。从内部用户数据库切换到 IAM 主用户不从内部用户数据库中删除任何用户。相反,它只是禁用 HTTP 基本身份验证。
-
SAML:未开启
主用户设置SAML
-
内部数据库:基本HTTP被禁用 - IAM: 需要在dashboard中添加all_access,使用编程方式访问。Cognito认证需要禁用。
- SAML:仪表板的 SAML 身份验证仅适用于通过 Web 浏览器访问 OpenSearch 仪表板。您的 SAML 凭据不允许您直接向 OpenSearch 或控制面板 API 发出 HTTP 请求。
