Mit OpenSearch-IAM-Policys suchen
Erfahren Sie mehr über die erforderlichen IAM-Policys und Berechtigungsdetails für die Suche mit OpenSearch.
Benutzerberechtigungen
Um ein Cluster zu erstellen oder zu verwalten, müssen Sie Berechtigungen konfigurieren, um Benutzern Zugriff zum Erstellen und Verwalten der erforderlichen Networkingressourcen zu erteilen. Außerdem müssen Benutzerberechtigungen zum Erstellen und Verwalten der Suche mit OpenSearch-Ressourcen erteilt werden. Die Networkingberechtigungen müssen für das Compartment konfiguriert werden, das die Networkingressourcen enthält. Wenn sich das Cluster also in einem anderen Compartment als VCN und Subnetz befindet, stellen Sie sicher, dass die Networkingberechtigungen für das Compartment konfiguriert sind, das das VCN und das Subnetz enthält.
Das folgende Policy-Beispiel enthält die erforderlichen Berechtigungen für eine benutzerdefinierte Gruppe SearchOpenSearchAdmins:
Allow group SearchOpenSearchAdmins to manage vnics in compartment <NETWORK_RESOURCES_COMPARTMENT>
Allow group SearchOpenSearchAdmins to manage vcns in compartment <NETWORK_RESOURCES_COMPARTMENT>
Allow group SearchOpenSearchAdmins to manage subnets in compartment <NETWORK_RESOURCES_COMPARTMENT>
Allow group SearchOpenSearchAdmins to use network-security-groups in compartment <NETWORK_RESOURCES_COMPARTMENT>
Allow group SearchOpenSearchAdmins to manage opensearch-family in compartment <CLUSTER_RESOURCES_COMPARTMENT>Die Gruppe
SearchOpenSearchAdmins in diesem Beispiel bezieht sich auf eine benutzerdefinierte Gruppe, die Sie erstellen. Weitere Informationen finden Sie unter Gruppen verwalten.Die in diesem Beispiel enthaltenen Berechtigungen für Netzwerkressourcen sind wie angegeben erforderlich. Sie können die Berechtigungen für die Suche mit OpenSearch-Ressourcen, die in der letzten Zeile in diesem Beispiel angegeben sind, mit mehr Granularität konfigurieren.
Integration von ONS in Search mit OpenSearch
Das folgende Policy-Beispiel enthält die erforderlichen Berechtigungen für die Integration von Oracle Notification Service (ONS) mit Search mit OpenSearch:
Allow any-user to manage ons-topics in tenancy where all {request.principal.type='opensearchcluster',request.resource.compartment.id='<YOUR_COMPARTMENT>'}Ressourcentypen
Bei der Suche mit OpenSearch werden sowohl aggregierte als auch individuelle Ressourcentypen zum Schreiben der Policys angeboten.
- Aggregierter Ressourcentyp
-
opensearch-family - Einzelne Ressourcentypen
-
opensearch-clusters opensearch-cluster-backups opensearch-work-requests
Mit dem aggregierten Ressourcentyp können Sie weniger Policys schreiben. Eine Policy, die opensearch-family verwendet, entspricht dem Schreiben einer Police mit separaten Anweisungen für die einzelnen individuellen Ressourcentypen.
Beispiel-Policys
Die folgende Policy erteilt Zugriff auf die Gruppe SearchOpenSearchAdmins, um alle OCI mit Search mit OpenSearch-Ressourcen zu erstellen und zu verwalten.
Die Gruppe
SearchOpenSearchAdmins in diesen Beispielen bezieht sich auf eine benutzerdefinierte Gruppe, die Sie erstellen. Weitere Informationen finden Sie unter Gruppen verwalten.Allow group SearchOpenSearchAdmins to manage opensearch-family in compartment <YOUR_COMPARTMENT>Um den Zugriff auf einen einzelnen Ressourcentyp einzuschränken, verwenden Sie eine der folgenden Policys:
Allow group SearchOpenSearchAdmins to manage opensearch-clusters in compartment <YOUR_COMPARTMENT>Allow group SearchOpenSearchAdmins to manage opensearch-cluster-backups in compartment <YOUR_COMPARTMENT>Allow group SearchOpenSearchAdmins to manage opensearch-work-requests in compartment <YOUR_COMPARTMENT>Wenn Sie mit Policys nicht vertraut sind, finden Sie weitere Informationen unter Erste Schritte mit Policys und Allgemeine Policys.
Für API-Vorgänge erforderliche Berechtigungen
In der folgenden Tabelle werden die API-Vorgänge in einer logischen Reihenfolge nach Ressourcentyp gruppiert aufgeführt.
| API-Vorgang | Für den Vorgang erforderliche Berechtigungen |
|---|---|
BackupElasticsearchCluster
|
OPENSEARCH_CLUSTER_MANAGE |
ChangeElasticsearchClusterCompartment |
OPENSEARCH_CLUSTER_MANAGE |
CreateElasticsearchCluster |
OPENSEARCH_CLUSTER_MANAGE |
DeleteElasticsearchCluster |
OPENSEARCH_CLUSTER_MANAGE |
GetElasticsearchCluster
|
OPENSEARCH_CLUSTER_INSPECT |
ListElasticsearchClusters
|
OPENSEARCH_CLUSTER_INSPECT |
ResizeElasticsearchCluster
|
OPENSEARCH_CLUSTER_USE |
RestoreElasticsearchCluster
|
OPENSEARCH_CLUSTER_USE |
UpdateElasticsearchCluster
|
OPENSEARCH_CLUSTER_USE |
UpgradeElasticsearchCluster
|
OPENSEARCH_CLUSTER_USE |
ChangeElasticsearchClusterBackupCompartment
|
OPENSEARCH_CLUSTER_BACKUP_MANAGE |
DeleteElasticsearchClusterBackup
|
OPENSEARCH_CLUSTER_BACKUP_MANAGE |
ExportElasticsearchClusterBackup
|
OPENSEARCH_CLUSTER_BACKUP_USE |
GetElasticsearchClusterBackup
|
OPENSEARCH_CLUSTER_BACKUP_INSPECT |
ListElasticsearchClusterBackups
|
OPENSEARCH_CLUSTER_BACKUP_INSPECT |
RestoreElasticsearchClusterBackup
|
OPENSEARCH_CLUSTER_BACKUP_USE |
UpdateElasticsearchClusterBackup
|
OPENSEARCH_CLUSTER_BACKUP_USE |
GetElasticsearchClusterNode
|
OPENSEARCH_CLUSTER_NODE_INSPECT |
ListElasticsearchClusterNodes
|
OPENSEARCH_CLUSTER_NODE_INSPECT |
GetWorkRequest |
OPENSEARCH_WORK_REQUEST_INSPECT |
ListWorkRequestErrors |
OPENSEARCH_WORK_REQUEST_INSPECT |
ListWorkRequestLogs |
OPENSEARCH_WORK_REQUEST_INSPECT |
ListWorkRequests |
OPENSEARCH_WORK_REQUEST_INSPECT |