Buscar con OpenSearch políticas de IAM
Obtenga información sobre las políticas de IAM necesarias y los detalles de permisos para buscar con OpenSearch.
Permisos de usuario
Para crear o gestionar un cluster, debe configurar permisos para otorgar acceso a los usuarios a fin de crear y gestionar los recursos de red necesarios, además de los permisos de los usuarios para crear y gestionar la búsqueda con recursos OpenSearch. Los permisos de red se deben configurar para el compartimento que contiene los recursos de red, de modo que si el cluster está en un compartimento diferente de la VCN y la subred, asegúrese de que los permisos de red están configurados para el compartimento que contiene la VCN y la subred.
En el siguiente ejemplo de política se incluyen los permisos necesarios para un grupo personalizado SearchOpenSearchAdmins:
Allow group SearchOpenSearchAdmins to manage vnics in compartment <NETWORK_RESOURCES_COMPARTMENT>
Allow group SearchOpenSearchAdmins to manage vcns in compartment <NETWORK_RESOURCES_COMPARTMENT>
Allow group SearchOpenSearchAdmins to manage subnets in compartment <NETWORK_RESOURCES_COMPARTMENT>
Allow group SearchOpenSearchAdmins to use network-security-groups in compartment <NETWORK_RESOURCES_COMPARTMENT>
Allow group SearchOpenSearchAdmins to manage opensearch-family in compartment <CLUSTER_RESOURCES_COMPARTMENT>El grupo
SearchOpenSearchAdmins de este ejemplo hace referencia a un grupo personalizado que cree. Consulte Gestión de grupos para obtener más información.Los permisos para los recursos de red incluidos en este ejemplo son necesarios según lo especificado. Puede configurar los permisos para la búsqueda con los recursos OpenSearch, especificados en la última línea de este ejemplo, con más granularidad.
Integración de ONS con la Búsqueda con OpenSearch
El siguiente ejemplo de política incluye los permisos necesarios para integrar Oracle Notification Service (ONS) con Search con OpenSearch:
Allow any-user to manage ons-topics in tenancy where all {request.principal.type='opensearchcluster',request.resource.compartment.id='<YOUR_COMPARTMENT>'}Tipos de recursos
La búsqueda con OpenSearch ofrece los tipos de recurso tanto agregados como individuales para escribir políticas.
- Tipo de recurso agregado
-
opensearch-family - Tipos de recursos individuales
-
opensearch-clusters opensearch-cluster-backups opensearch-work-requests
Puede utilizar el tipo de recurso agregado para escribir menos políticas. Una política que utiliza opensearch-family equivale a escribir una con sentencias independientes para cada uno de los tipos del recurso individual.
Políticas de ejemplo
La siguiente política otorga acceso al grupo SearchOpenSearchAdmins para crear y gestionar todos OCI con Search con recursos OpenSearch.
El grupo
SearchOpenSearchAdmins de estos ejemplos hace referencia a un grupo personalizado que cree. Consulte Gestión de grupos para obtener más información.Allow group SearchOpenSearchAdmins to manage opensearch-family in compartment <YOUR_COMPARTMENT>Para restringir el acceso a un único tipo de recurso, utilice una de las siguientes políticas:
Allow group SearchOpenSearchAdmins to manage opensearch-clusters in compartment <YOUR_COMPARTMENT>Allow group SearchOpenSearchAdmins to manage opensearch-cluster-backups in compartment <YOUR_COMPARTMENT>Allow group SearchOpenSearchAdmins to manage opensearch-work-requests in compartment <YOUR_COMPARTMENT>Si no está familiarizado con las políticas, consulte Introducción a las políticas y Políticas comunes.
Permisos necesarios para operaciones de API
En la siguiente tabla se muestran las operaciones de API en un orden lógico, agrupadas por tipo de recurso.
| Operación de API | Permisos necesarios para utilizar la operación |
|---|---|
BackupElasticsearchCluster
|
OPENSEARCH_CLUSTER_MANAGE |
ChangeElasticsearchClusterCompartment |
OPENSEARCH_CLUSTER_MANAGE |
CreateElasticsearchCluster |
OPENSEARCH_CLUSTER_MANAGE |
DeleteElasticsearchCluster |
OPENSEARCH_CLUSTER_MANAGE |
GetElasticsearchCluster
|
OPENSEARCH_CLUSTER_INSPECT |
ListElasticsearchClusters
|
OPENSEARCH_CLUSTER_INSPECT |
ResizeElasticsearchCluster
|
OPENSEARCH_CLUSTER_USE |
RestoreElasticsearchCluster
|
OPENSEARCH_CLUSTER_USE |
UpdateElasticsearchCluster
|
OPENSEARCH_CLUSTER_USE |
UpgradeElasticsearchCluster
|
OPENSEARCH_CLUSTER_USE |
ChangeElasticsearchClusterBackupCompartment
|
OPENSEARCH_CLUSTER_BACKUP_MANAGE |
DeleteElasticsearchClusterBackup
|
OPENSEARCH_CLUSTER_BACKUP_MANAGE |
ExportElasticsearchClusterBackup
|
OPENSEARCH_CLUSTER_BACKUP_USE |
GetElasticsearchClusterBackup
|
OPENSEARCH_CLUSTER_BACKUP_INSPECT |
ListElasticsearchClusterBackups
|
OPENSEARCH_CLUSTER_BACKUP_INSPECT |
RestoreElasticsearchClusterBackup
|
OPENSEARCH_CLUSTER_BACKUP_USE |
UpdateElasticsearchClusterBackup
|
OPENSEARCH_CLUSTER_BACKUP_USE |
GetElasticsearchClusterNode
|
OPENSEARCH_CLUSTER_NODE_INSPECT |
ListElasticsearchClusterNodes
|
OPENSEARCH_CLUSTER_NODE_INSPECT |
GetWorkRequest |
OPENSEARCH_WORK_REQUEST_INSPECT |
ListWorkRequestErrors |
OPENSEARCH_WORK_REQUEST_INSPECT |
ListWorkRequestLogs |
OPENSEARCH_WORK_REQUEST_INSPECT |
ListWorkRequests |
OPENSEARCH_WORK_REQUEST_INSPECT |