Rechercher avec les politiques IAM OpenSearch
Découvrez les politiques IAM requises et les détails d'autorisation pour la recherche avec OpenSearch.
Autorisations d'utilisateur
Pour créer ou gérer une grappe, vous devez configurer des autorisations pour accorder l'accès permettant aux utilisateurs de créer et de gérer les ressources de réseau requises, en plus des autorisations d'utilisateur pour créer et gérer la recherche avec les ressources OpenSearch. Les autorisations de réseau doivent être configurées pour le compartiment qui contient les ressources de réseau. Par conséquent, si la grappe se trouve dans un compartiment différent du VCN et du sous-réseau, assurez-vous que les autorisations de réseau sont configurées pour le compartiment contenant le VCN et le sous-réseau.
L'exemple de politique suivant inclut les autorisations requises pour un groupe personnalisé SearchOpenSearchAdmins :
Allow group SearchOpenSearchAdmins to manage vnics in compartment <NETWORK_RESOURCES_COMPARTMENT>
Allow group SearchOpenSearchAdmins to manage vcns in compartment <NETWORK_RESOURCES_COMPARTMENT>
Allow group SearchOpenSearchAdmins to manage subnets in compartment <NETWORK_RESOURCES_COMPARTMENT>
Allow group SearchOpenSearchAdmins to use network-security-groups in compartment <NETWORK_RESOURCES_COMPARTMENT>
Allow group SearchOpenSearchAdmins to manage opensearch-family in compartment <CLUSTER_RESOURCES_COMPARTMENT>Dans cet exemple, le groupe
SearchOpenSearchAdmins fait référence à un groupe personnalisé que vous créez. Pour plus d'informations, voir Gestion des groupes.Les autorisations pour les ressources de réseau incluses dans cet exemple sont requises telles que spécifiées. Vous pouvez configurer les autorisations pour la recherche avec les ressources OpenSearch, spécifiées à la dernière ligne de cet exemple, avec plus de granularité.
Intégration d'ONS à la recherche avec OpenSearch
L'exemple de politique suivant inclut les autorisations requises pour intégrer le service d'avis Oracle (ONS) à la recherche avec OpenSearch :
Allow any-user to manage ons-topics in tenancy where all {request.principal.type='opensearchcluster',request.resource.compartment.id='<YOUR_COMPARTMENT>'}Types de ressource
La recherche avec OpenSearch offre des types de ressource agrégés et individuels pour l'écriture de politiques.
- Type de ressource agrégé
-
opensearch-family - Types de ressource individuels
-
opensearch-clusters opensearch-cluster-backups opensearch-work-requests
Vous pouvez utiliser le type de ressource agrégé pour écrire moins de politiques. Une politique utilisant opensearch-family équivaut à une politique ayant des énoncés distincts pour chacun des types de ressource individuels.
Exemples de politiques
La politique suivante accorde l'accès au groupe SearchOpenSearchAdmins pour créer et gérer toutes les ressources OCI avec la fonction de recherche OpenSearch.
Dans ces exemples, le groupe
SearchOpenSearchAdmins fait référence à un groupe personnalisé que vous créez. Pour plus d'informations, voir Gestion des groupes.Allow group SearchOpenSearchAdmins to manage opensearch-family in compartment <YOUR_COMPARTMENT>Pour restreindre l'accès à un seul type de ressource, utilisez l'une des politiques suivantes :
Allow group SearchOpenSearchAdmins to manage opensearch-clusters in compartment <YOUR_COMPARTMENT>Allow group SearchOpenSearchAdmins to manage opensearch-cluster-backups in compartment <YOUR_COMPARTMENT>Allow group SearchOpenSearchAdmins to manage opensearch-work-requests in compartment <YOUR_COMPARTMENT>Pour en connaître davantage sur les politiques, voir Introduction aux politiques et Politiques communes.
Autorisations requises pour les opérations d'API
Le tableau suivant liste les opérations d'API dans un ordre logique, regroupées par type de ressource.
| Opérations d'API | Autorisations requises pour utiliser l'opération |
|---|---|
BackupElasticsearchCluster
|
OPENSEARCH_CLUSTER_MANAGE |
ChangeElasticsearchClusterCompartment |
OPENSEARCH_CLUSTER_MANAGE |
CreateElasticsearchCluster |
OPENSEARCH_CLUSTER_MANAGE |
DeleteElasticsearchCluster |
OPENSEARCH_CLUSTER_MANAGE |
GetElasticsearchCluster
|
OPENSEARCH_CLUSTER_INSPECT |
ListElasticsearchClusters
|
OPENSEARCH_CLUSTER_INSPECT |
ResizeElasticsearchCluster
|
OPENSEARCH_CLUSTER_USE |
RestoreElasticsearchCluster
|
OPENSEARCH_CLUSTER_USE |
UpdateElasticsearchCluster
|
OPENSEARCH_CLUSTER_USE |
UpgradeElasticsearchCluster
|
OPENSEARCH_CLUSTER_USE |
ChangeElasticsearchClusterBackupCompartment
|
OPENSEARCH_CLUSTER_BACKUP_MANAGE |
DeleteElasticsearchClusterBackup
|
OPENSEARCH_CLUSTER_BACKUP_MANAGE |
ExportElasticsearchClusterBackup
|
OPENSEARCH_CLUSTER_BACKUP_USE |
GetElasticsearchClusterBackup
|
OPENSEARCH_CLUSTER_BACKUP_INSPECT |
ListElasticsearchClusterBackups
|
OPENSEARCH_CLUSTER_BACKUP_INSPECT |
RestoreElasticsearchClusterBackup
|
OPENSEARCH_CLUSTER_BACKUP_USE |
UpdateElasticsearchClusterBackup
|
OPENSEARCH_CLUSTER_BACKUP_USE |
GetElasticsearchClusterNode
|
OPENSEARCH_CLUSTER_NODE_INSPECT |
ListElasticsearchClusterNodes
|
OPENSEARCH_CLUSTER_NODE_INSPECT |
GetWorkRequest |
OPENSEARCH_WORK_REQUEST_INSPECT |
ListWorkRequestErrors |
OPENSEARCH_WORK_REQUEST_INSPECT |
ListWorkRequestLogs |
OPENSEARCH_WORK_REQUEST_INSPECT |
ListWorkRequests |
OPENSEARCH_WORK_REQUEST_INSPECT |