Rechercher avec les stratégies IAM OpenSearch
Découvrez les stratégies IAM requises et les détails de droit d'accès pour la recherche avec OpenSearch.
Droits d'accès utilisateur
Pour créer ou gérer un cluster, vous devez configurer des droits d'accès permettant aux utilisateurs de créer et de gérer les ressources réseau requises, en plus des droits d'accès des utilisateurs permettant de créer et de gérer Search avec des ressources OpenSearch. Les droits d'accès Networking doivent être configurés pour le compartiment contenant les ressources Networking. Par conséquent, si le cluster se trouve dans un autre compartiment que le VCN et le sous-réseau, assurez-vous que les droits d'accès Networking sont configurés pour le compartiment contenant le VCN et le sous-réseau.
L'exemple de stratégie suivant inclut les droits d'accès requis pour un groupe personnalisé SearchOpenSearchAdmins :
Allow group SearchOpenSearchAdmins to manage vnics in compartment <NETWORK_RESOURCES_COMPARTMENT>
Allow group SearchOpenSearchAdmins to manage vcns in compartment <NETWORK_RESOURCES_COMPARTMENT>
Allow group SearchOpenSearchAdmins to manage subnets in compartment <NETWORK_RESOURCES_COMPARTMENT>
Allow group SearchOpenSearchAdmins to use network-security-groups in compartment <NETWORK_RESOURCES_COMPARTMENT>
Allow group SearchOpenSearchAdmins to manage opensearch-family in compartment <CLUSTER_RESOURCES_COMPARTMENT>Dans cet exemple, le groupe
SearchOpenSearchAdmins fait référence à un groupe personnalisé que vous créez. Pour plus d'informations, reportez-vous à Gestion des groupes.Les droits d'accès aux ressources Networking incluses dans cet exemple sont requis comme indiqué. Vous pouvez configurer les droits d'accès pour Search avec les ressources OpenSearch, indiquées à la dernière ligne de cet exemple, avec plus de granularité.
Intégration d'ONS à Search avec OpenSearch
L'exemple de stratégie suivant inclut les droits d'accès requis pour l'intégration d'Oracle Notification Service (ONS) à Search avec OpenSearch :
Allow any-user to manage ons-topics in tenancy where all {request.principal.type='opensearchcluster',request.resource.compartment.id='<YOUR_COMPARTMENT>'}Types de ressource
La recherche avec OpenSearch offre à la fois un type de ressource agrégé et un type individuel pour l'écriture de stratégies.
- Type de ressource agrégé
-
opensearch-family - Types de ressource individuels
-
opensearch-clusters opensearch-cluster-backups opensearch-work-requests
Vous pouvez utiliser le type agrégé de ressource pour écrire moins de stratégies. Une stratégie qui utilise opensearch-family équivaut à écrire une seule stratégie avec des instructions distinctes pour chaque type individuel de ressource.
Exemples de stratégie
La stratégie suivante accorde l'accès au groupe SearchOpenSearchAdmins pour créer et gérer toutes les ressources OCI avec Search avec des ressources OpenSearch.
Dans ces exemples, le groupe
SearchOpenSearchAdmins fait référence à un groupe personnalisé que vous créez. Pour plus d'informations, reportez-vous à Gestion des groupes.Allow group SearchOpenSearchAdmins to manage opensearch-family in compartment <YOUR_COMPARTMENT>Pour restreindre l'accès à un seul type de ressource, utilisez l'une des stratégies suivantes :
Allow group SearchOpenSearchAdmins to manage opensearch-clusters in compartment <YOUR_COMPARTMENT>Allow group SearchOpenSearchAdmins to manage opensearch-cluster-backups in compartment <YOUR_COMPARTMENT>Allow group SearchOpenSearchAdmins to manage opensearch-work-requests in compartment <YOUR_COMPARTMENT>Si vous ne connaissez pas les stratégies, reportez-vous à Introduction aux stratégies et à Stratégies courantes.
Droits d'accès requis pour les opérations d'API
Le tableau suivant présente les opérations d'API dans un ordre logique, regroupées par type de ressource.
| Opération d'API | Droits d'accès requis pour utiliser l'opération |
|---|---|
BackupElasticsearchCluster
|
OPENSEARCH_CLUSTER_MANAGE |
ChangeElasticsearchClusterCompartment |
OPENSEARCH_CLUSTER_MANAGE |
CreateElasticsearchCluster |
OPENSEARCH_CLUSTER_MANAGE |
DeleteElasticsearchCluster |
OPENSEARCH_CLUSTER_MANAGE |
GetElasticsearchCluster
|
OPENSEARCH_CLUSTER_INSPECT |
ListElasticsearchClusters
|
OPENSEARCH_CLUSTER_INSPECT |
ResizeElasticsearchCluster
|
OPENSEARCH_CLUSTER_USE |
RestoreElasticsearchCluster
|
OPENSEARCH_CLUSTER_USE |
UpdateElasticsearchCluster
|
OPENSEARCH_CLUSTER_USE |
UpgradeElasticsearchCluster
|
OPENSEARCH_CLUSTER_USE |
ChangeElasticsearchClusterBackupCompartment
|
OPENSEARCH_CLUSTER_BACKUP_MANAGE |
DeleteElasticsearchClusterBackup
|
OPENSEARCH_CLUSTER_BACKUP_MANAGE |
ExportElasticsearchClusterBackup
|
OPENSEARCH_CLUSTER_BACKUP_USE |
GetElasticsearchClusterBackup
|
OPENSEARCH_CLUSTER_BACKUP_INSPECT |
ListElasticsearchClusterBackups
|
OPENSEARCH_CLUSTER_BACKUP_INSPECT |
RestoreElasticsearchClusterBackup
|
OPENSEARCH_CLUSTER_BACKUP_USE |
UpdateElasticsearchClusterBackup
|
OPENSEARCH_CLUSTER_BACKUP_USE |
GetElasticsearchClusterNode
|
OPENSEARCH_CLUSTER_NODE_INSPECT |
ListElasticsearchClusterNodes
|
OPENSEARCH_CLUSTER_NODE_INSPECT |
GetWorkRequest |
OPENSEARCH_WORK_REQUEST_INSPECT |
ListWorkRequestErrors |
OPENSEARCH_WORK_REQUEST_INSPECT |
ListWorkRequestLogs |
OPENSEARCH_WORK_REQUEST_INSPECT |
ListWorkRequests |
OPENSEARCH_WORK_REQUEST_INSPECT |