Cerca con i criteri IAM OpenSearch
Informazioni sui criteri IAM necessari e sui dettagli delle autorizzazioni per la ricerca con OpenSearch.
Autorizzazioni utente
Per creare o gestire un cluster, è necessario configurare le autorizzazioni per concedere agli utenti l'accesso per creare e gestire le risorse di networking necessarie, oltre alle autorizzazioni degli utenti per creare e gestire la ricerca con le risorse OpenSearch. Le autorizzazioni di networking devono essere configurate per il compartimento che contiene le risorse di networking, pertanto se il cluster si trova in un compartimento diverso dalla VCN e dalla subnet, assicurarsi che le autorizzazioni di networking siano configurate per il compartimento contenente la VCN e la subnet.
Il seguente esempio di criterio include le autorizzazioni necessarie per un gruppo personalizzato SearchOpenSearchAdmins:
Allow group SearchOpenSearchAdmins to manage vnics in compartment <NETWORK_RESOURCES_COMPARTMENT>
Allow group SearchOpenSearchAdmins to manage vcns in compartment <NETWORK_RESOURCES_COMPARTMENT>
Allow group SearchOpenSearchAdmins to manage subnets in compartment <NETWORK_RESOURCES_COMPARTMENT>
Allow group SearchOpenSearchAdmins to use network-security-groups in compartment <NETWORK_RESOURCES_COMPARTMENT>
Allow group SearchOpenSearchAdmins to manage opensearch-family in compartment <CLUSTER_RESOURCES_COMPARTMENT>Il gruppo
SearchOpenSearchAdmins in questo esempio fa riferimento a un gruppo personalizzato creato dall'utente. Per ulteriori informazioni, vedere Gestione dei gruppi.Le autorizzazioni per le risorse di networking incluse in questo esempio sono necessarie come specificato. È possibile configurare le autorizzazioni per la ricerca con risorse OpenSearch, specificate nell'ultima riga di questo esempio, con maggiore granularità.
Integrazione di ONS con Search con OpenSearch
L'esempio di criteri riportato di seguito include le autorizzazioni necessarie per l'integrazione di Oracle Notification Service (ONS) con Search con OpenSearch.
Allow any-user to manage ons-topics in tenancy where all {request.principal.type='opensearchcluster',request.resource.compartment.id='<YOUR_COMPARTMENT>'}Tipi di risorsa
La ricerca con OpenSearch offre sia tipi di risorse aggregati che singoli per la scrittura dei criteri.
- Tipo di risorsa aggregata
-
opensearch-family - Tipi di risorse individuali
-
opensearch-clusters opensearch-cluster-backups opensearch-work-requests
È possibile utilizzare il tipo di risorsa aggregata per scrivere meno criteri. Un criterio che utilizza opensearch-family equivale a scriverne uno con istruzioni separate per ciascuno dei singoli tipi di risorsa.
Criteri di esempio
Il criterio riportato di seguito concede l'accesso al gruppo SearchOpenSearchAdmins per creare e gestire tutte le risorse OCI con Search with OpenSearch.
Il gruppo
SearchOpenSearchAdmins in questi esempi fa riferimento a un gruppo personalizzato creato dall'utente. Per ulteriori informazioni, vedere Gestione dei gruppi.Allow group SearchOpenSearchAdmins to manage opensearch-family in compartment <YOUR_COMPARTMENT>Per limitare l'accesso a un singolo tipo di risorsa, utilizzare uno dei criteri riportati di seguito.
Allow group SearchOpenSearchAdmins to manage opensearch-clusters in compartment <YOUR_COMPARTMENT>Allow group SearchOpenSearchAdmins to manage opensearch-cluster-backups in compartment <YOUR_COMPARTMENT>Allow group SearchOpenSearchAdmins to manage opensearch-work-requests in compartment <YOUR_COMPARTMENT>Se non si conoscono i criteri, vedere Guida introduttiva ai criteri e Criteri comuni.
Autorizzazioni necessarie per le operazioni API
Nella tabella seguente sono elencate le operazioni API in ordine logico, raggruppate per tipo di risorsa.
| Operazione API | Autorizzazioni necessarie per utilizzare l'operazione |
|---|---|
BackupElasticsearchCluster
|
OPENSEARCH_CLUSTER_MANAGE |
ChangeElasticsearchClusterCompartment |
OPENSEARCH_CLUSTER_MANAGE |
CreateElasticsearchCluster |
OPENSEARCH_CLUSTER_MANAGE |
DeleteElasticsearchCluster |
OPENSEARCH_CLUSTER_MANAGE |
GetElasticsearchCluster
|
OPENSEARCH_CLUSTER_INSPECT |
ListElasticsearchClusters
|
OPENSEARCH_CLUSTER_INSPECT |
ResizeElasticsearchCluster
|
OPENSEARCH_CLUSTER_USE |
RestoreElasticsearchCluster
|
OPENSEARCH_CLUSTER_USE |
UpdateElasticsearchCluster
|
OPENSEARCH_CLUSTER_USE |
UpgradeElasticsearchCluster
|
OPENSEARCH_CLUSTER_USE |
ChangeElasticsearchClusterBackupCompartment
|
OPENSEARCH_CLUSTER_BACKUP_MANAGE |
DeleteElasticsearchClusterBackup
|
OPENSEARCH_CLUSTER_BACKUP_MANAGE |
ExportElasticsearchClusterBackup
|
OPENSEARCH_CLUSTER_BACKUP_USE |
GetElasticsearchClusterBackup
|
OPENSEARCH_CLUSTER_BACKUP_INSPECT |
ListElasticsearchClusterBackups
|
OPENSEARCH_CLUSTER_BACKUP_INSPECT |
RestoreElasticsearchClusterBackup
|
OPENSEARCH_CLUSTER_BACKUP_USE |
UpdateElasticsearchClusterBackup
|
OPENSEARCH_CLUSTER_BACKUP_USE |
GetElasticsearchClusterNode
|
OPENSEARCH_CLUSTER_NODE_INSPECT |
ListElasticsearchClusterNodes
|
OPENSEARCH_CLUSTER_NODE_INSPECT |
GetWorkRequest |
OPENSEARCH_WORK_REQUEST_INSPECT |
ListWorkRequestErrors |
OPENSEARCH_WORK_REQUEST_INSPECT |
ListWorkRequestLogs |
OPENSEARCH_WORK_REQUEST_INSPECT |
ListWorkRequests |
OPENSEARCH_WORK_REQUEST_INSPECT |