Pesquisar com Políticas do Serviço IAM OpenSearch
Saiba mais sobre as políticas do IAM necessárias e os detalhes de permissão para Pesquisar com OpenSearch.
Permissões do Usuário
Para criar ou gerenciar um cluster, você precisa configurar permissões para conceder acesso aos usuários para criar e gerenciar os recursos de Rede necessários, além de permissões de usuários para criar e gerenciar a Pesquisa com recursos OpenSearch. As permissões de Rede precisam ser configuradas para o compartimento que contém os recursos de Rede; portanto, se o cluster estiver em um compartimento diferente da VCN e da sub-rede, certifique-se de que as permissões de Rede estejam configuradas para o compartimento que contém a VCN e a sub-rede.
O exemplo de política a seguir inclui as permissões necessárias para um grupo personalizado SearchOpenSearchAdmins:
Allow group SearchOpenSearchAdmins to manage vnics in compartment <NETWORK_RESOURCES_COMPARTMENT>
Allow group SearchOpenSearchAdmins to manage vcns in compartment <NETWORK_RESOURCES_COMPARTMENT>
Allow group SearchOpenSearchAdmins to manage subnets in compartment <NETWORK_RESOURCES_COMPARTMENT>
Allow group SearchOpenSearchAdmins to use network-security-groups in compartment <NETWORK_RESOURCES_COMPARTMENT>
Allow group SearchOpenSearchAdmins to manage opensearch-family in compartment <CLUSTER_RESOURCES_COMPARTMENT>O grupo
SearchOpenSearchAdmins neste exemplo se refere a um grupo personalizado que você cria. Consulte Gerenciando Grupos para obter mais informações.As permissões para os recursos de Rede incluídos neste exemplo são necessárias conforme especificado. Você pode configurar as permissões para Pesquisa com recursos OpenSearch, especificados na última linha deste exemplo, com mais granularidade.
Integrando o ONS com o Search com o OpenSearch
O exemplo de política a seguir inclui as permissões necessárias para integrar o ONS (Oracle Notification Service) ao Search com o OpenSearch:
Allow any-user to manage ons-topics in tenancy where all {request.principal.type='opensearchcluster',request.resource.compartment.id='<YOUR_COMPARTMENT>'}Tipos de Recurso
Pesquisar com OpenSearch oferece resource-types agregados e individuais para gravar políticas.
- Tipo de Recurso Agregado
-
opensearch-family - Tipos de Recursos Individuais
-
opensearch-clusters opensearch-cluster-backups opensearch-work-requests
Você pode usar o tipo de recurso agregado para gravar menos políticas. Uma política que usa opensearch-family é equivalente a gravar uma com instruções separadas para cada tipo de recurso individual.
Políticas de Amostra
A política a seguir concede acesso ao grupo SearchOpenSearchAdmins para criar e gerenciar todos os recursos do OCI com Pesquisa com OpenSearch.
O grupo
SearchOpenSearchAdmins nesses exemplos se refere a um grupo personalizado que você cria. Consulte Gerenciando Grupos para obter mais informações.Allow group SearchOpenSearchAdmins to manage opensearch-family in compartment <YOUR_COMPARTMENT>Para restringir o acesso a um único tipo de recurso, use uma das seguintes políticas:
Allow group SearchOpenSearchAdmins to manage opensearch-clusters in compartment <YOUR_COMPARTMENT>Allow group SearchOpenSearchAdmins to manage opensearch-cluster-backups in compartment <YOUR_COMPARTMENT>Allow group SearchOpenSearchAdmins to manage opensearch-work-requests in compartment <YOUR_COMPARTMENT>Se você não conhece as políticas, consulte Conceitos Básicos de Políticas e Políticas Comuns.
Permissões Obrigatórias para Operações de API
A tabela a seguir lista as operações de API em uma ordem lógica, agrupadas por tipo de recurso.
| Operação de API | Permissões Obrigatórias para Usar a Operação |
|---|---|
BackupElasticsearchCluster
|
OPENSEARCH_CLUSTER_MANAGE |
ChangeElasticsearchClusterCompartment |
OPENSEARCH_CLUSTER_MANAGE |
CreateElasticsearchCluster |
OPENSEARCH_CLUSTER_MANAGE |
DeleteElasticsearchCluster |
OPENSEARCH_CLUSTER_MANAGE |
GetElasticsearchCluster
|
OPENSEARCH_CLUSTER_INSPECT |
ListElasticsearchClusters
|
OPENSEARCH_CLUSTER_INSPECT |
ResizeElasticsearchCluster
|
OPENSEARCH_CLUSTER_USE |
RestoreElasticsearchCluster
|
OPENSEARCH_CLUSTER_USE |
UpdateElasticsearchCluster
|
OPENSEARCH_CLUSTER_USE |
UpgradeElasticsearchCluster
|
OPENSEARCH_CLUSTER_USE |
ChangeElasticsearchClusterBackupCompartment
|
OPENSEARCH_CLUSTER_BACKUP_MANAGE |
DeleteElasticsearchClusterBackup
|
OPENSEARCH_CLUSTER_BACKUP_MANAGE |
ExportElasticsearchClusterBackup
|
OPENSEARCH_CLUSTER_BACKUP_USE |
GetElasticsearchClusterBackup
|
OPENSEARCH_CLUSTER_BACKUP_INSPECT |
ListElasticsearchClusterBackups
|
OPENSEARCH_CLUSTER_BACKUP_INSPECT |
RestoreElasticsearchClusterBackup
|
OPENSEARCH_CLUSTER_BACKUP_USE |
UpdateElasticsearchClusterBackup
|
OPENSEARCH_CLUSTER_BACKUP_USE |
GetElasticsearchClusterNode
|
OPENSEARCH_CLUSTER_NODE_INSPECT |
ListElasticsearchClusterNodes
|
OPENSEARCH_CLUSTER_NODE_INSPECT |
GetWorkRequest |
OPENSEARCH_WORK_REQUEST_INSPECT |
ListWorkRequestErrors |
OPENSEARCH_WORK_REQUEST_INSPECT |
ListWorkRequestLogs |
OPENSEARCH_WORK_REQUEST_INSPECT |
ListWorkRequests |
OPENSEARCH_WORK_REQUEST_INSPECT |