Amazon OpenSearch 的几种认证

> 文章作者：AWS加油站/罗技123 在 [Amazon OpenSearch Service](https://aws.amazon.com/cn/opensearch-service/?trk=cndc-detail) 中，主用户的配置可以通过三种方式进行：用户名和密码组合、IAM 角色，以及通过第三方联合登录。这样的配置授权主用户在 OpenSearch 仪表板上进行内部用户、角色和角色映射的创建。需要注意的是，OpenSearch Service 在任何时候只能支持一种仪表板认证方式。因此，尽管 IAM 主用户配置主要用于通过 Cognito 进行身份验证和管理，但这并不影响通过 SDK 对集群进行操作的能力。在使用 SDK 进行集群操作时，我们应确保将其与仪表板的认证配置区分开来，避免混淆两者的功能和用途。 这种设置设计旨在确保用户可以根据自己的安全需求和操作习惯选择合适的身份验证方法，同时通过 Cognito 集成增强安全性和用户管理的灵活性。这样，无论是直接操作集群还是通过仪表板管理用户和权限，用户都能有明确的操作路径和安全保障。 ### 主用户设置内部数据库 - 内部数据库：基本 HTTP 验证 - IAM: 需要在 dashboard 中添加 all_access，使用编程方式访问 - ~~SAML~~：未开启 ### 主用户设置 IAM 身份  - ~~内部数据库~~：报错 Invalid username or password. Please try again（基本 HTTP 被禁用 - IAM: 使用编程方式访问。如果要使用 IAM 进行用户管理，请使用 为 OpenSearch 控制面板配置 [Amazon Cognito](https://aws.amazon.com/cn/cognito/?trk=cndc-detail) 认证 访问控制面板。否则，控制面板将显示一个不起作用的登录页面。从内部用户数据库切换到 IAM 主用户不从内部用户数据库中删除任何用户。相反，它只是禁用 HTTP 基本身份验证。 - ~~SAML~~：未开启 ### 主用户设置 SAML  - ~~内部数据库~~：基本 HTTP 被禁用 - IAM: 需要在 dashboard 中添加 all_access，使用编程方式访问。Cognito 认证需要禁用。 - SAML：仪表板的 SAML 身份验证仅适用于通过 Web 浏览器访问 OpenSearch 仪表板。您的 SAML 凭据不允许您直接向 OpenSearch 或控制面板 API 发出 HTTP 请求。