Direkt zum Inhalt
Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post
Über re:Post

Wie kann ich mithilfe der Amazon-Cognito-Authentifizierung von außerhalb einer VPC auf OpenSearch-Dashboards zugreifen?

Lesedauer: 3 Minute
0

Mein Amazon-OpenSearch-Service-Cluster befindet sich in einer Virtual Private Cloud (VPC). Ich möchte von außerhalb der VPC auf den OpenSearch Dashboards-Endpunkt zugreifen.

Lösung

Um auf OpenSearch Dashboards zuzugreifen, verwende entweder einen SSH-Tunnel, einen NGINX-Proxy oder AWS Site-to-Site VPN.

Einen SSH-Tunnel verwenden

Ein SSH-Tunnel bietet eine sichere Verbindung über das SSH-Protokoll und alle Verbindungen verwenden den SSH-Port. Ein SSH-Tunnel erfordert jedoch eine clientseitige Konfiguration und einen Proxyserver.

Weitere Informationen findest du unter Wie kann ich mithilfe eines SSH-Tunnels von außerhalb einer VPC auf OpenSearch-Dashboards mithilfe von Amazon Cognito-Authentifizierung zugreifen?

Einen NGINX-Proxy verwenden

Ein NGINX-Proxy benötigt nur eine serverseitige Konfiguration und verwendet Standard-HTTP (Port 80) und HTTPS (Port 443). Ein NGINX-Proxy erfordert jedoch einen Proxyserver und die Sicherheitsstufe der Verbindung hängt davon ab, wie du den Proxyserver konfigurierst.

Weitere Informationen findest du unter Wie verwende ich einen NGINX-Proxy, um von außerhalb einer VPC, die die Amazon Cognito-Authentifizierung verwendet, auf OpenSearch-Dashboards zu zugreifen?

(Optional) Wenn du die granulare Zugriffskontrolle aktivierst, füge danach eine durch Amazon Cognito authentifizierte Rolle hinzu

Wenn du die granulare Zugriffskontrolle für deinen OpenSearch-Service-Cluster aktivierst, erhältst du möglicherweise den Fehler missing role.

Gehe wie folgt vor, um den Fehler missing role (fehlende Rolle) zu beheben:

  1. Öffne die OpenSearch-Service-Konsole.
  2. Wähle im Navigationsbereich unter Verwaltete Cluster die Option Domains.
  3. Wähle Aktionen und dann wähle Sicherheitskonfigurationen bearbeiten.
  4. Wähle IAM-ARN als Haupt-Benutzer festlegen.
  5. Gib für IAM-ARN den Amazon-Ressourcennamen (ARN) der von Amazon Cognito authentifizierten AWS Identity and Access Management (IAM)-Rolle ein.
  6. Wähle Absenden.

Für bestehende Cluster mit detaillierter Zugriffskontrolle und OpenSearch-Dashboard-Zugriff kannst du den Amazon Cognito-Benutzer als Backend-Rolle für einen internen Benutzer zuordnen. Du kannst den Benutzer auch der Rolle all_access in OpenSearch-Dashboards zuordnen.

Führe die folgenden Schritte aus:

  1. Öffne die OpenSearch-Service-Konsole.
  2. Wähle im Navigationsbereich unter Verwaltete Cluster die Option Domains.
  3. Melde dich in bei den OpenSearch-Dashboards für den Cluster an.
  4. Wähle die Rolle all_access aus.
  5. Wähle unter Dashboards die Option Sicherheit und dann wähle Rollen/Interne Benutzer.
  6. Wähle für Rollen all_access aus oder wähle einen Benutzer aus den internen Benutzern aus.
  7. Wähle Zuordnungen verwalten.
  8. Gib für die Backend-Rolle den ARN der von Amazon Cognito authentifizierten IAM-Rolle ein und wähle dann Zuordnen.
  9. Aktiviere untere Cluster-Einstellungen aktiviere die Cognito-Authentifizierung für den Benutzerpool und die Identitätspools für die von Amazon Cognito authentifizierte IAM-Rolle.
    Hinweis: Diese Einstellung führt zu einer Blau/Grün-Bereitstellung.
  10. Aktualisiere den Cluster-Zugriff über einen NGINX-Proxy oder verwende AWS VPN.

Weitere Informationen zur granularen Zugriffskontrolle findest du im Tutorial: Konfiguriere eine Domain mit einem IAM-Haupt-Benutzer und Amazon-Cognito-Authentifizierung.

Site-to-Site-VPN verwenden

Eine Site-to-Site VPN stellt eine sichere Verbindung zwischen den lokalen Geräten und den VPCs her und verwendet Standard-TCP und UDP für ein SSL/TLS-VPN. Eine Site-to-Site-VPN-Verbindung erfordert jedoch eine VPN-Setup und eine clientseitige Konfiguration.

Hinweis: Um den Zugriff auf Ressourcen zuzulassen oder einzuschränken, ändere die VPC-Netzwerkkonfiguration und die Sicherheitsgruppen, die der OpenSearch Service-Domain zugeordnet sind. Weitere Informationen findest du unter Testen von VPC-Domains.

Ähnliche Informationen

Wie behebe ich Probleme bei der Amazon-Cognito-Authentifizierung mit OpenSearch Dashboards?

Konfiguration der Amazon Cognito-Authentifizierung für OpenSearch-Dashboards

Warum habe ich die Fehlermeldung „User: anonymous is not authorized“ erhalten, als ich versucht habe, auf meinen OpenSearch-Service-Cluster zuzugreifen?

Themen
Analytics
Tags
Amazon OpenSearch Service
Sprache
Deutsch
AWS OFFICIALAktualisiert vor 2 Jahren

Relevanter Inhalt