Wie behebe ich feinkörnige Probleme mit der Zugriffskontrolle in meinem OpenSearch Service-Cluster?

Kurze Beschreibung

Möglicherweise erhalten Sie feinkörnige Zugriffskontrollfehler (FGAC) oder Sie benötigen eine zusätzliche Konfiguration in Ihrem OpenSearch Service-Cluster. Um diese Probleme zu lösen, folgen Sie diesen Schritten zur Fehlerbehebung für Ihren Anwendungsfall.

**Hinweis:**Aufgrund des verwalteten Designs von OpenSearch Service wird anonymer Zugriff nicht unterstützt.

Auflösung

"security_exception","reason":"no permissions" 403 errors

Um diesen Fehler zu beheben, überprüfen Sie zunächst, ob die Benutzer- oder Backend-Rolle in Ihrem OpenSearch Service-Cluster über die erforderlichen Berechtigungen verfügt. Siehe Permissioon (Berechtigungen) auf der OpenSearch-Website. Führen Sie dann die Schritte auf der OpenSearch-Website aus, um die Benutzer- oder Backend-Rolle einer Rolle zuzuordnen.

„Benutzer: anonymous ist nicht autorisiert, Folgendes auszuführen: iam:PassRole“

Möglicherweise wird dieser Fehler angezeigt, wenn Sie versuchen, einen manuellen Snapshot zu registrieren. Sie müssen map the manage_snapshots role der Identity and Access Management (IAM)-Rolle zuordnen, mit der Sie den manuellen Snapshot registriert haben. Verwenden Sie dann diese IAM-Rolle, um eine signierte Anfrage an die Domain zu senden.

„Es konnten keine Elasticsearch-Daten gefunden werden“

Möglicherweise erhalten Sie diesen Fehler, wenn Sie versuchen, Indexmuster zu erstellen, nachdem Sie auf OpenSearch Service Version 7.9 aktualisiert haben. Verwenden Sie die Resolve-Index-API, um indices:admin/resolve/index zu allen Indizes und Aliasen hinzuzufügen, wenn Sie ein Indexmuster in einem FGAC-aktivierten Cluster erstellen. Weitere Informationen finden Sie unter API auf der OpenSearch-Website.

Wenn diese Berechtigung fehlt, gibt OpenSearch Service einen 403-Fehlerstatuscode aus. Dies wird dann einem 500-Fehlerstatuscode aus OpenSearch Dashboards zugeordnet. Daher sind die Indizes nicht aufgeführt.

401 unautorisierte Fehler

Möglicherweise erhalten Sie einen 401-Fehler, wenn Sie $ oder**!** Zeichen in primären Anmeldeinformationen mit curl**-u „user:password“** verwenden. Stellen Sie sicher, dass Sie Ihre Anmeldeinformationen in einfache Anführungszeichen setzen, wie im folgenden Beispiel:

curl -u 'username' <Domain_Endpoint>

Integrieren Sie andere AWS-Services in OpenSearch Service, wenn die detaillierte Zugriffskontrolle aktiviert ist

Um einen anderen AWS-Service in OpenSearch Service zu integrieren, wenn die detaillierte Zugriffskontrolle aktiviert ist, geben Sie den IAM-Rollen für diese Services die richtigen Berechtigungen. Weitere Informationen finden Sie unter Integrationen.

Bieten Sie einen detaillierten Zugriff auf bestimmte Indizes, Dashboards und Visualisierungen auf der Grundlage der Benutzer-Tenancy

Um FGAC-Zugriff auf bestimmte Indizes oder Dashboards zu gewähren, ordnen Sie den Benutzer einer Rolle zu, die über Berechtigungen für den Kibana-Index des Mandanten verfügt:

.kibana_<hash>_<tenant_name>

Weitere Informationen finden Sie unter OpenSearch-Dashboards-Indizes verwalten auf der OpenSearch-Website.

Verwenden Sie eine differenzierte Zugriffskontrolle auf Feldebene oder Dokumentebene

Um eine differenzierte Zugriffskontrolle auf Feldebene zu verwenden, richten Sie eine Rolle mit der erforderlichen Sicherheit auf Feldebene ein. Ordnen Sie dann den Benutzer der Rolle zu, die Sie erstellt haben. Weitere Informationen finden Sie unter Sicherheit auf Feldebene auf der OpenSearch-Website.

Um eine differenzierte Zugriffskontrolle auf Dokumentenebene zu verwenden, erstellen Sie eine interne Dashboard-Rolle mit der erforderlichen Sicherheit auf Dokumentebene. Ordnen Sie den Benutzer dann dem internen Dashboard zu. Weitere Informationen finden Sie unter Sicherheit auf Dokumentebene auf der OpenSearch-Website.

Verwandte Informationen

Feinkörnige Zugriffskontrolle in Amazon OpenSearch Service