Saltar al contenido
Al usar AWS re:Post, aceptas las AWS re:Post Términos de uso
AWS re:Postre:Post
Acerca de re:Post

¿Cómo uso un túnel SSH para acceder a los paneles de OpenSearch con la autenticación de Amazon Cognito desde fuera de una VPC?

6 minutos de lectura
0

Mi dominio de Amazon OpenSearch Service está en una nube virtual privada (VPC). Quiero usar un túnel SSH para acceder a los paneles de OpenSearch con la autenticación de Amazon Cognito desde fuera de la VPC.

Descripción corta

De forma predeterminada, Amazon Cognito restringe el acceso de los paneles de OpenSearch a los usuarios de AWS Identity and Access Management (IAM) de la VPC. Para acceder a un dominio de OpenSearch Service desde otra VPC, cree un punto de enlace de interfaz de VPC para OpenSearch Service. Para acceder públicamente a la URL de un panel, use un túnel SSH.

Importante: Compruebe que el acceso a los paneles de OpenSearch desde fuera de la VPC cumpla con los requisitos de seguridad de su organización.

Para usar un túnel SSH para acceder a los paneles de OpenSearch desde fuera de la VPC, siga estos pasos:

  1. Cree un grupo de usuarios y un grupo de identidades de Amazon Cognito.
  2. Cree una instancia de Amazon Elastic Compute Cloud (Amazon EC2) en una subred pública.
  3. Use un complemento de navegador para configurar un proxy SOCKS.
  4. Cree un túnel SSH desde su máquina local hasta la instancia de EC2.
    Nota: También puede usar un proxy de NGINX o una VPN de cliente para acceder a los paneles de OpenSearch desde fuera de una VPC con la autenticación de Amazon Cognito.
  5. (Opcional) Si activa el control de acceso detallado, agregue un rol autenticado de Amazon Cognito.

Resolución

Creación de un grupo de usuarios y un grupo de identidades de Amazon Cognito

Siga estos pasos:

  1. Cree un grupo de usuarios de Amazon Cognito. Configure los siguientes ajustes:
    En Tipo de aplicación, elija ** Aplicación web tradicional**.
    En Asigne un nombre a su aplicación, introduzca un nombre de aplicación personalizado o mantenga el nombre predeterminado.
    En Opciones para los identificadores de inicio de sesión, elija Nombre de usuario.
    En Atributos obligatorios para el registro, seleccione Correo electrónico.
  2. Abra la consola de Amazon Cognito.
  3. En el panel de navegación, elija Grupos de usuarios.
  4. Seleccione su grupo de usuarios.
  5. En el panel de navegación, en Marca, elija Inicio de sesión administrado. Configure los siguientes ajustes:
    En el caso de los dominios con marca de inicio de sesión administrado, seleccione Actualizar versión.
    En Versión de la marca, elija Interfaz de usuario alojada (clásica).
  6. Configure sus usuarios y grupos.
  7. Cree un grupo de identidades de Amazon Cognito. Configure los siguientes ajustes:
    En Acceso de usuario, elija Acceso autenticado.
    En Orígenes de identidad autenticados, introduzca el grupo de usuarios de Amazon Cognito.
    En Rol de IAM, elija Crear un nuevo rol de IAM y, a continuación, introduzca un nombre de rol.
    En Detalles del grupo de usuarios, seleccione su grupo de usuarios y, a continuación, elija ID de cliente de la aplicación.
    En Configuración del rol, elija Usar el rol autenticado predeterminado.
    En Asignación de reclamaciones, seleccione Inactivo.
  8. Configure su dominio de OpenSearch Service para usar la autenticación de Amazon Cognito. Configure los siguientes ajustes:
    En Grupo de usuarios de Cognito, seleccione su grupo de usuarios.
    En Grupo de identidades de Cognito, seleccione su grupo de identidades.
  9. En Política de acceso al dominio, introduzca la siguiente política de acceso: 
    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::account-id:role/service-role/identitypool-role"
      },
      "Action": "es:*",
      "Resource": "arn:aws:es:region:account-id:domain/domain-name/*"
    }
  ]
}
    Nota: Sustituya account-id por su cuenta de AWS y identitypool-role por el nombre de su rol en el grupo de identidades. Sustituya domain-name por su dominio de OpenSearch Service y region por la región de AWS de su dominio.

Creación de una instancia de EC2 y configuración de las reglas del grupo de seguridad

Importante: La subred de la instancia debe estar en la misma VPC que su dominio de OpenSearch Service.

Siga estos pasos:

  1. Inicie una instancia en la subred pública de la VPC en la que se encuentra su dominio de OpenSearch Service.
  2. En la página Configurar detalles de la instancia, verifique que la asignación automática de IP pública esté habilitada.
  3. Agregue reglas de entrada al grupo de seguridadasociado a su instancia. Permita el tráfico a los puertos 8157 y 22 desde la dirección IP de su máquina local.
  4. Agregue una regla de entrada al grupo de seguridad asociado al dominio de OpenSearch Service. Permita el tráfico desde la dirección IP privada de su instancia.

Configuración del proxy SOCKS

Nota: Las siguientes instrucciones utilizan FoxyProxy para configurar el proxy SOCKS. Para instalar la extensión, consulte FoxyProxy en la tienda web de Chrome.

Siga estos pasos:

  1. Abra FoxyProxy y, a continuación, seleccione Opciones.
  2. En Proxies, seleccione Agregar.
  3. Configure los siguientes ajustes:
    En Título, introduzca un nombre de proxy.
    En Nombre de host, introduzca localhost.
    En Puerto, introduzca 8157.
    En Tipo, seleccione SOCKS5.
  4. Para agregar un patrón, elija el signo más (+) y, a continuación, configure los siguientes ajustes:
    Deje el primer campo en blanco.
    En Título, introduzca un nombre para su patrón.
    En Patrón, introduzca el punto de enlace de la VPC de paneles de OpenSearch, por ejemplo, https://vpc-mydomain-rg3abcdefghiflge.us-east-1.es.amazonaws.com/_dashboards.
    En Tipo, elija Comodines.
    En Incluir, elija Incluir.
  5. Seleccione Guardar.

Creación del túnel SSH

Siga estos pasos:

  1. Use la máquina local que usa para acceder a paneles de OpenSearch para ejecutar el siguiente comando:

    ssh -i "mykeypair.pem"  ec2-user@public_dns_name -ND 8157

    Nota: Sustituya mykeypair.pem por el nombre del archivo .pem del par de claves que especificó al iniciar la instancia. Sustituya public_dns_name por el DNS público de su instancia. Para obtener más información, consulte los atributos de DNS de su VPC.

  2. Introduzca el punto de enlace de paneles de OpenSearch en su navegador para abrir la página de inicio de sesión de Amazon Cognito para paneles de OpenSearch.

(Opcional) Si activa los controles de acceso detallados, agregue un rol de grupo de identidades de Amazon Cognito.

Si activa el control de acceso detallado para su clúster de OpenSearch Service, es posible que se muestre un error que indica que falta un rol.

Para resolver el error de rol que indica que falta un rol, siga estos pasos:

  1. Abra la consola de OpenSearch Service.
  2. En el panel de navegación, en Clústeres administrados, seleccione Dominios.
  3. Seleccione su dominio y, a continuación, elija Acciones.
  4. Seleccione Editar configuraciones de seguridad.
  5. Elija Establecer ARN de IAM como usuario maestro.
  6. En ARN de IAM, introduzca el ARN del rol del grupo de identidades de Amazon Cognito.
  7. Seleccione Guardar.

Para obtener más información sobre el control de acceso detallado, consulte Tutorial: configuración de un dominio con un usuario maestro de IAM y autenticación de Amazon Cognito.

Información relacionada

Configuración de la autenticación de Amazon Cognito para paneles de OpenSearch

Inicio de sus dominios de Amazon OpenSearch Service en una VPC

Temas
Analytics
Etiquetas
Amazon OpenSearch Service
Idioma
Español
OFICIAL DE AWSActualizada hace un año
Sin comentarios

Contenido relevante