Come posso utilizzare l'autenticazione Amazon Cognito per accedere a OpenSearch Dashboards dall'esterno di un VPC?

Risoluzione

Per accedere a OpenSearch Dashboards, utilizza un tunnel SSH, un proxy NGINX o una VPN sito-sito AWS.

Utilizza un tunnel SSH

Un tunnel SSH fornisce una connessione sicura tramite il protocollo SSH e tutte le connessioni utilizzano la porta SSH. Tuttavia, un tunnel SSH richiede una configurazione lato client e un server proxy.

Per ulteriori informazioni, consulta Come posso utilizzare un tunnel SSH per accedere a OpenSearch Dashboards con l'autenticazione di Amazon Cognito dall'esterno di un VPC?

Utilizza un proxy NGINX

Un proxy NGINX richiede solo una configurazione lato server e utilizza HTTP (porta 80) e HTTPS (porta 443) standard. Tuttavia, un proxy NGINX richiede un server proxy e il livello di sicurezza della connessione dipende dalla configurazione del server proxy.

Per ulteriori informazioni, consulta Come posso utilizzare un proxy NGINX per accedere a OpenSearch Dashboards con l'autenticazione di Amazon Cognito dall'esterno di un VPC?

(Facoltativo) Se hai attivato il controllo granulare degli accessi, aggiungi un ruolo autenticato da Amazon Cognito

Se hai attivato il controllo granulare degli accessi per il cluster del Servizio OpenSearch, potresti ricevere un errore di ruolo mancante.

Per risolvere l'errore di ruolo mancante, completa i seguenti passaggi:

1. Apri la console Servizio OpenSearch.
2. Nel pannello di navigazione, in Cluster gestiti, scegli Domini.
3. Scegli Operazioni, quindi Edit security configurations (Modifica configurazioni di sicurezza).
4. Scegli Set IAM ARN as your master user (Imposta l'ARN IAM come utente master).
5. Per ARN IAM, inserisci il nome della risorsa Amazon (ARN) del ruolo AWS Identity and Access Management (AWS IAM) autenticato da Amazon Cognito.
6. Scegli Invia.

Per i cluster esistenti con controllo granulare degli accessi e accesso a OpenSearch Dashboards, puoi mappare l'utente Amazon Cognito come ruolo di backend per un utente interno. Puoi anche mappare l'utente sul ruolo all_access in OpenSearch Dashboards.

Completa i seguenti passaggi:

1. Apri la console Servizio OpenSearch.
2. Nel pannello di navigazione, in Cluster gestiti, scegli Domini.
3. Accedi a OpenSearch Dashboards per il cluster.
4. Seleziona il ruolo all_access.
5. In Dashboards (Dashboard), scegli Security (Sicurezza), quindi Roles/Internal Users (Ruoli/utenti interni).
6. Per Roles (Ruoli), seleziona all_access, oppure seleziona un utente tra gli utenti interni.
7. Scegli Manage Mappings (Gestisci mappature).
8. Per Backend role (Ruolo di backend), inserisci l'ARN del ruolo IAM autenticato da Amazon Cognito, quindi scegli Map (Mappa).
9. In Edit Cluster Settings (Modifica impostazioni cluster), attiva Cognito Authentication (Autenticazione Cognito) per il pool di utenti e i pool di identità del ruolo IAM autenticato da Amazon Cognito.
   Nota: questa impostazione comporta un'implementazione blu/verde.
10. Aggiorna l'accesso al cluster tramite un proxy NGINX o utilizza VPN AWS.

Per ulteriori informazioni sul controllo granulare degli accessi, consulta Tutorial: configurazione di un dominio con un utente master IAM e autenticazione Amazon Cognito.

Utilizza VPN sito-sito AWS

Una VPN sito-sito crea una connessione sicura tra le apparecchiature on-premises e i VPC e utilizza TCP e UDP standard per una VPN SSL/TLS. Tuttavia, una connessione VPN sito-sito richiede una configurazione VPN e una configurazione lato client.

Nota: per consentire o limitare l'accesso alle risorse, modifica la configurazione di rete del VPC e i gruppi di sicurezza associati al dominio del Servizio OpenSearch. Per ulteriori informazioni, consulta Test dei domini VPC.

Informazioni correlate

Come posso risolvere i problemi relativi all'autenticazione Amazon Cognito con OpenSearch Dashboards?

Configurazione dell'autenticazione Amazon Cognito per OpenSearch Dashboards

Quando provo a effettuare l'accesso sul cluster OpenSearch Service, ricevo il messaggio di errore "L’utente anonimo non è autorizzato". Perché?