Como soluciono erros de controle de acesso refinado no meu cluster do Amazon OpenSearch Service?
Estou enfrentando erros de controle de acesso em meu cluster do Amazon OpenSearch Service. Como soluciono problemas e erros de controle de acesso?
Breve descrição
Alguns dos seguintes erros de controle de acesso refinado (FGAC) em seu cluster do OpenSearch Service:
- Erros 403 “security_exception”,“reason”:“no permissions”
- “User: anonymous is not authorized to perform: iam:PassRole”
- "Couldn't find any Elasticsearch data"
- Erros 401 não autorizados
Além de solucionar esses erros, este artigo mostra como concluir as seguintes tarefas usando o OpenSearch Service:
- Integre outros serviços da AWS com o OpenSearch Service quando o controle de acesso refinado estiver ativado
- Permitir acesso anônimo usando controle de acesso refinado
- Forneça acesso refinado a índices, painéis e visualizações específicos com base na locação do usuário
- Use o controle de acesso refinado no nível do campo
Resolução
Erros 403 “security_exception”,“reason”:“no permissions”
Para solucionar esse erro, confira primeiro se o usuário ou a função de backend no seu cluster do OpenSearch Service tem as permissões exigidas. Em seguida, mapeie o usuário ou a função de backend para uma função.
“User: anonymous is not authorized to perform: iam:PassRole”
Você pode receber esse erro ao tentar inscrever um snapshot manual. Além das permissões exigidas normais para a função do Amazon Identity and Access Management (IAM) que você usou para inscrever o snapshot manual, você deverá mapear a função manage_snapshots para a função do IAM. Use esse perfil do IAM para enviar uma solicitação assinada ao domínio.
"Couldn't find any Elasticsearch data"
Você pode receber esse erro ao tentar criar padrões de índice após a atualização para a versão 7.9 do OpenSearch Service. Use a resolve index API (API de resolução de índice) para adicionar "indices:admin/resolve/index" a todos os índices e aliases ao criar um padrão de índice em um cluster ativado por FGAC. Quando essa permissão está ausente, o OpenSearch Service lança um código de status de erro 403. Em seguida, isso é mapeado para um código de status de erro 500 do OpenSearch Dashboards. Como resultado, os índices não estão listados.
Erros 401 não autorizados
Você pode receber um erro 401 não autorizado ao usar os caracteres “$” ou “!” nas credenciais primárias com curl -u “user:password”. Certifique-se de colocar suas credenciais entre aspas simples, como no exemplo a seguir:
curl -u <DOMAIN-ENDPOINT>
Integre outros serviços da AWS com o OpenSearch Service quando o controle de acesso refinado estiver ativado
Para integrar outro serviço da AWS com o OpenSearch Service quando o controle de acesso refinado é ativado, você deve conceder os perfis do IAM para esses serviços as permissões apropriadas. Para obter mais informações, consulte a seguinte documentação sobre como usar Integrations (Integrações) com controle de acesso refinado.
Permitir acesso anônimo usando controle de acesso refinado
Devido à natureza gerenciada do OpenSearch Service, o acesso anônimo não é compatível no momento.
Forneça acesso refinado a índices, painéis e visualizações específicos com base na locação do usuário
Para fornecer acesso ao FGAC a índices ou painéis específicos, mapeie o usuário para uma função com permissões para o índice Kibana do locatário:
.kibana_<hash>_<tenant_name>
Para obter mais informações, consulte Manage Kabana indices (Gerenciar índices Kibana) no site do Open Distro.
Use o controle de acesso refinado no nível do campo
Para usar o controle de acesso refinado no nível do campo, configure uma função com a segurança no nível do campo necessária. Em seguida, mapeie o usuário para a função que você criou.
Informações relacionadas
Conteúdo relevante
- AWS OFICIALAtualizada há 3 anos
- AWS OFICIALAtualizada há um ano
- AWS OFICIALAtualizada há 7 meses
- AWS OFICIALAtualizada há 2 anos