AWS announces preview of AWS Interconnect - multicloud

AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.

Como soluciono os erros 403 ou 401 que recebo quando me conecto ao meu cluster ou painéis do OpenSearch Sem Servidor?

5 minuto de leitura

Quando executo comandos da API OpenSearch no meu cluster Amazon OpenSearch sem servidor ou tento acessar os painéis, recebo erros 403 ou 401.

Resolução

Observação: Se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), consulte Solução de problemas da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.

403 Erros proibidos

Uma mensagem de erro 403 Forbidden geralmente ocorre quando a identidade do AWS Identity and Access Management (AWS IAM) não tem as permissões corretas ou tem uma solicitação assinada incorretamente.

Quando você ativa o registro detalhado em seu cliente ou escolhe a guia Rede no console do IAM, você pode ver a mensagem de erro “x-aoss-response-hint': 'X01:gw-helper-deny”.

Para acessar as APIs de plano de dados OpenSearch Dashboards e OpenSearch Sem Servidor, inclua as ações aoss:DashboardsAccessAll e aoss:APIAccessAll na política de permissões da identidade do IAM. Para ver um exemplo de política, consulte Usando operações da API OpenSearch.

Para acesso às APIs do plano de dados OpenSearch Sem Servidor, uma solicitação assinada incorretamente também pode causar um erro 403 Forbidden. Depois de confirmar que suas permissões do IAM estão corretas, revise como seu cliente interage com as APIs do OpenSearch.

Para escrever uma versão simples do seu código, consulte Ingestão de dados em coleções do Amazon OpenSearch Sem Servidor.

Use curl para testar seu endpoint a partir de uma instância do Amazon Elastic Compute Cloud (Amazon EC2).

Exemplo de comando curl que ingere um registro em um índice:

curl -XPOST \
    —user "$AWS_ACCESS_KEY_ID":"$AWS_SECRET_ACCESS_KEY" \
    —aws-sigv4 "aws:amz:us-east-1:aoss" \
    —header "x-amz-content-sha256: $REQUEST_PAYLOAD_SHA_HASH" \
    —header "x-amz-security-token: $AWS_SESSION_TOKEN" \
    "https://my-collection-endpoint.us-east-1.aoss.amazonaws.com/movies-index/_doc" \
    -H "Content-Type: application/json" -d '{"title": "Shawshank Redemption"}'

Observação: substitua o exemplo de ID da chave de acesso, chave secreta e token de sessão por seus valores. Para obter esses valores, execute o comando get-session-token da AWS CLI.

Se você enviar uma carga útil, execute o seguinte comando para gerar um algoritmo de hash seguro de 256 bits (SHA-256) da carga útil como parte dos cabeçalhos:

echo -n '{"title": "Shawshank Redemption"}' | shasum -a 256

Também é possível usar o awscurl no site do GitHub. O awscurl usa suas credenciais padrão, como seu perfil de instância do EC2, para que você não precise fazer o hash da carga útil como cabeçalho.

Exemplo de solicitações awscurl:

awscurl --service aoss --region us-east-1 -XPOST \
    "https://my-collection-endpoint.us-east-1.aoss.amazonaws.com/movies-index/_doc" \
    -H "Content-Type: application/json" -d '{"title": "Shawshank Redemption"}'

awscurl --service aoss --region us-east-1 -XGET \
    "https://my-collection-endpoint.us-east-1.aoss.amazonaws.com/_cat/indices"

Observação: substitua o us-east-1 pela sua região da AWS e o endpoint de exemplo pelo seu endpoint.

Use o registro detalhado para confirmar se os cabeçalhos anteriores fazem parte da solicitação enviada ao serviço. Assinaturas incorretas ocorrem devido a valores de cabeçalho incorretos. Também é possível usar o registro detalhado para confirmar se o endpoint, a região e o serviço de coleta estão corretos.

Outros erros 403

Dependendo da ação que você executa, você pode receber uma mensagem de erro 403 diferente.

Para operações de ingestão de índices específicos, você pode ver uma mensagem de erro semelhante a “Authorization failure for the following indices: [index/collectionname/indexname]”.

Para solicitações de pesquisa, você pode ver uma mensagem de erro como “all shards failed” ou “Bad Authorization”.

Para operações não específicas de índice, você pode ver uma mensagem de erro semelhante a “User does not have permissions for the requested resource”.

Para resolver esses erros, certifique-se de que a política de acesso aos dados da coleção contenha as permissões corretas para os recursos de coleta e indexação. Além disso, certifique-se de que a política contenha a identidade correta do IAM na seção Entidade principal.

Para obter mais informações sobre a sintaxe da política de acesso a dados, consulte Sintaxe da política.

Erros 401 Unauthorized

Uma mensagem de erro 401 geralmente ocorre quando a política de rede nega acesso às APIs OpenSearch Sem Servidor ou ao painel.

Quando você ativa o registro detalhado em seu cliente ou visualiza a guia Rede do console do desenvolvedor do navegador, você pode ver a mensagem de erro “x-aoss-response-hint': 'X01:network-policy-deny”.

Para acessar as APIs do OpenSearch Sem Servidor e o painel da Internet pública, ative o acesso público na política de rede.

Exemplo de política de rede no formato JSON:

[
  {
    "Rules": [
      {
        "Resource": [
          "collection/collectionname"
        ],
        "ResourceType": "dashboard"
      },
      {
        "Resource": [
          "collection/collectionname"
        ],
        "ResourceType": "collection"
      }
    ],
    "AllowFromPublic": true
  }
]

Observação: substitua collectionname pelo nome da sua coleção.

Para acesso privado às APIs e ao painel, crie um VPC endpoint da VPC do cliente para OpenSearch Sem Servidor.

Exemplo de política de rede no formato JSON:

[
  {
    "Rules": [
      {
        "Resource": [
          "collection/collectionname"
        ],
        "ResourceType": "dashboard"
      },
      {
        "Resource": [
          "collection/collectionname"
        ],
        "ResourceType": "collection"
      }
    ],
    "AllowFromPublic": false,
    "SourceVPCEs": [
      "vpce-0c9xxxxxxxxxxa680"
    ]
  }
]

Observação: substitua collectionname pelo nome da sua coleção.

Para outros exemplos de políticas de rede, consulte Acesso à rede para Amazon OpenSearch sem servidor.

Para acessar qualquer domínio OpenSearch Sem Servidor de outra VPC, crie um endpoint da VPC do OpenSearch Sem Servidor na VPC. Para obter mais informações, consulte Acesse o Amazon OpenSearch sem servidor usando um endpoint de interface (AWS PrivateLink).

Observação: é possível optar por fazer com que seus clientes chamem os endpoints da API OpenSearch Sem Servidor a partir de uma VPC. É possível acessar os painéis a partir de navegadores que usam a Internet pública.

Para acessar de forma privada os painéis de sua rede corporativa, use um endpoint de resolução de DNS de entrada. A consulta ao DNS retorna o endereço IP privado correto. Para obter mais informações, consulte Acesse as coleções do Amazon OpenSearch Sem Servidor usando um endpoint da VPC.

Informações relacionadas

Como soluciono problemas de acesso aos painéis do OpenSearch Sem Servidor para visualizar minha coleção?

Tópicos: Analytics Database
Tags: Amazon OpenSearch Serverless
Idioma: Português

AWS OFICIALAtualizada há 8 meses

Sem comentários

Conteúdo relevante

Configuração AWS Opensearch Service com Entra ID
Priscila Camargo
feita há 6 meses
Configuração SAML AWS Opensearch Service
Resposta aceita
Priscila Camargo
feita há 6 meses
Erro ao conectar remotamente a Instância EC2 após problemas na licença do Acesso Remoto do Windows Server
PauloS
feita há 8 meses
Servidor não Liga
Evandro
feita há um ano
Servidores com Instabilidade
ALESSANDRO
feita há 7 meses
Como soluciono erros de controle de acesso refinado no meu cluster do Amazon OpenSearch Service?
AWS OFICIALAtualizada há 3 anos
Como faço para conectar meu painel do Amazon Managed Grafana ao OpenSearch Sem Servidor?
AWS OFICIALAtualizada há 8 meses
Como faço para usar o Filebeat e o Logstash no Amazon Linux para me conectar ao OpenSearch Service?
AWS OFICIALAtualizada há 4 meses
Como posso usar a autenticação do Amazon Cognito para acessar os painéis do OpenSearch de fora de uma VPC?
AWS OFICIALAtualizada há um ano
Usando o CloudWatch e o AWS Shield para Monitoramento Eficaz de DDoS: Um Guia Técnico
ESPECIALISTA
Mateus Prado
publicada há 4 meses