如何使用 Amazon Cognito 驗證從 VPC 外部存取 OpenSearch Dashboards？

2 分的閱讀內容

我的 Amazon OpenSearch Service 叢集位於虛擬私有雲端 (VPC) 中。我想從 VPC 外部存取 OpenSearch Dashboards 端點。

解決方法

若要存取 OpenSearch Dashboards，請使用 SSH 通道、NGINX Proxy 或 AWS Site-to-Site VPN。

SSH 通道透過 SSH 協定提供安全連線，所有連線都使用 SSH 連接埠。但是，SSH 通道需要用戶端組態和 Proxy 伺服器。

NGINX Proxy 只需要伺服器端組態，並使用標準 HTTP (連接埠 80) 和 HTTPS (連接埠 443)。但是，NGINX Proxy 需要 Proxy 伺服器，並且連線的安全性層級取決於您如何設定 Proxy 伺服器。

如果您為 OpenSearch Service 叢集啟用精細存取控制，那麼您可能會收到缺少角色錯誤。

若要解決缺少角色錯誤，請完成下列步驟：

開啟 OpenSearch Service console (OpenSearch Service 主控台)。
在導覽窗格的 Managed clusters (受管叢集) 下，選擇 Domains (網域)。
選擇 Actions (動作)，然後選擇 Edit security configurations (編輯安全組態)。
選擇 Set IAM ARN as your master user (將 IAM ARN 設定為主要使用者)。
在 IAM ARN 中，輸入經過 Amazon Cognito 驗證的 AWS Identity and Access Management (IAM) 角色的 Amazon Resource Name (ARN)。
選擇 Submit (提交)。

對於具有精細存取控制和 OpenSearch Dashboards 存取權的現有叢集，您可以將 Amazon Cognito 使用者對應為內部使用者的後端角色。您也可以將使用者對應到 OpenSearch Dashboards 中的 all_access 角色。

請完成下列步驟：

開啟 OpenSearch Service console (OpenSearch Service 主控台)。
在導覽窗格的 Managed clusters (受管叢集) 下，選擇 Domains (網域)。
登入您叢集的 OpenSearch Dashboards。
選擇 all_access 角色。
在 Dashboards 下，選擇 Security (安全性)，然後選擇 Roles/Internal Users (角色/內部使用者)。
在 Roles (角色) 中，選擇 all_access，或從內部使用者中選取使用者。
選擇 Manage Mappings (管理對應)。
在 Backend role (後端角色) 中，輸入經過 Amazon Cognito 驗證的 IAM 角色 ARN，然後選擇 Map (對應)。
在 Edit Cluster Settings (編輯叢集設定) 下，為經過 Amazon Cognito 驗證的 IAM 角色使用者集區和身分集區啟用 Cognito 驗證。
**注意：**此設定會導致藍/綠部署。
透過 NGINX Proxy 更新叢集存取，或使用 AWS VPN。

Site-to-Site VPN 在您的內部部署設備和 VPC 之間建立安全連線，並使用標準 TCP 和 UDP 實作 SSL/TLS VPN。但是，Site-to-Site VNP 連線需要 VPN 設定和用戶端組態。

**注意：**若要允許或限制對資源的存取權，請修改 VPC 網路組態，以及與 OpenSearch Service 網域關聯的安全群組。如需詳細資訊，請參閱測試 VPC 網域。