如何通过 Amazon Cognito 身份验证从 VPC 外部访问 OpenSearch 控制面板?

上次更新日期: 2021 年 9 月 10 日

我的 Amazon OpenSearch Service 集群位于 virtual private cloud (VPC) 中。如何通过 Amazon Cognito 身份验证从 VPC 外部访问 OpenSearch 控制面板终端节点?

解决方法

使用以下方法之一通过 Amazon Cognito 身份验证从 VPC 外部访问 OpenSearch 控制面板:

使用 SSH 隧道

有关更多信息,请参阅如何使用 SSH 隧道通过 Amazon Cognito 身份验证从 VPC 外部访问 OpenSearch 控制面板?

  • 优点:通过 SSH 协议提供安全连接。所有连接都使用 SSH 端口。
  • 缺点:需要进行客户端配置和代理服务器。

使用 NGINX 代理

有关更多信息,请参阅如何使用 NGINX 代理通过 Amazon Cognito 身份验证从 VPC 外部访问 OpenSearch 控制面板?

  • 优点: 安装更容易,因为只需要进行服务器端配置。使用标准 HTTP(端口 80)和 HTTPS(端口 443)。
  • 缺点:需要代理服务器。连接的安全级别取决于代理服务器的配置方式。

(可选)如果启用了细粒度访问控制 (FGAC),请添加经 Amazon Cognito 身份验证的角色

如果在 OpenSearch Service 集群上启用了细粒度访问控制 (FGAC),您可能会遇到缺少角色错误。要解决缺少角色错误,请执行以下步骤:

1.    登录您的 AWS 管理控制台

2.    在分析下,选择 OpenSearch Service

3.    选择操作

4.    选择 Modify master user(修改主用户)。

5.    选择 Set IAM ARN(设置 IAM ARN)作为您的主用户。

6.    在 IAM ARN 字段中,添加经 Amazon Cognito 身份验证的 ARN 角色。

7.    选择 Submit(提交)。

有关细粒度访问控制的更多信息,请参阅教程: IAM 主用户和 Amazon Cognito

使用 VPN

有关更多信息,请参阅 AWS Site-to-Site VPN 是什么?

  • 优点: 确保您的本地设备与 VPC 之间连接安全。对 TLS VPN 使用标准 TCP 和 UDP。
  • 缺点:需要 VPN 设置并进行客户端配置。

注意:要允许或限制对资源的访问,必须修改 VPC 网络配置以及与 OpenSearch Service 域关联的安全组。有关更多信息,请参阅测试 VPC 域

Amazon OpenSearch Service 是 Amazon Elasticsearch Service 的后继者。

如何排查有关用于 OpenSearch 控制面板的 Amazon Cognito 身份验证的问题?

配置面向 OpenSearch 控制面板的 Amazon Cognito 身份验证

在我尝试访问 OpenSearch Service 集群时收到错误“User: anonymous is not authorized”(用户:匿名用户未获得授权)

这篇文章对您有帮助吗?

提交反馈

您是否需要账单或技术支持?

联系 AWS Support