Wie kann ich mithilfe der Amazon-Cognito-Authentifizierung außerhalb einer VPC auf OpenSearch Dashboards zugreifen?

Letzte Aktualisierung: 10.9.2021

Mein Amazon-OpenSearch-Service-Cluster (Nachfolger von Amazon Elasticsearch Service) befindet sich in einer Virtual Private Cloud (VPC). Wie kann ich mithilfe der Amazon-Cognito-Authentifizierung außerhalb einer VPC auf den OpenSearch-Dashboards-Endpunkt zugreifen?

Lösung

Verwenden Sie eine der folgenden Methoden, um mithilfe der Amazon-Cognito-Authentifizierung außerhalb einer VPC auf OpenSearch Dashboards zuzugreifen:

Einen SSH-Tunnel verwenden

Weitere Informationen finden Sie unter Wie kann ich einen SSH-Tunnel verwenden, um von außerhalb einer VPC mit Amazon-Cognito-Authentifizierung auf OpenSearch Dashboards zuzugreifen?

  • Vorteile: Ermöglicht eine sichere Verbindung über das SSH-Protokoll. Alle Verbindungen verwenden den SSH-Port.
  • Nachteile: Erfordert eine clientseitige Konfiguration und einen Proxy-Server.

Einen NGINX-Proxy verwenden

Weitere Informationen finden Sie unter Wie kann ich einen NGINX-Proxy verwenden, um von außerhalb einer VPC mit Amazon-Cognito-Authentifizierung auf OpenSearch Dashboards zuzugreifen?

  • Vorteile: Die Einrichtung ist einfacher, da nur eine serverseitige Konfiguration erforderlich ist. Verwendet Standard-HTTP (Port 80) und -HTTPS (Port 443).
  • Nachteile: Erfordert einen Proxy-Server. Das Sicherheitsniveau der Verbindung ist von der Konfiguration des Proxy-Servers abhängig.

(Optional) Eine Amazon-Cognito-Rolle hinzufügen, wenn die detaillierte Zugriffssteuerung (Fine-Grained Access Control, FGAC) aktiviert ist

Wenn die detaillierte Zugriffssteuerung (Fine-Grained Access Control, FGAC) auf Ihrem OpenSearch-Service-Cluster aktiviert ist, kann der Fehler missing role auftreten. Führen Sie die folgenden Schritte aus, um den Fehler missing role zu beheben:

1.    Melden Sie sich bei der AWS-Managementkonsole an.

2.    Wählen Sie unter Analytics (Analysen) OpenSearch Service aus.

3.    Wählen Sie Actions (Aktionen) aus.

4.    Wählen Sie Modify master user (Hauptbenutzer ändern) aus.

5.    Wählen Sie Set IAM ARN als Hauptbenutzer aus.

6.    Fügen Sie im Feld IAM ARN die von Amazon Cognito authentifizierte ARN-Rolle hinzu.

7.    Wähle Sie Submit (Absenden) aus.

Weitere Informationen zur detaillierten Zugriffssteuerung finden Sie unter Tutorial: IAM-Hauptbenutzer und Amazon Cognito.

VPN verwenden

Weitere Informationen finden Sie unter Was ist AWS Site-to-Site VPN?.

  • Vorteile: Sichere Verbindung zwischen Ihren lokalen Geräten und Ihren VPCs. Verwendet Standard-TCP und -UDP für TLS VPN.
  • Nachteile: Erfordert VPN-Setup und clientseitige Konfiguration.

Hinweis: Um den Zugriff auf Ressourcen zu erlauben oder einzuschränken, müssen Sie die VPC-Netzwerkkonfiguration und die mit der OpenSearch-Service-Domäne verknüpften Sicherheitsgruppen ändern. Weitere Informationen finden Sie unter Testen von VPC-Domänen.