Wie kann ich Fehler bei der differenzierten Zugriffskontrolle in meinem Cluster in Amazon OpenSearch Service beheben?

Letzte Aktualisierung: 20.09.2022

In meinem Cluster in Amazon OpenSearch Service treten Fehler bei der Zugriffskontrolle auf. Wie löse und behebe ich Zugriffskontrollfehler?

Kurzbeschreibung

In Ihrem OpenSearch-Service-Cluster kann einer der folgenden Fehler bei differenzierter Zugriffskontrolle (fine-grained access control (FGAC)) auftreten:

  • „security_exception“, „Grund“:„keine Berechtigungen“ 403-Fehler
  • „Benutzer: anonym ist nicht berechtigt auszuführen: iam: PassRole“
  • „Konnte keine Elasticsearch-Daten finden“
  • 401-nicht-autorisiert-Fehler

Zusätzlich zur Behebung dieser Fehler zeigt Ihnen dieser Artikel, wie Sie die folgenden Aufgaben mit OpenSearch Service ausführen:

  • Integrieren Sie andere AWS-Services mit OpenSearch Service, wenn die differenzierte Zugriffskontrolle aktiviert ist
  • Erlauben von anonymem Zugriff mithilfe der differenzierten Zugriffskontrolle
  • Anbieten eines differenzierten Zugriffs auf bestimmte Indizes, Dashboards und Visualisierungen basierend auf der Benutzer-Tenancy
  • Verwenden von differenzierter Zugriffskontrolle auf Feldebene

Auflösung

„security_exception“, „Grund“:„keine Berechtigungen“ 403-Fehler

Um diesen Fehler zu beheben, überprüfen Sie zunächst, ob der Benutzer oder die Backend-Rolle in Ihrem OpenSearch-Service-Cluster über die erforderlichen Berechtigungen verfügt. Ordnen Sie dann die Benutzer- oder Backend-Rolle einer Rolle zu.

„Benutzer: anonym ist nicht berechtigt auszuführen: iam: PassRole“

Diese Fehlermeldung wird möglicherweise angezeigt, wenn Sie versuchen, einen manuellen Snapshot zu registrieren. Neben den normalen Berechtigungen, die für die Amazon Identity and Access Management (IAM)-Rolle erforderlich sind, mit der Sie den manuellen Snapshot registriert haben, müssen Sie die Rolle manage_snapshots der IAM-Rolle zuordnen. Verwenden Sie dann diese IAM-Rolle, um eine signierte Anfrage an die Domäne zu senden.

„Konnte keine Elasticsearch-Daten finden“

Dieser Fehler wird möglicherweise angezeigt, wenn Sie versuchen, nach der Aktualisierung auf OpenSearch Service Version 7.9 Indexmuster zu erstellen. Verwenden Sie die Resolve Index API, um „indices:admin/resolve/index“ zu allen Indizes und Aliases hinzuzufügen, wenn Sie ein Indexmuster in einem Cluster mit differenzierter Zugriffskntrolle erstellen. Wenn diese Berechtigung fehlt, gibt OpenSearch Service einen 403-Fehlercode aus. Dieser wird wiederum einem 500-Fehlercode von OpenSearch Dashboards zugeordnet. Infolgedessen werden die Indizes nicht aufgeführt.

401-nicht-autorisiert-Fehler

Möglicherweise erhalten Sie eine Fehlermeldung 401 unauthorized, wenn Sie die Zeichen "$" oder "!" in den primären Anmeldeinformationen mit curl -u "user:password" verwenden. Stellen Sie sicher, dass Sie Ihre Anmeldeinformationen in einfache Anführungszeichen setzen wie im folgenden Beispiel:

curl -u <DOMAIN-ENDPOINT>

Integrieren Sie andere AWS-Services mit OpenSearch Service, wenn die differenzierte Zugriffskontrolle aktiviert ist

Um einen anderen AWS-Service mit OpenSearch Service zu integrieren, wenn die differenzierte Zugriffskontrolle aktiviert ist, müssen Sie den IAM-Rollen für diese Services die entsprechenden Berechtigungen erteilen. Weitere Informationen finden Sie in der folgenden Dokumentation zur Verwendung von Integrationen mit differenzierter Zugriffskontrolle.

Erlauben von anonymem Zugriff mithilfe der differenzierten Zugriffskontrolle

Aufgrund des verwalteten Charakters von OpenSearch Service wird anonymer Zugriff derzeit nicht unterstützt.

Anbieten eines differenzierten Zugriffs auf bestimmte Indizes, Dashboards und Visualisierungen basierend auf der Benutzer-Tenancy

Um FGAC-Zugriff auf bestimmte Indizes oder Dashboards zu gewähren, ordnen Sie den Benutzer einer Rolle zu, die über Berechtigungen für den Kibana-Index des Mandanten verfügt:

.kibana_<hash>_<tenant_name>

Weitere Informationen finden Sie unter Verwalten von Kibana-Indizes auf der OpenDistro-Website.

Verwenden von differenzierter Zugriffskontrolle auf Feldebene

Um eine differenzierte Zugriffskontrolle auf Feldebene zu verwenden, richten Sie eine Rolle mit der erforderlichen Sicherheit auf Feldebene ein. Ordnen Sie dann den Benutzer der Rolle zu, die Sie erstellt haben.


War dieser Artikel hilfreich?


Benötigen Sie Hilfe zur Fakturierung oder technischen Support?