¿Cómo se puede acceder a OpenSearch Dashboards desde fuera de una VPC mediante la autenticación de Amazon Cognito?

Última actualización: 10/09/2021

Mi clúster de Amazon OpenSearch Service se encuentra en una nube virtual privada (VPC). ¿Cómo puedo acceder al punto de conexión de OpenSearch Dashboards desde fuera de una VPC mediante la autenticación de Amazon Cognito?

Resolución

Utilice uno de los siguientes métodos para acceder a OpenSearch Dashboards desde fuera de una VPC con la autenticación de Amazon Cognito:

Utilizar un túnel SSH

Para obtener más información, consulte ¿Cómo se puede utilizar un túnel SSH para acceder a OpenSearch Dashboards desde fuera de una VPC con la autenticación de Amazon Cognito?

  • Ventajas: proporciona una conexión segura a través del protocolo SSH. Todas las conexiones utilizan el puerto SSH.
  • Desventajas: requiere configuración del lado del cliente y un servidor proxy.

Utilizar un proxy NGINX

Para obtener más información, consulte ¿Cómo se puede utilizar un proxy NGINX para acceder a OpenSearch Dashboards desde fuera de una VPC que usa la autenticación de Amazon Cognito?

  • Ventajas: la configuración es más sencilla, porque solo se requiere la configuración del lado del servidor. Utiliza HTTP estándar (puerto 80) y HTTPS (puerto 443).
  • Desventajas: requiere un servidor proxy. El nivel de seguridad de la conexión depende de cómo esté configurado el servidor proxy.

(Opcional) Si el control de acceso detallado (FGAC) está habilitado, agregue un rol autenticado de Amazon Cognito.

Si el control de acceso detallado (FGAC) está habilitado en el clúster de OpenSearch Service, es posible que se produzca un error de falta el rol. Para resolver el error de falta el rol, lleve a cabo los siguientes pasos:

1.    Inicie sesión en la consola de administración de AWS.

2.    En Analytics (Análisis), elija OpenSearch Service.

3.    Elija Actions (Acciones).

4.    Seleccione Modify master user (Modificar usuario maestro).

5.    Elija Set IAM ARN (Establecer ARN de IAM) como usuario maestro.

6.    En el campo “IAM ARN” (ARN de IAM), agregue el rol de ARN autenticado de Amazon Cognito.

7.    Elija Submit (Enviar).

Para obtener más información acerca del control de acceso detallado, consulte Tutorial: usuario maestro de IAM y Amazon Cognito.

Utilizar una VPN

Para obtener más información, consulte Qué es AWS Site-to-Site VPN.

  • Ventajas: conexión segura entre el equipo en las instalaciones y las VPC. Utiliza UDP y TCP estándar para VPN TLS.
  • Desventajas: requiere configuración del lado del cliente y de VPN.

Nota: Para permitir o restringir el acceso a los recursos, debe modificar la configuración de red de la VPC y los grupos de seguridad asociados con el dominio de OpenSearch Service. Para obtener más información, consulte Prueba de dominios de VPC.

Amazon OpenSearch Service es el sucesor de Amazon Elasticsearch Service.