¿Cómo puedo solucionar los errores de control de acceso detallado en el clúster de OpenSearch Service?

4 minutos de lectura
0

Recibo errores o tengo problemas relacionados con el control de acceso en el clúster de Amazon OpenSearch Service.

Descripción corta

Es posible que reciba errores de control de acceso detallado o que necesite aplicar una configuración adicional en el clúster de OpenSearch Service. Para resolver estos problemas, siga estos pasos de resolución de problemas para su caso de uso.

Nota: El diseño gestionado de OpenSearch Service no admite el acceso anónimo.

Resolución

Errores 403 «security_exception»,«reason»:«no permissions»

Para resolver este error, primero compruebe si el rol de usuario o de backend del clúster de OpenSearch Service tiene los permisos necesarios. Consulte el apartado Permisos del sitio web de OpenSearch. A continuación, complete los pasos indicados en el sitio web de OpenSearch para asignar el rol de usuario o de backend a un rol.

«Usuario: anónimo no está autorizado a ejecutar iam:PassRole»

Es posible que reciba este error al intentar registrar una instantánea manual. Debe asignar el rol manage_snapshots al rol de Identity and Access Management (IAM) que utilizó para registrar la instantánea manual. A continuación, utilice ese rol de IAM para enviar una solicitud firmada al dominio.

«No se ha encontrado ningún dato de Elasticsearch»

Es posible que reciba este error al intentar crear patrones de índices después de actualizar OpenSearch Service a la versión 7.9. Utilice la API resolve index para añadir indices:admin/resolve/index a todos los índices y alias al crear un patrón de índices en un clúster activado por el control de acceso detallado. Para obtener más información, consulte el apartado API en el sitio web de OpenSearch.

Cuando falta este permiso, OpenSearch Service emite un código de estado de error 403, que posteriormente se asigna a un código de estado de error 500 de OpenSearch Dashboards. Como resultado, los índices no aparecen en la lista.

Errores 401 no autorizados

Es posible que reciba un error 401 no autorizado si utiliza los caracteres $ o ! en las credenciales principales con curl -u «user:password». Asegúrese de poner las credenciales entre comillas simples, como en el siguiente ejemplo:

curl -u 'username' <Domain_Endpoint>

Integrar otros servicios de AWS con OpenSearch Service cuando se activa el control de acceso detallado

Para integrar otro servicio de AWS con OpenSearch Service al activar el control de acceso detallado, debe conceder los permisos adecuados a los roles de IAM para esos servicios. Para obtener más información, consulte Integraciones.

Proporcionar acceso detallado a índices, paneles y visualizaciones específicos en función de la tenencia del usuario

Para proporcionar control de acceso detallado a determinados índices o paneles, asigne el usuario a un rol que tenga permisos para el índice Kibana del inquilino:

.kibana_<hash>_<tenant_name>

Para obtener más información, consulte Administrar índices de OpenSearch Dashboards en el sitio web de OpenSearch.

Utilizar un control de acceso detallado en el nivel de campo o de documento

Para utilizar un control de acceso detallado en el nivel de campo, configure un rol con la seguridad de nivel de campo necesaria. A continuación, asigne el usuario al rol que ha creado. Para obtener más información, consulte Seguridad en el nivel de campo en el sitio web de OpenSearch.

Para utilizar un control de acceso detallado en el nivel de documento, cree un rol de panel interno con la seguridad requerida en el nivel de documento. A continuación, asigne el usuario al panel interno. Para obtener más información, consulte Seguridad en el nivel de documento en el sitio web de OpenSearch.

Información relacionada

Control de acceso detallado en Amazon OpenSearch Service

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace un año