¿Cómo soluciono los errores de control de acceso detallado en mi clúster de Amazon OpenSearch Service?

Última actualización: 05-08-2021

Estoy experimentando errores de control de acceso en mi clúster de Amazon OpenSearch Service (sucesor de Amazon Elasticsearch Service). ¿Cómo puedo solucionar los errores de control de acceso?

Descripción breve

Es posible que experimente uno de los siguientes errores de control de acceso detallado en el clúster de OpenSearch Service:

  • Errores 403 “security_exception”,“reason”:“no permissions”
  • “User: anonymous is not authorized to perform: iam:PassRole” (Usuario: anónimo no está autorizado a ejecutar: iam:PassRole)
  • “Couldn’t find any Elasticsearch data” (No se pudo encontrar ningún dato de Elasticsearch)
  • Errores 401 no autorizados

Además de cómo solucionar estos errores, en este artículo se muestra cómo realizar las siguientes tareas con OpenSearch Service:

  • Integrar otros servicios de AWS a OpenSearch Service cuando se habilita el control de acceso detallado de campo
  • Permitir el acceso anónimo mediante el control de acceso detallado
  • Proporcionar acceso detallado a índices, paneles y visualizaciones específicos en función de la tenencia del usuario
  • Utilizar un control de acceso detallado a nivel de campo

Resolución

Errores 403 “security_exception”,“reason”:“no permissions”

Para resolver este error, primero compruebe si el rol de usuario o de backend del clúster de OpenSearch Service tiene los permisos necesarios. A continuación, asigne el rol de usuario o de backend a un rol.

“User: anonymous is not authorized to perform: iam:PassRole” (Usuario: anónimo no está autorizado a ejecutar: iam:PassRole)

Es posible que reciba este error si intenta registrar una instantánea manual. Además de contar con los permisos normales necesarios para el rol de Amazon Identity and Access Management (IAM) que utilizó para registrar la instantánea manual, debe asignar el rol manage_snapshots al rol de IAM. A continuación, utilice ese rol de IAM para enviar una solicitud firmada al dominio.

“Couldn’t find any Elasticsearch data” (No se pudo encontrar ningún dato de Elasticsearch)

Es posible que reciba este error cuando intente crear patrones de índices después de actualizar OpenSearch Service a la versión 7.9. Utilice la API resolve (API de resolución) para agregar “indices:admin/resolve/index” a todos los índices y los alias cuando cree un patrón de índices en un clúster habilitado para el FGAC. Cuando falta este permiso, OpenSearch Service emite un código de estado de error 403. Esto, a su vez, se asigna a un código de estado de error 500 de OpenSearch Dashboards. Como resultado, los índices no aparecen en la lista.

Errores 401 no autorizados

Es posible que reciba un error 401 no autorizado cuando use los caracteres “$” o “!” en las credenciales principales con “user:password” de curl -u. Asegúrese de poner tus credenciales entre comillas simples, como en el siguiente ejemplo:

curl -u 'user:password' <DOMAIN-ENDPOINT>

Integrar otros servicios de AWS a OpenSearch Service cuando se habilita el control de acceso detallado de campo

Para integrar otro servicio de AWS a OpenSearch Service cuando se habilita el control de acceso detallado de campo, debe otorgar los permisos adecuados a los roles de IAM para esos servicios. Para obtener más información, consulte la siguiente documentación acerca del uso de integraciones con el control de acceso detallado.

Permitir el acceso anónimo mediante el control de acceso detallado

Debido a la naturaleza administrada de OpenSearch Service, actualmente no se admite el acceso anónimo.

Proporcionar acceso detallado a índices, paneles y visualizaciones específicos en función de la tenencia del usuario

Para proporcionar acceso FGAC a índices o paneles específicos, asigne el usuario a un rol que tenga permisos para el índice Kibana del inquilino:

.kibana_<hash>_<tenant_name>

Para obtener más información, consulte Administrar índices de Kibana en el sitio web de OpenDistro.

Utilizar un control de acceso detallado a nivel de campo

Para utilizar un control de acceso detallado a nivel de campo, configure un rol con la seguridad de nivel de campo necesaria. A continuación, asigne el usuario al rol que creó.


¿Le resultó útil este artículo?


¿Necesita asistencia técnica o con la facturación?