¿Cómo soluciono los errores de control de acceso detallado en mi clúster de Amazon OpenSearch Service?

Última actualización: 20/09/2022

Es posible que reciba uno de los siguientes errores de control de acceso detallado (FGAC) en el clúster de OpenSearch Service:

• Errores 403 “security_exception”,“reason”:“no permissions”
• “User: anonymous is not authorized to perform: iam:PassRole” (Usuario: anónimo no está autorizado a ejecutar: iam:PassRole)
• “Couldn’t find any Elasticsearch data” (No se pudo encontrar ningún dato de Elasticsearch)
• Errores 401 no autorizados

Además de explicar cómo solucionar estos errores, en este artículo se muestra cómo realizar las siguientes tareas con OpenSearch Service:

• Integrar otros servicios de AWS con OpenSearch Service cuando se activa el control de acceso detallado
• Permitir el acceso anónimo mediante el control de acceso detallado
• Proporcionar acceso detallado a índices, paneles y visualizaciones específicos en función de la tenencia del usuario
• Utilizar un control de acceso detallado a nivel de campo

Para resolver este error, primero compruebe si el rol de usuario o de backend del clúster de OpenSearch Service tiene los permisos necesarios. A continuación, asigne el rol de usuario o de backend a un rol.

Es posible que reciba este error si intenta registrar una instantánea manual. Además de contar con los permisos normales necesarios para el rol de Amazon Identity and Access Management (IAM) que utilizó para registrar la instantánea manual, debe asignar el rol manage_snapshots al rol de IAM. A continuación, utilice ese rol de IAM para enviar una solicitud firmada al dominio.

Es posible que reciba este error cuando intente crear patrones de índices después de actualizar OpenSearch Service a la versión 7.9. Utilice la API resolve index (API de resolución) para agregar “indices:admin/resolve/index” a todos los índices y los alias cuando cree un patrón de índices en un clúster activado para el FGAC. Cuando falta este permiso, OpenSearch Service emite un código de estado de error 403. A continuación, este se asigna a un código de estado de error 500 de OpenSearch Dashboards. Como resultado, los índices no aparecen en la lista.

Es posible que reciba un error 401 no autorizado cuando use los caracteres “$” o “!” en las credenciales principales con “user:password” de curl -u. Asegúrese de poner sus credenciales entre comillas simples, como en el siguiente ejemplo:

Para integrar otro servicio de AWS con OpenSearch Service cuando se activa el control de acceso detallado, debe otorgar los permisos adecuados a los roles de IAM para esos servicios. Para obtener más información, consulte la siguiente documentación acerca del uso de integraciones con el control de acceso detallado.

Debido a la naturaleza administrada de OpenSearch Service, actualmente no se admite el acceso anónimo.

Para proporcionar acceso FGAC a índices o paneles específicos, asigne el usuario a un rol que tenga permisos para el índice Kibana del inquilino:

Para obtener más información, consulte Administrar índices de Kibana en el sitio web de Open Distro.

Para utilizar un control de acceso detallado a nivel de campo, configure un rol con la seguridad de nivel de campo necesaria. A continuación, asigne el usuario al rol que creó.