Comment résoudre les problèmes de contrôle d'accès affiné dans mon cluster OpenSearch Service ?

Brève description

Il est possible que vous receviez des erreurs de contrôle d'accès affiné (FGAC) ou que vous ayez besoin d'une configuration supplémentaire dans votre cluster OpenSearch Service. Pour résoudre ces problèmes, suivez les étapes de dépannage correspondant à votre cas d'utilisation.

Remarque : En raison de la conception gérée d'OpenSearch Service, l'accès anonyme n'est pas pris en charge.

Résolution

« security_exception »,« reason »:« no permissions » 403 errors

Pour résoudre cette erreur, commencez par vérifier si l'utilisateur ou le rôle backend de votre cluster OpenSearch Service dispose des autorisations requises. Voir Autorisations sur le site Web d'OpenSearch. Suivez ensuite les étapes indiquées sur le site Web d'OpenSearch pour associer le rôle utilisateur ou backend à un rôle.

« User: anonymous is not authorized to perform: iam:PassRole »

Cette erreur peut s'afficher lorsque vous essayez d'enregistrer un instantané manuel. Vous devez faire correspondre le rôle manage \ _snapshots au rôle gestion des identités et des accès (AWS IAM) que vous avez utilisé pour enregistrer l'instantané manuel. Utilisez ensuite ce rôle IAM pour envoyer une demande signée au domaine.

« Données Elasticsearch introuvables »

Cette erreur peut s'afficher lorsque vous essayez de créer des modèles d'index après la mise à niveau vers OpenSearch Service version 7.9. Utilisez l'API de résolution d’index pour ajouter indices:admin/resolve/index à tous les indices et alias lors de la création d'un modèle d'index dans un cluster activé par FGAC. Pour plus d'informations, consultez API sur le site Web d'OpenSearch.

Lorsque cette autorisation est manquante, OpenSearch Service envoie un code d'état d'erreur 403. Il est ensuite mis en correspondance avec un code d'état d'erreur 500 provenant des tableaux de bord OpenSearch. Par conséquent, les indices ne sont pas répertoriés.

Erreurs 401 : non autorisé

Il est possible que vous receviez une erreur 401 (non autorisée) lorsque vous utilisez les caractères $ ou ! dans les informations d'identification principales avec curl -u « user:password ». Assurez-vous de mettre vos informations d'identification entre des guillemets simples, comme dans l'exemple suivant :

curl -u 'username' <Domain_Endpoint>

Intégrer d'autres services AWS à OpenSearch Service lorsque le contrôle précis des accès est activé

Pour intégrer un autre service AWS à OpenSearch Service lorsqu'un contrôle d'accès précis est activé, accordez les autorisations appropriées aux rôles IAM pour ces services. Pour plus d'informations, consultez la section Intégrations.

Fournissez un accès détaillé à des index, à des tableaux de bord et à des visualisations spécifiques en fonction de la location utilisateur

Pour fournir un accès FGAC à des index ou des tableaux de bord spécifiques, mappez l'utilisateur à un rôle disposant des autorisations sur l'index Kibana du locataire :

.kibana_<hash>_<tenant_name>

Pour plus d'informations, consultez la section Gérer les index des tableaux de bord OpenSearch sur le site Web d'OpenSearch.

Utilisez un contrôle d'accès affiné au niveau du champ ou du document

Pour utiliser un contrôle d'accès affiné au niveau du champ, configurez un rôle doté de la sécurité au niveau du champ requise. Ensuite, faites correspondre l'utilisateur au rôle que vous avez créé. Pour plus d'informations, consultez la rubrique Sécurité au niveau du champ sur le site Web d'OpenSearch.

Pour utiliser un contrôle d'accès affiné au niveau du document, créez un rôle de tableau de bord interne doté de la sécurité au niveau du document requise. Ensuite, associez l'utilisateur au tableau de bord interne. Pour plus d'informations, consultez la section Sécurité au niveau du document sur le site Web d'OpenSearch.

Informations connexes

Contrôle d'accès affiné dans Amazon OpenSearch Service