Comment accéder à Kibana depuis l'extérieur d'un VPC à l'aide de l'authentification Amazon Cognito ?

Date de la dernière mise à jour : 23/12/2020

Mon cluster Amazon Elasticsearch Service se trouve dans un Virtual Private Cloud (VPC). Comment puis-je accéder au point de terminaison Kibana depuis l'extérieur du VPC d'authentification à l'aide de l'authentification Amazon Cognito ?

Résolution

Utilisez l'une des méthodes suivantes pour accéder à Kibana depuis l'extérieur d'un VPC avec l'authentification Amazon Cognito :

Utiliser un tunnel SSH

Pour plus d'informations, consultez la section Comment puis-je utiliser un tunnel SSH pour accéder à Kibana depuis l'extérieur d'un VPC à l'aide de l'authentification Amazon Cognito ?

  • Avantages : offre une connexion sécurisée sur le protocole SSH. Toutes les connexions utilisent le port SSH.
  • Inconvénients : nécessite la configuration côté client et un serveur proxy.

Utiliser un proxy NGINX

Pour plus d'informations, consultez la section Comment puis-je utiliser un proxy NGINX pour accéder à Kibana depuis l'extérieur d'un VPC à l'aide de l'authentification Amazon Cognito ?

  • Avantages : la configuration est plus simple, car seule une configuration côté serveur est requise. Utilise HTTP (port 80) et HTTPS (port 443) standard.
  • Inconvénients : nécessite un serveur proxy. Le niveau de sécurité de la connexion dépend de la façon dont le serveur proxy est configuré.

(Facultatif) Si le contrôle d'accès précis (FGAC, « fine-grained access control ») est activé, ajoutez un rôle authentifié Amazon Cognito

Si le contrôle d'accès précis (FGAC) est activé sur votre cluster Elasticsearch, vous pouvez rencontrer une erreur missing role (« rôle manquant »). Pour résoudre l'erreur missing role (« rôle manquant »), effectuez les opérations suivantes :

1.    Connectez-vous à votre AWS Management Console.

2.    Sous Analytics, choisissez Elasticsearch Service.

3.    Sélectionnez Actions.

4.    Choisissez Modify master user (Modifier l'utilisateur maître).

5.    Choisissez Définir l'ARN IAM comme utilisateur maître.

6.    Dans le champ IAM ARN, ajoutez le rôle ARN authentifié Amazon Cognito.

7.    Sélectionnez Envoyer.

Pour plus d'informations sur le contrôle d'accès précis, consultez Didacticiel: utilisateur maître IAM et Amazon Cognito.

Utiliser le VPN

Pour plus d'informations, consultez la section Qu'est-ce que le VPN site à site AWS.

  • Avantages : connexion sécurisée entre votre équipement sur site et vos VPC. Utilise TCP et UDP standard pour VPN TLS.
  • Inconvénients : nécessite une configuration VPN et une configuration côté client.

Remarque : pour autoriser ou restreindre l'accès aux ressources, vous devez modifier la configuration du réseau VPC et les groupes de sécurité associés au domaine Elasticsearch. Pour plus d'informations, consultez la section Test de domaines de VPC.