Comment puis-je accéder à OpenSearch Dashboards depuis l'extérieur d'un VPC qui utilise l'authentification Amazon Cognito ?

Dernière mise à jour : 14/12/2022

Mon cluster Amazon OpenSearch Service se trouve dans un cloud privé virtuel (VPC). Je souhaite accéder au point de terminaison OpenSearch Dashboards depuis l'extérieur de ce VPC.

Solution

Utilisez l'une de ces méthodes pour accéder aux tableaux de bord OpenSearch depuis l'extérieur d'un VPC en utilisant authentification Amazon Cognito :

Utiliser un tunnel SSH

Pour plus d'informations, veuillez consulter la rubrique Comment puis-je utiliser un tunnel SSH pour accéder à OpenSearch Dashboards depuis l'extérieur d'un VPC à l'aide de l'authentification Amazon Cognito ?

  • Avantages : offre une connexion sécurisée sur le protocole SSH. Toutes les connexions utilisent le port SSH.
  • Inconvénients : nécessite la configuration côté client et un serveur proxy.

Utiliser un proxy NGINX

Pour plus d'informations, consultez Comment puis-je utiliser un proxy NGINX pour accéder à OpenSearch Dashboards depuis l'extérieur d'un VPC qui utilise l'authentification Amazon Cognito ?

  • Avantages : la configuration est plus simple, car seule une configuration côté serveur est requise. Utilise HTTP (port 80) et HTTPS (port 443) standard.
  • Inconvénients : nécessite un serveur proxy. Le niveau de sécurité de la connexion dépend de la façon dont le serveur proxy est configuré.

(Facultatif) Si le contrôle d'accès sélectif (FGAC) est actif, ajoutez un rôle authentifié Amazon Cognito

Si le contrôle d'accès précis (FGAC) est activé pour votre cluster OpenSearch Service, vous risquez de rencontrer une erreur de rôle manquant. Pour résoudre l'erreur de rôle manquant, effectuez les opérations suivantes :

1.    Connectez-vous à la console Amazon OpenSearch Service.

2.    Dans le volet de navigation, sous Clusters gérés, choisissez Domaines.

3.    Choisissez Actions, puis choisissez Modifier les configurations de sécurité.

4.    Choisissez Set IAM ARN as your master user (Définir l'ARN IAM comme utilisateur maître).

6.    Dans le champ IAM ARN, ajoutez le rôle ARN authentifié Amazon Cognito.

7.    Sélectionnez Envoyer.

Pour plus d'informations sur le contrôle d'accès précis, consultez Didacticiel: utilisateur maître IAM et Amazon Cognito.

Utiliser le VPN

Pour plus d'informations, veuillez consulter la section Qu'est-ce que AWS Site-to-Site VPN ?

  • Avantages : connexion sécurisée entre votre équipement sur site et vos VPC. Utilise TCP et UDP standard pour VPN TLS.
  • Inconvénients : nécessite une configuration VPN et une configuration côté client.

Remarque : pour autoriser ou restreindre l'accès aux ressources, vous devez modifier la configuration du réseau VPC et les groupes de sécurité associés au domaine OpenSearch Service. Pour plus d'informations, consultez Test des domaines de VPC.