Comment puis-je accéder aux tableaux de bord OpenSearch depuis l'extérieur d'un VPC à l'aide de l'authentification Amazon Cognito ?

Dernière mise à jour : 10/09/2021

Mon cluster Amazon OpenSearch Service (successeur d'Amazon Elasticsearch Service) se trouve dans un Virtual Private Cloud (VPC). Comment puis-je accéder au point de terminaison des tableaux de bord OpenSearch depuis l'extérieur du VPC à l'aide de l'authentification Amazon Cognito ?

Résolution

Utilisez l'une des méthodes suivantes pour accéder aux tableaux de bord OpenSearch depuis l'extérieur d'un VPC avec authentification Amazon Cognito :

Utiliser un tunnel SSH

Pour plus d'informations, veuillez consulter la rubrique Comment puis-je utiliser un tunnel SSH pour accéder à OpenSearch Dashboards depuis l'extérieur d'un VPC à l'aide de l'authentification Amazon Cognito ?

  • Avantages : offre une connexion sécurisée sur le protocole SSH. Toutes les connexions utilisent le port SSH.
  • Inconvénients : nécessite la configuration côté client et un serveur proxy.

Utiliser un proxy NGINX

Pour plus d'informations, veuillez consulter la rubrique Comment puis-je utiliser un procy NGINX pour accéder à OpenSearch Dashboards depuis l'extérieur d'un VPC à l'aide de l'authentification Amazon Cognito ?

  • Avantages : la configuration est plus simple, car seule une configuration côté serveur est requise. Utilise HTTP (port 80) et HTTPS (port 443) standard.
  • Inconvénients : nécessite un serveur proxy. Le niveau de sécurité de la connexion dépend de la façon dont le serveur proxy est configuré.

(Facultatif) Si le contrôle d'accès sélectif (FGAC) est activé, ajoutez un rôle authentifié Amazon Cognito

Si le contrôle d'accès précis (FGAC) est activé sur votre cluster OpenSearch Service, vous risquez de rencontrer une erreur de rôle manquant. Pour résoudre l'erreur de rôle manquant, effectuez les opérations suivantes :

1.    Connectez-vous à votre AWS Management Console.

2.    Sous Analytique, choisissez OpenSearch Service.

3.    Sélectionnez Actions.

4.    Choisissez Modify master user (Modifier l'utilisateur maître).

5.    Choisissez Définir l'ARN IAM comme utilisateur maître.

6.    Dans le champ IAM ARN, ajoutez le rôle ARN authentifié Amazon Cognito.

7.    Sélectionnez Envoyer.

Pour plus d'informations sur le contrôle d'accès précis, veuillez consulter la rubrique Didacticiel: utilisateur maître IAM et Amazon Cognito.

Utiliser le VPN

Pour plus d'informations, consultez la section Qu'est-ce que le VPN site à site AWS.

  • Avantages : connexion sécurisée entre votre équipement sur site et vos VPC. Utilise TCP et UDP standard pour VPN TLS.
  • Inconvénients : nécessite une configuration VPN et une configuration côté client.

Remarque : pour autoriser ou restreindre l'accès aux ressources, vous devez modifier la configuration du réseau VPC et les groupes de sécurité associés au domaine OpenSearch Service. Pour plus d'informations, veuillez consulter la rubrique Test de domaines de VPC.