Comment résoudre les erreurs de contrôle précis des accès dans mon cluster Amazon OpenSearch Service ?

Dernière mise à jour : 20/09/2022

Je rencontre des erreurs de contrôle d'accès dans mon cluster Amazon OpenSearch Service. Comment dépanner et résoudre les erreurs de contrôle d'accès ?

Brève description

Vous pouvez rencontrer l'une des erreurs de contrôle précis des accès (FGAC) suivantes dans votre cluster OpenSearch Service :

  • Erreurs 403 « security_exception »,« reason »:« no permissions » (security_exception, motif : aucune autorisation)
  • « User: anonymous is not authorized to perform: iam:PassRole » (Utilisateur : anonyme n'est pas autorisé à exécuter : iam:PassRole)
  • « Couldn't find any Elasticsearch data » (Données Elasticsearch introuvables)
  • Erreurs 401 : non autorisé

Outre la correction de ces erreurs, cet article explique comment effectuer les tâches suivantes à l'aide d'OpenSearch Service :

  • Intégrer d'autres services AWS à OpenSearch Service lorsque le contrôle précis des accès est activé
  • Autoriser les accès anonymes à l'aide du contrôle précis des accès
  • Fournir un accès précis à des index, tableaux de bord et visualisations spécifiques en fonction de la location de l'utilisateur
  • Utiliser un contrôle précis des accès au niveau du champ

Solution

Erreurs 403 « security_exception », « motif » : « aucune autorisation »

Pour résoudre cette erreur, vérifiez d'abord si l'utilisateur ou le backend de votre cluster OpenSearch Service dispose des autorisations requises. Ensuite, mappez l'utilisateur ou le rôle backend à un rôle.

"User: anonymous is not authorized to perform: iam:PassRole" (« Utilisateur : anonyme n'est pas autorisé à exécuter : iam:PassRole »)

Cette erreur peut s'afficher lorsque vous essayez d'enregistrer un instantané manuel. Outre les autorisations normales requises pour le rôle Amazon Identity and Access Management (IAM) que vous avez utilisé pour enregistrer l'instantané manuel, vous devez mapper le rôle manage_snapshots au rôle IAM. Ensuite, utilisez ce rôle IAM afin d'envoyer une demande signée au domaine.

« Couldn't find any Elasticsearch data » (Données Elasticsearch introuvables)

Cette erreur peut s'afficher lorsque vous essayez de créer des modèles d'index après la mise à niveau vers OpenSearch Service version 7.9. Utilisez l'API de résolution d'index afin d'ajouter « indices:admin/resolve/index » à l'ensemble des indices et alias lors de la création d'un modèle d'index dans un cluster avec FGAC activé. Lorsque cette autorisation est manquante, OpenSearch Service envoie un code d'état d'erreur 403. Celui-ci est à son tour mappé à un code d'état d'erreur 500 provenant d'OpenSearch Dashboards. Par conséquent, les index ne sont pas répertoriés.

Erreurs 401 : non autorisé

Il se peut que vous receviez un message d'erreur 401 non autorisée lorsque vous utilisez les caractères « $ » ou « ! » dans les informations d'identification principales avec curl -u « user:password ». Veillez à mettre vos informations d'identification entre guillemets simples, comme dans l'exemple suivant :

curl -u <DOMAIN-ENDPOINT>

Intégrer d'autres services AWS à OpenSearch Service lorsque le contrôle précis des accès est activé

Afin d'intégrer un autre service AWS à OpenSearch Service lorsque le contrôle précis des accès est activé, vous devez accorder aux rôles IAM de ces services les autorisations appropriées. Pour plus d'informations, veuillez consulter la documentation suivante sur l'utilisation des intégrations avec contrôle précis des accès.

Autoriser les accès anonymes à l'aide du contrôle précis des accès

En raison de la nature gérée d'OpenSearch Service, l'accès anonyme n'est actuellement pas pris en charge.

Donnez un accès précis à des index, tableaux de bord et visualisations spécifiques en fonction de la location de l'utilisateur

Pour fournir un accès FGAC à des index ou des tableaux de bord spécifiques, mappez l'utilisateur à un rôle disposant des autorisations sur l'index Kibana du locataire :

.kibana_<hash>_<tenant_name>

Pour plus d'informations, consultez Gérer les index Kibana sur le site web d'OpenDistro.

Utiliser un contrôle d'accès précis au niveau du champ

Pour utiliser un contrôle d'accès affiné au niveau du champ, configurez un rôle avec la sécurité requise au niveau du champ. Mappez ensuite l'utilisateur au rôle que vous avez créé.

Amazon OpenSearch Service est le successeur d'Amazon Elasticsearch Service.


Cet article vous a-t-il été utile ?


Benötigen Sie Hilfe zur Fakturierung oder technischen Support?