Comment puis-je résoudre les erreurs de contrôle d'accès précis dans mon cluster Amazon OpenSearch Service ?

Dernière mise à jour : 13-05-2022

Je rencontre des erreurs de contrôle d'accès dans mon cluster Amazon OpenSearch Service. Comment dépanner et résoudre les erreurs de contrôle d'accès ?

Brève description

Vous pouvez rencontrer l'une des erreurs de contrôle d'accès précis suivantes dans votre cluster OpenSearch Service :

  • Erreurs 403 « security_exception », « motif » : « aucune autorisation »
  • "User: anonymous is not authorized to perform: iam:PassRole" (« Utilisateur : anonyme n'est pas autorisé à exécuter : iam:PassRole »)
  • « Données Elasticsearch introuvables »
  • Erreurs 401 : non autorisé

Outre le dépannage de ces erreurs, cet article explique comment effectuer les tâches suivantes à l'aide d'OpenSearch Service :

  • Intégrer d'autres services AWS à OpenSearch Service lorsque le contrôle précis est activé
  • Autorisez les accès anonymes à l'aide du contrôle d'accès précis
  • Permettre un accès affiné à des index, tableaux de bord et visualisations spécifiques en fonction de la location de l'utilisateur
  • Utiliser un contrôle d'accès précis au niveau du champ

Solution

Erreurs 403 « security_exception », « motif » : « aucune autorisation »

Pour résoudre cette erreur, vérifiez d'abord si l'utilisateur ou le backend de votre cluster OpenSearch Service dispose des autorisations requises. Ensuite, mappez l'utilisateur ou le rôle backend à un rôle.

"User: anonymous is not authorized to perform: iam:PassRole" (« Utilisateur : anonyme n'est pas autorisé à exécuter : iam:PassRole »)

Cette erreur peut s'afficher lorsque vous essayez d'enregistrer un instantané manuel. Outre les autorisations normales requises pour le rôle Amazon Identity and Access Management (IAM) que vous avez utilisé pour enregistrer l'instantané manuel, vous devez mapper le rôle manage_snapshots au rôle IAM. Ensuite, utilisez ce rôle IAM pour envoyer une requête signée au domaine.

« Données Elasticsearch introuvables »

Cette erreur peut s'afficher lorsque vous tentez de créer des modèles d'index après la mise à niveau vers OpenSearch Service version 7.9. Utilisez l'API de résolution d’index pour ajouter « indices:admin/resolve/index » à tous les indices et alias lors de la création d'un modèle d'index dans un cluster FGAC activé. Lorsque cette autorisation est manquante, OpenSearch Service envoie un code d'état d'erreur 403. Il est à son tour mappé à un code d'état d'erreur 500 provenant d'OpenSearch Dashboards. De ce fait, les index ne sont pas répertoriés.

Erreurs 401 : non autorisé

Il se peut que vous receviez un message d'erreur 401 non autorisée lorsque vous utilisez les caractères « $ » ou « ! » dans les informations d'identification principales avec curl -u « user:password ». Veillez à mettre vos informations d'identification entre guillemets simples, comme dans l'exemple suivant :

curl -u <DOMAIN-ENDPOINT>

Intégrer d'autres services AWS à OpenSearch Service lorsque le contrôle précis est activé

Pour intégrer un autre service AWS à OpenSearch Service lorsque le contrôle d'accès précis est activé, vous devez accorder aux rôles IAM de ces services les autorisations appropriées. Pour plus d'informations, consultez la documentation suivante sur l'utilisation des Intégrations avec contrôle d'accès précis.

Autorisez les accès anonymes à l'aide du contrôle d'accès précis

En raison de la nature gérée d'OpenSearch Service, l'accès anonyme n'est actuellement pas pris en charge.

Donnez un accès précis à des index, tableaux de bord et visualisations spécifiques en fonction de la location de l'utilisateur

Pour fournir un accès FGAC à des index ou des tableaux de bord spécifiques, mappez l'utilisateur à un rôle disposant des autorisations sur l'index Kibana du locataire :

.kibana_<hash>_<tenant_name>

Pour plus d'informations, consultez Gérer les index Kibana sur le site web d'OpenDistro.

Utiliser un contrôle d'accès précis au niveau du champ

Pour utiliser un contrôle d'accès affiné au niveau du champ, configurez un rôle avec la sécurité requise au niveau du champ. Mappez ensuite l'utilisateur au rôle que vous avez créé.

Amazon OpenSearch Service est le successeur d'Amazon Elasticsearch Service.


Cet article vous a-t-il été utile ?


Avez-vous besoin d'aide pour une question technique ou de facturation ?