Come posso risolvere gli errori del controllo granulare degli accessi nel mio cluster Amazon OpenSearch?

Ultimo aggiornamento: 05-08-2021

Ho riscontrato errori di controllo degli accessi nel cluster Amazon OpenSearch Service (successore di Amazon Elasticsearch Service). Come faccio a risolvere i problemi e a risolvere gli errori di controllo degli accessi?

Breve descrizione

Potresti riscontrare uno dei seguenti errori di controllo granulare degli accessi nel tuo cluster OpenSearch Service:

  • Errori 403 "security_exception","reason":"no permissions"
  • "Utente: anonymous non autorizzato a eseguire: iam:PassRole"
  • "Impossibile trovare dati Elasticsearch"
  • Errori 401 di mancata autorizzazione

Oltre alla risoluzione di questi errori, in questo articolo viene descritto come completare i seguenti processi utilizzando OpenSearch Service:

  • Integrazione di altri servizi AWS con OpenSearch Service quando è abilitato il controllo granulare degli accessi sui campi
  • Consenti l'accesso anonimo utilizzando un controllo granulare degli accessi
  • Accesso granulare a indici, pannelli di controllo e visualizzazioni specifici in base alla tenancy dell'utente
  • Utilizzo del controllo granulare degli accessi a livello di campo

Risoluzione

Errori 403 "security_exception","reason":"no permissions"

Per risolvere questo errore, verifica innanzitutto che il ruolo utente o backend nel cluster OpenSearch Service disponga delle autorizzazioni richieste. Quindi, mappa il ruolo utente o backend a un ruolo.

"Utente: anonymous non autorizzato a eseguire: iam:PassRole"

Questo errore potrebbe essere visualizzato quando si prova a registrare uno snapshot manuale. Oltre alle normali autorizzazioni richieste per il ruolo Amazon Identity and Access Management (IAM) utilizzato per registrare lo snapshot manuale, è necessario mappare il ruolo manage_snapshots al ruolo IAM. Quindi, utilizzare il ruolo IAM per inviare una richiesta firmata al dominio.

"Impossibile trovare dati Elasticsearch"

Potresti ricevere questo errore quando provi a creare modelli di indice dopo l'aggiornamento a OpenSearch Service versione 7.9. Utilizza l'API resolve per aggiungere "indices:admin/resolve/index" a tutti gli indici e alias durante la creazione di un modello di indice in un cluster abilitato per il controllo granulare degli accessi. Quando questa autorizzazione è mancante, OpenSearch Service genera un codice di stato di errore 403. Questo è a sua volta mappato a un codice di stato di errore 500 da OpenSearch Dashboards. Di conseguenza, gli indici non sono elencati.

Errori 401 di mancata autorizzazione

Potresti ricevere un errore 401 non autorizzato quando usi i caratteri "$" o "!" nelle credenziali primarie con curl -u "user:password" . Assicurati di inserire le credenziali tra virgolette singole, come nell'esempio seguente:

curl -u 'user:password' <DOMAIN-ENDPOINT>

Integrazione di altri servizi AWS con OpenSearch Service quando è abilitato il controllo granulare degli accessi sui campi

Per integrare un altro servizio AWS con OpenSearch Service quando è abilitato il controllo granulare degli accessi a livello di campo, è necessario assegnare ai ruoli IAM per tali servizi le autorizzazioni appropriate. Per ulteriori informazioni, consulta la seguente documentazione sull'utilizzo delle integrazioni con controllo granulare degli accessi.

Consenti l'accesso anonimo utilizzando un controllo granulare degli accessi

A causa della natura gestita di OpenSearch Service, l'accesso anonimo non è attualmente supportato.

Accesso granulare a indici, pannelli di controllo e visualizzazioni specifici in base alla tenancy dell'utente

Per fornire l'accesso al controllo granulare degli accessi a indici o pannelli di controllo specifici, mappa l'utente a un ruolo che dispone delle autorizzazioni per l'indice Kibana del tenant:

.kibana_<hash>_<tenant_name>

Per ulteriori informazioni, consulta Gestione degli indici Kibana sul sito Web OpenDistro.

Utilizzo del controllo granulare degli accessi a livello di campo

Per utilizzare un controllo granulare degli accessi a livello di campo, imposta un ruolo con la sicurezza a livello di campo richiesta. Quindi, mappa l'utente al ruolo creato.


Questo articolo è stato utile?


Hai bisogno di supporto tecnico o per la fatturazione?