Come risolvere gli errori del controllo granulare degli accessi nel mio cluster Amazon OpenSearch Service?

Breve descrizione

Potresti riscontrare uno dei seguenti errori di controllo granulare degli accessi (FGAC) nel tuo cluster OpenSearch Service:

• Errori 403 "security_exception","reason":"no permissions"
• "Utente: anonymous non autorizzato a eseguire: iam:PassRole"
• "Impossibile trovare dati Elasticsearch"
• Errori 401 di autorizzazione negata

Oltre alla risoluzione di questi errori, in questo articolo viene descritto come completare le seguenti attività utilizzando OpenSearch Service:

• Integrazione di altri servizi AWS con OpenSearch Service quando è abilitato il controllo granulare degli accessi
• Consenti l'accesso anonimo utilizzando il controllo granulare degli accessi
• Accesso granulare a indici, pannelli di controllo e visualizzazioni specifici in base alla tenancy dell'utente
• Utilizzo del controllo granulare degli accessi a livello di campo

Risoluzione

Errori 403 "security_exception","reason":"no permissions"

Per risolvere questo errore, verifica innanzitutto che il ruolo utente o backend nel cluster OpenSearch Service disponga delle autorizzazioni richieste. Quindi, mappa il ruolo utente o backend a un ruolo.

"Utente: anonymous non autorizzato a eseguire: iam:PassRole"

Questo errore potrebbe essere visualizzato quando si prova a registrare uno snapshot manuale. Oltre alle normali autorizzazioni richieste per il ruolo Amazon Identity and Access Management (IAM) utilizzato per registrare lo snapshot manuale, è necessario mappare il ruolo manage_snapshots al ruolo IAM. Quindi, utilizzare il ruolo IAM per inviare una richiesta firmata al dominio.

"Impossibile trovare dati Elasticsearch"

Potresti ricevere questo errore quando provi a creare modelli di indice dopo l'aggiornamento alla versione 7.9 di OpenSearch Service. Utilizza l'API di risoluzione dell'indice per aggiungere "indices:admin/resolve/index" a tutti gli indici e alias durante la creazione di un modello di indice in un cluster abilitato per il controllo granulare degli accessi. Quando questa autorizzazione è mancante, OpenSearch Service genera un codice di stato di errore 403. Questo viene quindi mappato a un codice di stato di errore 500 da OpenSearch Dashboards. Di conseguenza, gli indici non sono elencati.

Errori 401 di autorizzazione negata

Potresti ricevere un errore 401 di autorizzazione negata quando utilizzi i caratteri "$" o "!" nelle credenziali primarie con curl -u "utente:password". Assicurati di inserire le credenziali tra virgolette singole, come nell'esempio seguente:

curl -u <DOMAIN-ENDPOINT>

Integrazione di altri servizi AWS con OpenSearch Service quando è abilitato il controllo granulare degli accessi

Per integrare un altro servizio AWS con OpenSearch Service quando è abilitato il controllo granulare degli accessi, è necessario assegnare ai ruoli IAM per tali servizi le autorizzazioni appropriate. Per ulteriori informazioni, consulta la seguente documentazione sull'utilizzo delle integrazioni con il controllo granulare degli accessi.

Consenti l'accesso anonimo utilizzando il controllo granulare degli accessi

A causa della natura gestita di OpenSearch Service, l'accesso anonimo non è attualmente supportato.

Accesso granulare a indici, pannelli di controllo e visualizzazioni specifici in base alla tenancy dell'utente

Per fornire l'accesso al controllo granulare degli accessi a indici o pannelli di controllo specifici, mappa l'utente a un ruolo che dispone delle autorizzazioni per l'indice Kibana del tenant:

.kibana_<hash>_<tenant_name>

Per ulteriori informazioni, consulta Gestione degli indici Kibana sul sito Web OpenDistro.

Utilizzo del controllo granulare degli accessi a livello di campo

Per utilizzare un controllo granulare degli accessi a livello di campo, imposta un ruolo con la sicurezza a livello di campo richiesta. Quindi, mappa l'utente al ruolo creato.

---

Informazioni correlate

Controllo granulare degli accessi in Amazon OpenSearch Service