Amazon Cognito 認証を使用して VPC 外部から OpenSearch Dashboards にアクセスするにはどうすればよいですか?

最終更新日: 2021 年 9 月 10 日

Amazon OpenSearch Service クラスターが仮想プライベートクラウド (VPC) 内にあります。Amazon Cognito 認証を使用して、VPC の外部から OpenSearch Dashboards エンドポイントにアクセスするにはどうすればよいですか?

解決方法

次の方法のいずれかを使用して、Amazon Cognito 認証により VPC 外部から OpenSearch Dashboards にアクセスします。

SSH トンネルを使用する

詳細については、Amazon Cognito 認証を使用して、SSH トンネルで VPC 外部から OpenSearch Dashboards にアクセスするにはどうすればよいですか? を参照してください。

  • 利点: SSH プロトコル経由のセキュアな接続を提供します。すべての接続は、SSH ポートを使用します。
  • 欠点: プロキシサーバーとクライアント側の設定が必要です。

NGINX プロキシを使用する

詳細については、How can I use an NGINX proxy to access OpenSearch Dashboards from outside of a VPC with Amazon Cognito authentication? を参照してください。

  • 利点: サーバー側の設定のみが必要なため、セットアップが容易です。標準の HTTP(ポート 80)および HTTPS(ポート 443)を使用します
  • 欠点: プロキシサーバーが必要です。接続のセキュリティレベルは、プロキシサーバーが設定されている方法によって異なります。

(オプション) きめ細かなアクセスコントロール (FGAC) が有効になっている場合は、Amazon Cognito 認証ロールを追加します

OpenSearch Service クラスターできめ細かなアクセスコントロール (FGAC) が有効になっている場合、missing role エラーが発生する可能性があります。missing role エラーを解決するには、次の手順に従います。

1.    AWS マネジメントコンソールにサインインします。

2.    [Analytics] (分析) で、[OpenSearch Service] を選択します。

3.    [アクション] をクリックします。

4.    [マスターユーザーの変更] を選択します。

5.    [Set IAM ARN] (IAM ARN を設定する) を選択します。

6.    [IAM ARN] フィールドに、Amazon Cognito 認証済み ARN ロールを追加します。

7.    [送信] を選択します。

きめ細かなアクセスコントロールの詳細については、チュートリアル: IAM マスターユーザーと Amazon Cognito を参照してください。

VPN を使う

詳細については、「AWS Site-to-Site VPN とは」を参照してください。

  • 利点: オンプレミス機器と VPC を安全に接続します。TLS VPN の標準 TCP および UDP を使用します。
  • 欠点: VPN 設定とクライアント側の設定が必要です。

: リソースへのアクセスを許可または制限するには、VPC のネットワーク設定、および OpenSearch Service ドメインに関連付けられたセキュリティグループを変更する必要があります。詳細については、「VPC ドメインをテストする」を参照してください。