Amazon OpenSearch Service クラスターできめ細かなアクセスコントロールエラーのトラブルシューティングを行うにはどうすればよいですか?

最終更新日: 2022 年 5 月 13 日

OpenSearch Service クラスターでは、次のいずれかのきめ細かなアクセスコントロールエラーが発生する場合があります。

• "security_exception","reason":"no permissions" 403 エラー
• "User: anonymous is not authorized to perform: iam:PassRole"
• 「Elasticsearch データが見つかりませんでした」
• 401 unauthorized エラー

この記事では、これらのエラーのトラブルシューティングに加えて、OpenSearch Service を使用して次のタスクを実行する方法についても説明します。

• フィールドのきめ細かいアクセスコントロールが有効になっている場合に他の AWS のサービスを OpenSearch Service に統合する
• きめ細かなアクセスコントロールを使用して匿名アクセスを許可する
• ユーザテナンシーに基づいて、特定のインデックス、ダッシュボード、可視化へのきめ細かなアクセスを提供する
• フィールドレベルでのきめ細かなアクセスコントロールを使用する

このエラーを解決するには、まず OpenSearch Service クラスターのユーザーまたはバックエンドロールに必要な許可があるかどうかを確認します。その後、ユーザーまたはバックエンドロールをロールにマッピングします。

このエラーは、手動スナップショットを登録しようとするときに表示されることがあります。手動スナップショットの登録に使用した Amazon Identity and Access Management (IAM) ロールに必要な通常の許可と同様に、manage_snapshots ロールを IAM ロールにマッピングする必要があります。次に、その IAM ロールを使用して、署名されたリクエストをドメインに送信します。

このエラーは、OpenSearch Service バージョン 7.9 にアップグレードした後にインデックスパターンを作成しようとすると表示されることがあります。resolve index API を使用して、FGAC 対応クラスターでインデックスパターンを作成するときに、すべてのインデックスとエイリアスに「indices:admin/resolve/index」を追加します。この許可がない場合、OpenSearch Service は 403 エラーステータスコードをスローします。これは、OpenSearch Dashboards の 500 エラーステータスコードにマッピングされます。その結果、インデックスはリストされません。

curl -u “user:password” を含むプライマリ認証情報で「$」または「!」の文字を使用すると、401 unauthorized エラーが表示されることがあります。次の例のように、認証情報を一重引用符で囲んでください。

きめ細かいアクセスコントロールが有効になっている場合に別の AWS のサービスを OpenSearch Service に統合するには、それらのサービスの IAM ロールに適切な許可を与える必要があります。詳細については、きめ細かいアクセスコントロールを使用した統合の使用に関する次のドキュメントを参照してください。

OpenSearch Service はマネージド型であるため、匿名アクセスは現在サポートされていません。

特定のインデックスまたはダッシュボードへの FGAC アクセスを提供するには、テナントの Kibana インデックスに対して許可されたロールにユーザーをマッピングします。

詳細については、OpenDistro ウェブサイトの Manage Kibana indices を参照してください。

フィールドレベルできめ細かなアクセスコントロールを使用するには、必要なフィールドレベルのセキュリティのあるロールをセットアップします。その後、作成したロールにユーザーをマッピングします。

Amazon OpenSearch Service は、Amazon Elasticsearch Service の後継サービスです。