Amazon OpenSearch Service クラスターできめ細かなアクセスコントロールエラーのトラブルシューティングを行うにはどうすればよいですか?

最終更新日: 2022 年 5 月 13 日

Amazon OpenSearch Service クラスターでアクセスコントロールエラーが発生しています。アクセスコントロールエラーをトラブルシューティングして解決するにはどうすればよいですか?

簡単な説明

OpenSearch Service クラスターでは、次のいずれかのきめ細かなアクセスコントロールエラーが発生する場合があります。

  • "security_exception","reason":"no permissions" 403 エラー
  • "User: anonymous is not authorized to perform: iam:PassRole"
  • 「Elasticsearch データが見つかりませんでした」
  • 401 unauthorized エラー

この記事では、これらのエラーのトラブルシューティングに加えて、OpenSearch Service を使用して次のタスクを実行する方法についても説明します。

  • フィールドのきめ細かいアクセスコントロールが有効になっている場合に他の AWS のサービスを OpenSearch Service に統合する
  • きめ細かなアクセスコントロールを使用して匿名アクセスを許可する
  • ユーザテナンシーに基づいて、特定のインデックス、ダッシュボード、可視化へのきめ細かなアクセスを提供する
  • フィールドレベルでのきめ細かなアクセスコントロールを使用する

解決方法

"security_exception","reason":"no permissions" 403 エラー

このエラーを解決するには、まず OpenSearch Service クラスターのユーザーまたはバックエンドロールに必要な許可があるかどうかを確認します。その後、ユーザーまたはバックエンドロールをロールにマッピングします。

"User: anonymous is not authorized to perform: iam:PassRole"

このエラーは、手動スナップショットを登録しようとするときに表示されることがあります。手動スナップショットの登録に使用した Amazon Identity and Access Management (IAM) ロールに必要な通常の許可と同様に、manage_snapshots ロールを IAM ロールにマッピングする必要があります。次に、その IAM ロールを使用して、署名されたリクエストをドメインに送信します。

「Elasticsearch データが見つかりませんでした」

このエラーは、OpenSearch Service バージョン 7.9 にアップグレードした後にインデックスパターンを作成しようとすると表示されることがあります。resolve index API を使用して、FGAC 対応クラスターでインデックスパターンを作成するときに、すべてのインデックスとエイリアスに「indices:admin/resolve/index」を追加します。この許可がない場合、OpenSearch Service は 403 エラーステータスコードをスローします。これは、OpenSearch Dashboards の 500 エラーステータスコードにマッピングされます。その結果、インデックスはリストされません。

401 unauthorized エラー

curl -u “user:password” を含むプライマリ認証情報で「$」または「!」の文字を使用すると、401 unauthorized エラーが表示されることがあります。次の例のように、認証情報を一重引用符で囲んでください。

curl -u <DOMAIN-ENDPOINT>

フィールドのきめ細かいアクセスコントロールが有効になっている場合に他の AWS のサービスを OpenSearch Service に統合する

きめ細かいアクセスコントロールが有効になっている場合に別の AWS のサービスを OpenSearch Service に統合するには、それらのサービスの IAM ロールに適切な許可を与える必要があります。詳細については、きめ細かいアクセスコントロールを使用した統合の使用に関する次のドキュメントを参照してください。

きめ細かなアクセスコントロールを使用して匿名アクセスを許可する

OpenSearch Service はマネージド型であるため、匿名アクセスは現在サポートされていません。

ユーザーのテナンシーに基づいて、特定のインデックス、ダッシュボード、可視化へのきめ細かなアクセスを提供する

特定のインデックスまたはダッシュボードへの FGAC アクセスを提供するには、テナントの Kibana インデックスに対して許可されたロールにユーザーをマッピングします。

.kibana_<hash>_<tenant_name>

詳細については、OpenDistro ウェブサイトの Manage Kibana indices を参照してください。

フィールドレベルでのきめ細かなアクセスコントロールを使用する

フィールドレベルできめ細かなアクセスコントロールを使用するには、必要なフィールドレベルのセキュリティのあるロールをセットアップします。その後、作成したロールにユーザーをマッピングします。

Amazon OpenSearch Service は、Amazon Elasticsearch Service の後継サービスです。


この記事は役に立ちましたか?


請求に関するサポートまたは技術サポートが必要ですか?