AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post

OpenSearch Service クラスターのアクセス制御に関する問題への詳細トラブルシューティング方法を教えてください。

所要時間1分
0

Amazon OpenSearch Service クラスターでアクセス制御エラーまたは問題が発生しています。

簡単な説明

きめ細かなアクセス制御 (FGAC) エラーが発生したり、OpenSearch Service クラスターで追加の設定が必要になることがあります。これらの問題を解決するには、ユースケースに応じた以下のトラブルシューティング手順に従ってください。

**注:**OpenSearch Service はマネージド設計のため、匿名アクセスはサポートされていません。

解決方法

"security_exception","reason":"no permissions" 403 errors

このエラーを解決するには、まず OpenSearch Service クラスターのユーザーまたはバックエンドロールに必要な権限があるかどうかを確認してください。OpenSearch ウェブサイト上の権限を参照してください。次に、OpenSearch Web サイトから手順を実行し、ユーザーロールまたはバックエンドロールをロールにマッピングします

"User: anonymous is not authorized to perform: iam:PassRole"

手動スナップショットを登録しようとすると、このエラーが表示されることがあります。手動スナップショットの登録に使用した ID およびアクセス管理 (IAM) ロールに manage\ _snapshots ロールをマッピングする必要があります。次に、その IAM ロールを使用して、署名されたリクエストをドメインに送信します。

「Elasticsearchのデータが見つかりませんでした」

OpenSearch Service バージョン 7.9 にアップグレードした後でインデックスパターンを作成しようとすると、このエラーが表示されることがあります。FGAC でアクティブ化されたクラスターでインデックスパターンを作成するときに、resolve index API を使用してすべてのインデックスとエイリアスに indices:admin/resolve/index を追加します。詳細については、OpenSearch ウェブサイトの API を参照してください。

この権限がない場合、OpenSearch Service は 403 エラーステータスコードを返します。次に、これは OpenSearch ダッシュボードの 500 エラーステータスコードにマッピングされます。その結果、インデックスはリストには表示されません。

401 unauthorized errors

curl -u "user:password" を含むプライマリ認証情報で $! 文字を使用すると、401 unauthorized error が表示されることがあります。次の例のように、認証情報は必ず一重引用符で囲んでください。

curl -u 'username' <Domain_Endpoint>

きめ細かなアクセス制御が有効になったら、他の AWS サービスを OpenSearch Service と統合する

きめ細かなアクセス制御が有効になっているときに別の AWS サービスを OpenSearch Service と統合するには、それらのサービスの IAM ロールに適切な権限を付与してください。詳細については、「統合」を参照してください。

ユーザーのテナンシーに基づいて、特定のインデックス、ダッシュボード、ビジュアライゼーションにきめ細かくアクセスできるようにする

FGAC に特定のインデックスやダッシュボードへのアクセスを提供するには、テナントの Kibana インデックスに対する権限を持つロールにユーザーをマッピングします。

.kibana_<hash>_<tenant_name>

詳細については、OpenSearch ウェブサイトの「OpenSearch ダッシュボードインデックスを管理」を参照してください。

フィールドレベルまたはドキュメントレベルでのきめ細かなアクセス制御を使用する

フィールドレベルできめ細かなアクセス制御を行うには、必要なフィールドレベルのセキュリティを備えたロールを設定します。次に、作成したロールにユーザーをマッピングします。詳細については、OpenSearch Web サイトの「フィールドレベルのセキュリティ」を参照してください。

ドキュメントレベルできめ細かなアクセス制御を行うには、必要なドキュメントレベルのセキュリティを備えた内部ダッシュボードロールを作成します。次に、ユーザーを内部ダッシュボードにマッピングします。詳細については、OpenSearch Web サイトの「ドキュメントレベルのセキュリティ」を参照してください。

関連情報

Amazon OpenSearch サービスにおけるきめ細かなアクセス制御

トピック
サーバーレス分析
タグ
Amazon OpenSearch Service
言語
日本語
AWS公式
AWS公式更新しました 1年前
コメントはありません

関連するコンテンツ