Amazon Elasticsearch Service 도메인에서 Amazon Cognito를 통해 Kibana에 액세스하는 데 문제가 있습니다.

Amazon Cognito 인증을 활성화하려고 하면 오류 메시지가 표시됩니다.

  • "Amazon ES can't create the role": AWS Identity and Access Management(IAM) 사용자의 Amazon Cognito 역할이 올바르게 구성되었는지 확인하십시오.
  • "An error occurred (ValidationException) when calling the CreateElasticsearchDomain operation: Domain needs to be specified for user pool": 도메인 이름이 지정되어 있는지 확인하십시오. 호스팅된 사용자 풀 도메인을 사용하거나 사용자 지정 도메인을 추가할 수 있습니다. Amazon ES는 이 도메인 이름을 사용하여 사용자를 Kibana 액세스를 위한 로그인 페이지로 리디렉션합니다.

Kibana URL을 입력하면 로그인 페이지가 표시되지 않습니다. Kibana 대시보드에 바로 접속됩니다.

다음과 같은 경우에는 Amazon Cognito 인증이 필요하지 않으며 Kibana 로그인 페이지로 리디렉션되지 않습니다.

  • 로컬 시스템의 퍼블릭 IP 주소에서 Kibana에 액세스하도록 허용하는 IP 기반 도메인 액세스 정책을 사용하는 경우.
  • 요청이 허용되는 IAM 사용자 또는 역할에 의해 서명된 경우.
  • Amazon ES 도메인이 Virtual Private Cloud(VPC)에 있고 도메인에 액세스 개방 정책이 적용되어 있는 경우. 이 시나리오에서는 VPC의 모든 사용자가 Amazon Cognito 인증 없이 도메인과 Kibana에 액세스할 수 있습니다.

Amazon Cognito 인증이 필요한지 확인하고 도메인 액세스 정책을 변경하십시오. 자세한 정보는 액세스 정책 구성을 참조하십시오.

Kibana URL을 입력하면 redirect_mismatch 오류가 발생합니다.

  1. Amazon Cognito 콘솔에 로그인합니다.
  2. [Manage User Pools]를 선택한 다음 편집할 사용자 풀을 선택합니다.
  3. 페이지 왼쪽의 탐색 모음에서 [App clients]를 선택합니다.
  4. [Callback URL] 및 [Sign out URL]이 [your-kibana-endpoint/app/kibana]로 설정되어 있는지 확인합니다. 자세한 내용은 자격 증명 공급자 구성을 참조하십시오.

Kibana 로그인 페이지로 리디렉션되지만 로그인할 수 없습니다.

로그인되지만 Kibana가 표시되지 않습니다.

Kibana에 로그인한 후 다음과 같은 오류 메시지가 표시됩니다.

User: arn:aws:sts:: 123456789012:assumed-role/Cognito_identitypoolAuth_Role/CognitoIdentityCredentials is not authorized to perform: es:ESHttpGet

기본적으로, 자격 증명 풀에 대해 인증된 IAM 역할에는 Kibana에 액세스하는 데 필요한 권한이 없습니다. 이 문제를 해결하려면 인증된 역할의 이름을 찾아 Amazon ES 액세스 정책에 추가해야 합니다.

  1. Amazon Cognito 콘솔에 로그인합니다.
  2. [Manage Identity Pools]를 선택한 다음 편집할 사용자 풀을 선택합니다.
  3. [Dashboard] 페이지의 오른쪽 상단에서 [Edit identity pool]을 선택합니다.
  4. [Authenticated role]의 이름을 기록해 둡니다. 이 이름은 Cognito_identitypoolAuth_Role과 같은 형식입니다.
  5. 인증된 역할을 Amazon ES 도메인 액세스 정책에 추가합니다. 이 시나리오에서는 리소스 기반 정책을 사용하는 것이 좋습니다. 자세한 내용은 인증된 역할 허용을 참조하십시오. 
    참고: 인증된 역할은 Kibana에 대한 Amazon Cognito 인증만 제어합니다. 다른 리소스는 도메인 액세스 정책에서 제거하지 마십시오.

추가 문제 해결 시나리오는 일반적인 구성 문제를 참조하십시오.


페이지 내용이 도움이 되었습니까? | 아니요

AWS 지원 지식 센터로 돌아가기

도움이 필요하십니까? AWS 지원 센터를 방문하십시오.

게시 날짜: 2019년 1월 30일