OpenSearch Service 클러스터의 세분화된 액세스 제어 문제를 해결하려면 어떻게 해야 하나요?

간략한 설명

OpenSearch Service 클러스터에서 Fine-Grained Access Control(FGAC) 오류가 발생하거나 추가 구성이 필요할 수 있습니다. 이러한 문제를 해결하려면 사용 사례에 맞는 문제 해결 단계를 따르세요.

참고: OpenSearch Service의 관리형 설계로 인해 익명 액세스를 지원하지 않습니다.

해결 방법

"security_exception","reason":"no permissions" 403 오류

이 오류를 해결하려면 먼저 OpenSearch Service 클러스터의 사용자 또는 백엔드 역할에 필요한 권한이 있는지 확인하세요. OpenSearch 웹사이트의 권한을 참조하세요. 그런 다음 OpenSearch 웹사이트에 나오는 단계를 완료하여 사용자 또는 백엔드 역할을 역할에 매핑합니다.

"User: anonymous는 수행할 수 있는 권한이 없습니다. iam:PassRole"

수동 스냅샷을 등록하려고 할 때 이 오류가 발생할 수 있습니다. 수동 스냅샷을 등록할 때 사용한 manage_snapshots 역할을 Identity and Access Management(IAM) 역할에 매핑해야 합니다. 그런 다음 해당 IAM 역할을 사용하여 서명된 요청을 도메인에 보냅니다.

"Elasticsearch 데이터를 찾을 수 없습니다."

OpenSearch Service 버전 7.9로 업그레이드한 후 인덱스 패턴을 생성하려고 할 때 이 오류가 발생할 수 있습니다. FGAC 활성화 클러스터에서 인덱스 패턴을 생성할 때 인덱스 확인 API를 사용하여 모든 인덱스와 별칭에 indices:admin/resolve/index를 추가합니다. 자세한 내용은 OpenSearch 웹사이트의 API를 참조하세요.

이 권한이 없으면 OpenSearch Service에서 403 오류 상태 코드가 발생합니다. 그런 다음 OpenSearch 대시보드에서 500 오류 상태 코드로 매핑됩니다. 따라서 인덱스가 나열되지 않습니다.

401 승인되지 않음 오류

curl **-u "사용자:암호"**의 주 보안 인증에 $ 또는 ! 문자를 사용하면 401 승인되지 않음 오류가 발생할 수 있습니다. 다음 예시와 같이 보안 인증을 작은따옴표로 묶어야 합니다.

curl -u 'username' <Domain_Endpoint>

세분화된 액세스 제어가 활성화되면 다른 AWS 서비스를 OpenSearch Service와 통합할 수 있습니다.

세분화된 액세스 제어가 활성화되었을 때 다른 AWS 서비스를 OpenSearch Service와 통합하려면 해당 서비스의 IAM 역할에 올바른 권한을 부여해야 합니다. 자세한 내용은 통합을 참조하세요.

사용자 테넌시에 따라 특정 인덱스, 대시보드 및 시각화에 대한 세분화된 액세스 제공

특정 인덱스 또는 대시보드에 대한 FGAC 액세스를 제공하려면 해당 사용자를 테넌트의 Kibana 인덱스에 대한 권한이 있는 역할에 매핑합니다.

.kibana_<hash>_<tenant_name>

자세한 내용은 OpenSearch 웹사이트에서 OpenSearch 대시보드 인덱스 관리를 참조하세요.

필드 수준 또는 문서 수준에서 세분화된 액세스 제어 사용

필드 수준에서 세분화된 액세스 제어를 사용하려면 필요한 필드 수준 보안을 사용하여 역할을 설정합니다. 그런 다음 생성한 역할에 사용자를 매핑합니다. 자세한 내용은 OpenSearch 웹사이트에서 필드 수준 보안을 참조하세요.

문서 수준에서 세분화된 액세스 제어를 사용하려면 필요한 문서 수준 보안을 사용하여 내부 대시보드 역할을 만듭니다. 그런 다음 내부 대시보드에 사용자를 매핑합니다. 자세한 내용은 OpenSearch 웹사이트에서 문서 수준 보안을 참조하세요.

관련 정보

Amazon OpenSearch Service의 세분화된 액세스 제어