Como posso acessar o OpenSearch Dashboards de fora de uma VPC usando a autenticação do Amazon Cognito?

Data da última atualização: 30/07/2021

Meu cluster do Amazon OpenSearch Service (sucessor do Amazon Elasticsearch Service) está em uma nuvem privada virtual (VPC). Como posso acessar o endpoint do OpenSearch Dashboards de fora da VPC usando a autenticação do Amazon Cognito?

Resolução

Use um dos métodos a seguir para acessar o OpenSearch Dashboards de fora de uma VPC com autenticação do Amazon Cognito:

Usar um túnel SSH

Como posso usar um túnel SSH para acessar o OpenSearch Dashboards de fora de uma VPC com autenticação do Amazon Cognito?

  • Vantagens: fornece uma conexão segura pelo protocolo SSH. Todas as conexões usam a porta SSH.
  • Desvantagens: requer configuração do lado do cliente e um servidor proxy.

Usar um proxy NGINX

Como posso usar um proxy NGINX para acessar o OpenSearch Dashboards de fora de uma VPC com autenticação do Amazon Cognito?

  • Vantagens: a configuração é mais fácil, porque apenas a configuração do lado do servidor é necessária. Usa HTTP padrão (porta 80) e HTTPS (porta 443).
  • Desvantagens: requer um servidor proxy. O nível de segurança da conexão depende de como o servidor proxy está configurado.

(Opcional) Se o Fine-Grained Access Control (FGAC – Controle de acesso refinado) estiver habilitado, adicione uma função autenticada do Amazon Cognito

Se o FGAC estiver habilitado no cluster do OpenSearch Service, você poderá encontrar um erro de função ausente. Para resolver o erro de função ausente, execute as seguintes etapas:

1.    Acesse a sua conta no Console de Gerenciamento da AWS.

2.    Em Analytics, escolha OpenSearch Service.

3.    Selecione Actions (Ações).

4.    Escolha Modify master user (Modificar usuário mestre).

5.    Escolha Set IAM ARN (Definir ARN do IAM) como seu usuário mestre.

6.    No campo ARN do IAM, adicione a função de ARN autenticado do Amazon Cognito.

7.    Escolha Submit (Enviar).

Para obter mais informações sobre controle de acesso refinado, consulte Tutorial: usuário mestre do IAM e Amazon Cognito.

Usar VPN

Para obter mais informações, consulte O que é o AWS Site-to-Site VPN.

  • Vantagens: conexão segura entre seu equipamento local e suas VPCs. Usa TCP e UDP padrão para VPN por TLS.
  • Desvantagens: requer configuração de VPN e configuração do lado do cliente.

Observação: para permitir ou restringir o acesso aos recursos, você deve modificar a configuração de rede da VPC e os grupos de segurança associados ao domínio do OpenSearch Service. Para obter mais informações, consulte Teste dos domínios da VPC.