Como soluciono erros de controle de acesso refinado no meu cluster do Amazon OpenSearch Service?

Data da última atualização: 13/05/2022

Estou enfrentando erros de controle de acesso em meu cluster do Amazon OpenSearch Service. Como soluciono problemas e erros de controle de acesso?

Breve descrição

Você pode estar enfrentando um dos seguintes erros de controle de acesso refinado no seu cluster do OpenSearch Service:

  • Erros 403 “security_exception”,“reason”:“no permissions”
  • “User: anonymous is not authorized to perform: iam:PassRole”
  • “Couldn’t find any Elasticsearch data”
  • Erros 401 não autorizados

Além de solucionar esses erros, este artigo mostra como concluir as seguintes tarefas usando o OpenSearch Service:

  • Integrar outros serviços da AWS ao OpenSearch Service quando o controle de acesso refinado em campo estiver habilitado
  • Permitir acesso anônimo usando controle de acesso refinado
  • Forneça acesso refinado a índices, painéis e visualizações específicos com base na locação do usuário
  • Use o controle de acesso refinado no nível do campo

Resolução

Erros 403 “security_exception”,“reason”:“no permissions”

Para solucionar esse erro, confira primeiro se o usuário ou a função de backend no seu cluster do OpenSearch Service tem as permissões exigidas. Em seguida, mapeie o usuário ou a função de backend para uma função.

“User: anonymous is not authorized to perform: iam:PassRole”

Você pode receber esse erro ao tentar inscrever um snapshot manual. Além das permissões exigidas normais para a função do Amazon Identity and Access Management (IAM) que você usou para inscrever o snapshot manual, você deverá mapear a função manage_snapshots para a função do IAM. Em seguida, use essa função do IAM para enviar uma solicitação assinada ao domínio.

“Couldn’t find any Elasticsearch data”

Você pode receber esse erro ao tentar criar padrões de índice após a atualização para a versão 7.9 do OpenSearch Service. Use a API de resolução de índice para adicionar "indices:admin/resolve/index" a todos os índices e aliases ao criar um padrão de índice em um cluster ativado por FGAC. Quando essa permissão está ausente, o OpenSearch Service lança um código de status de erro 403. Isso, por sua vez, é mapeado para um código de status de erro 500 do OpenSearch Dashboards. Como consequência, os índices não são listados.

Erros 401 não autorizados

Você pode receber um erro 401 não autorizado ao usar os caracteres “$” ou “!” nas credenciais primárias com curl -u “user:password”. Certifique-se de colocar suas credenciais entre aspas simples, como no exemplo a seguir:

curl -u <DOMAIN-ENDPOINT>

Integrar outros serviços da AWS ao OpenSearch Service quando o controle de acesso refinado em campo estiver habilitado

Para integrar outro serviço da AWS com o OpenSearch Service quando o controle de acesso refinado em campo estiver ativado, você deve conceder às funções do IAM as permissões apropriadas. ara esses serviços. Para obter mais informações, consulte a seguinte documentação sobre como usar Integrações com controle de acesso refinado.

Permitir acesso anônimo usando controle de acesso refinado

Devido à natureza gerenciada do OpenSearch Service, o acesso anônimo não é compatível no momento.

Forneça acesso refinado a índices, painéis e visualizações específicos com base na locação do usuário

Para fornecer acesso ao FGAC a índices ou painéis específicos, mapeie o usuário para uma função com permissões para o índice Kibana do locatário:

.kibana_<hash>_<tenant_name>

Para obter mais informações, consulte Gerenciar índices Kibana no site do OpenDistro.

Use o controle de acesso refinado no nível do campo

Para usar o controle de acesso refinado no nível do campo, configure uma função com a segurança no nível do campo necessária. Em seguida, mapeie o usuário para a função que você criou.

O Amazon OpenSearch Service é o sucessor do Amazon Elasticsearch Service.


Este artigo ajudou?


Precisa de ajuda com faturamento ou suporte técnico?