如何使用 Amazon Cognito 身分驗證從 VPC 外部存取 OpenSearch Dashboards？

上次更新日期：2021 年 9 月 10 日

使用下列其中一個方法從 VPC 外部藉助 Amazon Cognito 身分驗證存取 OpenSearch Dashboards：

如需詳細資訊，請參閱如何使用 SSH 通道從 VPC 外部藉助 Amazon Cognito 身分驗證存取 OpenSearch Dashboards？

• 優點：透過 SSH 通訊協定提供安全連線。所有連線都使用 SSH 連接埠。
• 缺點：需要用戶端配置和代理服務器。

如需詳細資訊，請參閱 如何使用 NGINX 代理從 VPC 外部藉助 Amazon Cognito 身分驗證存取 OpenSearch Dashboards？

• 優點：安裝更容易，因為只需要伺服器端設定。使用標準 HTTP (連接埠 80) 和 HTTPS (連接埠 443)。
• 缺點：需要代理伺服器。連線的安全層級取決於代理伺服器的設定方式。

如果您在 OpenSearch Service 叢集上啟用了精細存取控制 (FGAC)，您可能會遇到沒有角色的錯誤。若要解決沒有角色的錯誤，請執行下列步驟：

1.    登入 AWS 管理主控台。

2.    在分析中，選擇 OpenSearch Service。

3.    選擇 Actions (動作)。

4.    選擇修改主要使用者。

5.    選擇設定 IAM ARN 做為您的主要使用者。

6.    在 IAM ARN 欄位中，新增通過 Amazon Cognito 身分驗證的 ARN 角色。

7.    選擇提交。

如需有關精細存取控制的詳細資訊，請參閱教學：IAM 主要使用者和 Amazon Cognito。

如需詳細資訊，請參閱什麼是 AWS Site-to-Site VPN。

• 優點：保護內部部署設備與 VPC 之間的連線。針對 TLS VPN 使用標準 TCP 和 UDP。
• 缺點：需要 VPN 設定和用戶端組態。

注意：若要允許或限制資源的存取，您必須修改 VPC 網路組態和與 OpenSearch Service 網域相關聯的安全群組。如需詳細資訊，請參閱測試 VPC 網域。