如何使用 Amazon Cognito 身分驗證從 VPC 外部存取 OpenSearch Dashboards?

上次更新日期:2021 年 9 月 10 日

我的 Amazon OpenSearch Service (Amazon Elasticsearch Service 的後置項) 叢集是在 Virtual Private Cloud (VPC) 中。如何使用 Amazon Cognito 身分驗證從 VPC 外部存取 OpenSearch Dashboards 端點?

解決方案

使用下列其中一個方法從 VPC 外部藉助 Amazon Cognito 身分驗證存取 OpenSearch Dashboards:

使用 SSH 通道

如需詳細資訊,請參閱如何使用 SSH 通道從 VPC 外部藉助 Amazon Cognito 身分驗證存取 OpenSearch Dashboards?

  • 優點:透過 SSH 通訊協定提供安全連線。所有連線都使用 SSH 連接埠。
  • 缺點:需要用戶端配置和代理服務器。

使用 NGINX 代理

如需詳細資訊,請參閱 如何使用 NGINX 代理從 VPC 外部藉助 Amazon Cognito 身分驗證存取 OpenSearch Dashboards?

  • 優點:安裝更容易,因為只需要伺服器端設定。使用標準 HTTP (連接埠 80) 和 HTTPS (連接埠 443)。
  • 缺點:需要代理伺服器。連線的安全層級取決於代理伺服器的設定方式。

(選用) 如果啟用了精細存取控制 (FGAC),請新增 Amazon Cognito 身分驗證角色

如果您在 OpenSearch Service 叢集上啟用了精細存取控制 (FGAC),您可能會遇到沒有角色的錯誤。若要解決沒有角色的錯誤,請執行下列步驟:

1.    登入 AWS 管理主控台

2.    在分析中,選擇 OpenSearch Service

3.    選擇 Actions (動作)。

4.    選擇修改主要使用者

5.    選擇設定 IAM ARN 做為您的主要使用者。

6.    在 IAM ARN 欄位中,新增通過 Amazon Cognito 身分驗證的 ARN 角色。

7.    選擇提交

如需有關精細存取控制的詳細資訊,請參閱教學:IAM 主要使用者和 Amazon Cognito

使用 VPN

如需詳細資訊,請參閱什麼是 AWS Site-to-Site VPN

  • 優點:保護內部部署設備與 VPC 之間的連線。針對 TLS VPN 使用標準 TCP 和 UDP。
  • 缺點:需要 VPN 設定和用戶端組態。

注意:若要允許或限制資源的存取,您必須修改 VPC 網路組態和與 OpenSearch Service 網域相關聯的安全群組。如需詳細資訊,請參閱測試 VPC 網域