如何使用 Amazon Cognito 身分驗證從 VPC 外部存取 OpenSearch Dashboards?
上次更新日期:2021 年 9 月 10 日
我的 Amazon OpenSearch Service 叢集是在 Virtual Private Cloud (VPC) 中。如何使用 Amazon Cognito 身分驗證從 VPC 外部存取 OpenSearch Dashboards 端點?
解決方案
使用下列其中一個方法從 VPC 外部藉助 Amazon Cognito 身分驗證存取 OpenSearch Dashboards:
使用 SSH 通道
如需詳細資訊,請參閱如何使用 SSH 通道從 VPC 外部藉助 Amazon Cognito 身分驗證存取 OpenSearch Dashboards?
- 優點:透過 SSH 通訊協定提供安全連線。所有連線都使用 SSH 連接埠。
- 缺點:需要用戶端配置和代理服務器。
使用 NGINX 代理
如需詳細資訊,請參閱如何使用 NGINX 代理從 VPC 外部藉助 Amazon Cognito 身分驗證存取 OpenSearch Dashboards?
- 優點:安裝更容易,因為只需要伺服器端設定。使用標準 HTTP (連接埠 80) 和 HTTPS (連接埠 443)。
- 缺點:需要代理伺服器。連線的安全層級取決於代理伺服器的設定方式。
(選用) 如果啟用了精細存取控制 (FGAC),請新增 Amazon Cognito 身分驗證角色
如果您在 OpenSearch Service 叢集上啟用了精細存取控制 (FGAC),您可能會遇到沒有角色的錯誤。若要解決沒有角色的錯誤,請執行下列步驟:
1. 登入 AWS 管理主控台。
2. 在分析中,選擇 OpenSearch Service。
3. 選擇 Actions (動作)。
4. 選擇修改主要使用者。
5. 選擇設定 IAM ARN 做為您的主要使用者。
6. 在 IAM ARN 欄位中,新增通過 Amazon Cognito 身分驗證的 ARN 角色。
7. 選擇提交。
如需有關精細存取控制的詳細資訊,請參閱教學:IAM 主要使用者和 Amazon Cognito。
使用 VPN
如需詳細資訊,請參閱什麼是 AWS Site-to-Site VPN?
- 優點:保護內部部署設備與 VPC 之間的連線。針對 TLS VPN 使用標準 TCP 和 UDP。
- 缺點:需要 VPN 設定和用戶端組態。
注意:若要允許或限制資源的存取,您必須修改 VPC 網路組態和與 OpenSearch Service 網域相關聯的安全群組。如需詳細資訊,請參閱測試 VPC 網域。
Amazon OpenSearch Service 是 Amazon Elasticsearch Service 的後繼者。