AWS announces preview of AWS Interconnect - multicloud

AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.

Wie verwende ich die HTTP-Authentifizierung mit differenzierter Zugriffskontrolle, um von außerhalb einer VPC auf OpenSearch-Dashboards zuzugreifen?

Lesedauer: 3 Minute

Ich habe eine AmazonOpenSearch-Service-Domain in einer Virtual Private Cloud (VPC) mit aktivierter differenzierter Zugriffskontrolle. Ich möchte die HTTP-Basisauthentifizierung mit Benutzername und Passwort verwenden, um von außerhalb der VPC auf OpenSearch-Dashboards zuzugreifen.

Kurzbeschreibung

Standardmäßig schränkt OpenSearch-Dashboards den Zugriff auf die VPC ein, auf der es sich befindet. Wenn du von einem lokalen Computer aus, der nicht mit der VPC verbunden ist oder keinen Verbindungsproxy hat, auf OpenSearch-Dashboards zugreifst, erhältst du einen Timeout-Fehler.

Verwende eine der folgenden Methoden, um von außerhalb einer VPC mit HTTP-Basisauthentifizierung auf OpenSearch-Dashboards zuzugreifen:

Verwende AWS Site-to-Site VPN, um eine sichere Verbindung zwischen Netzwerken herzustellen.
Verwende AWS Client VPN, um eine sichere Verbindung für einzelne Benutzer herzustellen.
Verwende einen SSH-Tunnel, um eine sichere Verbindung über einen Jump-Server herzustellen.
Verwende einen NGINX-Proxy, um einen Webserver als Vermittler zu verwenden.

Lösung

Hinweis: Wenn du beim Ausführen von AWS Command Line Interface (AWS CLI)-Befehlen Fehlermeldungen erhältst, findest du weitere Informationen dazu unter Problembehandlung bei der AWS CLI. Stelle außerdem sicher, dass du die neueste Version der AWS CLI verwendest. Die folgende Lösung funktioniert nicht bei OpenSearch-Dashboards, welche die Amazon-Cognito-Authentifizierung verwenden.

Um eine differenzierte Zugriffskontrolle mit der HTTP-Basisauthentifizierung verwenden zu können, muss die Domain über eine offene Domain-Zugriffsrichtlinie verfügen, die anonymen Zugriff ermöglicht.

Beispiel für eine Richtlinie:

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "AWS":[
               "*"
            ]
         },
         "Action":[
            "es:ESHttp*"
         ],
         "Resource":"arn:aws:es:region:123456789:domain/test-domain/*"
      }
   ]
}

Hinweis: Ersetze region durch deine AWS-Region, 123456789 durch deine AWS-Konto-ID und test-domain durch deinen Domainnamen.

Außerdem musst du den Haupt-Benutzer-Typ als Interne Benutzerdatenbank konfigurieren. Du kannst die OpenSearch-Service-Konsole oder die AWS CLI verwenden, um diese Einstellung zu konfigurieren.

Site-to-Site-VPN verwenden

Ein Site-to-Site VPN stellt eine sichere verschlüsselte Verbindung zwischen deinem lokalen Netzwerk und Amazon Virtual Private Cloud (Amazon VPC) her. Wenn du ein Site-to-Site-VPN konfigurierst, kannst du direkt auf die OpenSearch-Dashboard-URL zugreifen. Gehe wie folgt vor, um die OpenSearch-Dashboard-URL zu finden:

Öffne die OpenSearch-Service-Konsole.
Wähle Domains und dann deine Domain aus.
Wähle die Registerkarte Allgemeine Informationen.
Wähle die OpenSearch-Dashboard-URL.

Client VPN verwenden

Verwende Client VPN, um von jedem Standort aus sicher auf die AWS-Ressourcen und Ressourcen im On-Premises-Netzwerk zuzugreifen. Um auf OpenSearch-Dashboards zuzugreifen, stelle eine Verbindung zum VPN her und öffne dann die OpenSearch-Dashboards-URL.

Hinweis: Mit Client VPN können einzelne Benutzer ohne Site-to-Site-Verbindung auf OpenSearch-Dashboards zugreifen.

Einen SSH-Tunnel verwenden

Ein SSH-Tunnel stellt eine sichere, verschlüsselte Verbindung über das SSH-Protokoll her, typischerweise Port 22. Du kannst den SSH-Tunnel verwenden, um vom lokalen Computer aus auf Ressourcen in einer privaten VPC zuzugreifen.

Um einen SSH-Tunnel für den Zugriff auf die Ressourcen zu verwenden, konfiguriere die folgenden Ressourcen:

Eine Amazon Elastic Compute Cloud (Amazon EC2)-Instance in derselben VPC wie die OpenSearch-Service-Domain
SSH-Port-Weiterleitung auf deinem lokalen Computer.

Ausführliche Konfigurationsanweisungen findest du unter Testen von VPC-Domains.

Einen NGINX-Proxy verwenden

Verwende den NGINX-Webserver als Zwischenserver, um Anforderungen aus dem öffentlichen Internet an die OpenSearch-Domain innerhalb einer VPC weiterzuleiten. Informationen zur Konfiguration des NGINX-Proxys findest du unter Wie verwende ich einen NGINX-Proxy, um außerhalb einer VPC, die keine Amazon-Cognito-Authentifizierung verwendet, auf Kibana- oder OpenSearch-Dashboards zuzugreifen?

Nachdem du den NGINX-Proxy konfiguriert hast, kannst du auch curl-Befehle und andere REST-APIs auf dem OpenSearch-Service-Cluster von deinem lokalen Computer aus ausführen.

Relevanter Inhalt

Wie behebe ich feinkörnige Probleme mit der Zugriffskontrolle in meinem OpenSearch Service-Cluster?
AWS OFFICIALAktualisiert vor 3 Jahren
Wie verwende ich einen SSH-Tunnel, um von außerhalb einer VPC auf OpenSearch-Dashboards mit Amazon-Cognito-Authentifizierung zuzugreifen?
AWS OFFICIALAktualisiert vor 9 Monaten
Wie kann ich mithilfe der Amazon-Cognito-Authentifizierung von außerhalb einer VPC auf OpenSearch-Dashboards zugreifen?
AWS OFFICIALAktualisiert vor einem Jahr
Wie löse ich einen Host-Header auf, der in Amazon OpenSearch Service fehlt oder nicht gültig ist?
AWS OFFICIALAktualisiert vor 4 Jahren