¿Cómo puedo usar la autenticación de Amazon Cognito para acceder a los paneles de OpenSearch desde fuera de una VPC?

Resolución

Para acceder a los paneles de OpenSearch, utiliza un túnel SSH, un proxy NGINX o AWS Site-to-Site VPN.

Uso de un túnel SSH

Un túnel SSH proporciona una conexión segura a través del protocolo SSH y todas las conexiones utilizan el puerto SSH. Sin embargo, un túnel SSH requiere una configuración en el cliente y un servidor proxy.

Para obtener más información, consulta ¿Cómo puedo usar un túnel SSH para acceder a los paneles de OpenSearch desde fuera de una VPC con la autenticación de Amazon Cognito?

Uso de un proxy NGINX

Un proxy NGINX solo requiere una configuración en el servidor y usa HTTP (puerto 80) y HTTPS (puerto 443) estándar. Sin embargo, un proxy NGINX requiere un servidor proxy y el nivel de seguridad de la conexión depende de cómo se configure el servidor proxy.

Para obtener más información, consulta ¿Cómo uso un proxy NGINX para acceder a los paneles de OpenSearch desde fuera de una VPC que utilice la autenticación de Amazon Cognito?

(Opcional) Si has activado el control de acceso detallado, agrega un rol autenticado de Amazon Cognito

Si has activado el control de acceso detallado para tu clúster de OpenSearch Service, es posible que se muestre un error que indica que falta un rol.

Para resolver el error de rol que indica que falta un rol, sigue estos pasos:

1. Abre la consola de OpenSearch Service.
2. En el panel de navegación, en Clústeres administrados, selecciona Dominios.
3. Elige Acciones y, a continuación, elige Editar configuraciones de seguridad.
4. Elige Establecer ARN de IAM como usuario maestro.
5. Para el ARN de IAM, introduce el nombre de recurso de Amazon (ARN) del rol de Amazon Identity and Access Management (IAM) autenticado de Amazon Cognito.
6. Selecciona Enviar.

Para los clústeres existentes con un control de acceso detallado y acceso a los paneles de OpenSearch, puedes asignar el usuario de Amazon Cognito como el rol de backend de un usuario interno. También puedes asignar al usuario el rol all_access en los paneles de OpenSearch.

Sigue estos pasos:

1. Abre la consola de OpenSearch Service.
2. En el panel de navegación, en Clústeres administrados, selecciona Dominios.
3. Inicia sesión en los paneles de OpenSearch de tu clúster.
4. Selecciona el rol all_access.
5. En Paneles, elige Seguridad y, a continuación, elige Roles o usuarios internos.
6. En Roles, selecciona all_access o selecciona un usuario de los usuarios internos.
7. Selecciona Administrar asignación.
8. En Rol de backend, introduce el ARN del rol de IAM autenticado de Amazon Cognito y, a continuación, selecciona Asignar.
9. En Editar configuración del clúster, activa la autenticación de Cognito para el grupo de usuarios y los grupos de identidades para tu rol de IAM autenticado de Amazon Cognito.
   Nota: Esta configuración provoca un despliegue azul-verde.
10. Actualiza el acceso al clúster a través de un proxy NGINX o utiliza AWS VPN.

Para obtener más información sobre el control de acceso detallado, consulta Tutorial: configuración de un dominio con un usuario maestro de IAM y autenticación de Amazon Cognito.

Uso de Site-to-Site VPN

Site-to-Site VPN crea una conexión segura entre tu equipo local y tus VPC y utiliza TCP y UDP estándar para una VPN SSL/TLS. Sin embargo, Site-to-Site VNP requiere una configuración de VPN y una configuración en el cliente.

Nota: Para permitir o restringir el acceso a los recursos, modifica la configuración de red de la VPC y los grupos de seguridad asociados al dominio de OpenSearch Service. Para obtener más información, consulta Probar dominios de VPC.

Información relacionada

¿Cómo soluciono los problemas de autenticación de Amazon Cognito con los paneles de OpenSearch?

Configuración de la autenticación de Amazon Cognito para paneles de OpenSearch

¿Por qué aparece el error «User: anonymous is not authorized» al intentar acceder al clúster de OpenSearch Service?