Comment puis-je résoudre les problèmes d'accès aux tableaux de bord OpenSearch sans serveur pour consulter ma collection ?

Lecture de 7 minute(s)
0

Je n'arrive pas à accéder à ma collection dans les tableaux de bord Amazon OpenSearch sans serveur avec l'accès réseau défini sur « Point de terminaison du VPC ».

Brève description

Les ressources qui se trouvent dans le même Amazon Virtual Private Cloud (Amazon VPC) que le point de terminaison de VPC Amazon peuvent accéder aux tableaux de bord sans serveur OpenSearch. Vous pouvez également vous connecter au VPN pour que le VPC accède aux tableaux de bord.

Si vous ne parvenez toujours pas à accéder aux tableaux de bord, il se peut que vous rencontriez l'un des problèmes suivants :

  • Votre connexion expire car votre ressource n'a pas accès au point de terminaison du VPC.
  • Vous recevez une erreur 401 Unauthorized car votre machine cliente se trouve en dehors du VPC ou une stratégie d'accès refuse l'accès.
  • Vous recevez une erreur HTTP Error 403 car vous n'êtes pas autorisé à accéder aux tableaux de bord.

Résolution

Délai d’expiration de la connexion

Si votre connexion expire lorsque vous essayez d'accéder à OpenSearch Dashboards depuis votre navigateur, il est possible que la ressource n'ait pas accès au point de terminaison du VPC. Vous devez ajouter le groupe de sécurité ou l'adresse IP source aux règles entrantes du groupe de sécurité associé au point de terminaison de VPC OpenSearch sans serveur.

Résolvez l'hôte DNS du point de terminaison du VPC

Effectuez les opérations suivantes :

  1. Ouvrez la console OpenSearch Service, puis récupérez l'URL du point de terminaison du VPC, par exemple https://c57qhobw71y128nmhkkc.ap-southeast-2.aoss.amazonaws.com.

  2. Sur la machine cliente, ouvrez le point de terminaison et exécutez la commande suivante :

    nslookup c57qhobw71y368nmhkkc.ap-southeast-2.aoss.amazonaws.com

    La sortie répertorie les adresses IP, comme dans l'exemple suivant :

    Non-authoritative answer:
    Name:  privatelink.a00.b11.iad.prod.aoss.searchservices.aws.dev
    Addresses: 172.X1.Y1.123
         172.X2.Y2.456
    Aliases: 2yc453ixd67ue89fqsll.us-east-1.aoss.amazonaws.com
  3. Pour exécuter un test Telnet sur le port 443, exécutez la commande suivante :

    telnet 172.X1.Y1.123 443

    Remarque : Remplacez 172.X1.Y1.123 443 par l'adresse IP de la sortie que vous avez reçue.
    Si vous pouvez vous connecter au point de terminaison du VPC, vous obtenez une sortie similaire à l'exemple suivant :

    $ telnet 172.X1.Y1.123 443
    Trying 172.X1.Y1.123...
    Connected to 172.X1.Y1.123.
    Escape character is '^]'.

Utilisez l’Analyseur d’accessibiité pour déterminer si EC2 peut se connecter au point de terminaison du VPC

Si vous utilisez Amazon Elastic Compute Cloud (Amazon EC2) pour accéder à votre point de terminaison de VPC, utilisez l’Analyseur d’accessibilité pour résoudre les problèmes de connectivité.

Effectuez les opérations suivantes :

  1. Ouvrez la console AWS Network Manager.
  2. Dans le volet de navigation, sous Surveillance et résolution des problèmes, sélectionnez Analyseur d’accessibilité.
  3. Sélectionnez Créer et analyser un chemin.
  4. Sur la page Créer et analyser un chemin, saisissez les informations suivantes :
    Sous Source du chemin, pour Type de source, sélectionnez Instances. Puis, sélectionnez votre instance Amazon EC2.
    Sous Destination du chemin, pour Type de destination, sélectionnez Points de terminaison du VPC. Puis, sélectionnez le point de terminaison de VPC de la collection.
    Pour Protocole, sélectionnez TCP.
    Sélectionnez Créer et analyser un chemin.
  5. Dans l'onglet Analyses, consultez les résultats des tests d'accessibilité.

Erreur 401 Unauthorized

Soit la machine cliente que vous utilisez possède une adresse IP incluse dans les règles entrantes du groupe de sécurité, mais elle se trouve en dehors du VPC. Ou bien, vous ne pouvez pas accéder à la collection car une stratégie d'accès réseau refuse l'accès.

Résolvez l'hôte DNS du point de terminaison du VPC

Effectuez les opérations suivantes :

  1. Sur la machine cliente, ouvrez le point de terminaison et exécutez la commande suivante pour déterminer si le nom d'hôte est résolu en lien privé :

    nslookup c57qhobw71y368nmhkkc.ap-southeast-2.aoss.amazonaws.com

    La sortie répertorie les adresses IP, comme dans l'exemple suivant :

    Non-authoritative answer:
    Name:  privatelink.a00.b11.iad.prod.aoss.searchservices.aws.dev
    Addresses: 172.X1.Y1.123
         172.X2.Y2.456
    Aliases: 2yc453ixd67ue89fqsll.us-east-1.aoss.amazonaws.com
  2. Si votre DNS prend la forme d'un nom d'hôte public, vérifiez les configurations de votre VPC, de votre sous-réseau et de votre groupe de sécurité.
    Exemple de résolution DNS :

    Server: ip-A1-B-C2-D.ap-southeast-2.compute.internal
    Address: 10.A.BC.D
    
    Non-authoritative answer:
    Name:  example.sgw.syd.prod.aoss.searchservices.aws.dev
    Addresses: 3.X1.YZ1.55
         54.X2.YZ2.95
         54.X3.YZ3.119
    Aliases: c57qhobw71y368nmhkkc.ap-southeast-2.aoss.amazonaws.com
  3. Vérifiez la configuration de l'hôte et de l'adresse IP du résolveur pour déterminer si le résolveur est inattendu, par exemple s'il s'agit d'un résolveur proxy. Si la configuration est un résolveur inattendu, celui-ci peut utiliser en interne un autre résolveur Amazon VPC.

  4. Si nslookup se résout en un lien privé et que vous continuez à recevoir des erreurs 401, créez un fichier HAR pour résoudre l'erreur.

Créer un fichier HAR

Reproduisez le problème dans votre navigateur, puis créez un fichier HAR pour déterminer la cause de l'erreur.

Exemple de fichier HAR :

"response":
{     
  "status": 401,
  "statusText": "Unauthorized",
  "httpVersion": "HTTP/1.1",
  "headers": [      
    {       
      "name": "content-length",
      "value": "0"      
    },
    {       
      "name": "date",
      "value": "Thu, 30 Mar 2023 00:29:21 GMT"
    },      
    {       
      "name": "server",       
      "value": "aoss-amazon"      
    },      
    {       
      "name": "x-aoss-response-hint",
      "value": "X01:network-policy-deny"
    },
    {       
      "name": "x-request-id",
      "value": "b1211888-1234-9e64-9999-aaxyzab1fd6"
    }
  ],
  ...

Dans l'exemple précédent, l'accès aux tableaux de bord est refusé en raison de la stratégie d'accès réseau X01:network-policy-deny. Pour résoudre ce problème, mettez à jour votre stratégie d'accès réseau afin que le point de terminaison de VPC figurant dans la stratégie réseau corresponde au point de terminaison de VPC de votre collection.

ERREUR HTTP 403 : Vous n'êtes pas autorisé à consulter cette page

Si vous obtenez une ERREUR HTTP 403, cela signifie que le profil utilisateur n'est pas autorisé à accéder aux tableaux de bord. Reproduisez le problème dans votre navigateur. Puis, créez un fichier HAR pour déterminer les autorisations requises pour accéder aux tableaux de bord.

Exemple de fichier HAR :

"response":
{     
  "status": 403,
  "statusText": "Forbidden",
  "httpVersion": "HTTP/1.1",     
  "headers": [      
    {
      "name": "content-length",
      "value": "0"      
    },
    {       
      "name": "date",
      "value": "Mon, 17 Apr 2023 00:10:25 GMT"
    },      
    {       
      "name": "server",       
      "value": "aoss-amazon-d"      
    },
    {       
      "name": "x-aoss-response-hint",
      "value": "X01:dashboards-authz-denied"      
    },      
    {       
      "name": "x-envoy-upstream-service-time",
      "value": "19"      
    },      
    {       
      "name": "x-request-id",
      "value": "b559fd8f-315e-9fe9-a9e8-6ff5791b765a"
    }
    ...

Mettez à jour vos autorisations AWS Identity and Access Management (IAM) pour inclure les autorisations requises.

Étapes de dépannage supplémentaires

Mettez à jour vos autorisations IAM pour les stratégies de plan de données

Pour accéder aux API de plan de données Amazon OpenSearch sans serveur et à OpenSearch Dashboards depuis un navigateur, mettez à jour vos autorisations IAM. Vous devez ajouter les autorisations IAM aoss:APIAccessAll et aoss:DashboardsAccessAll à la stratégie d'autorisations.

Mettez à jour vos configurations d'utilisateur ou de groupe IAM

Mettez à jour la stratégie d'accès aux données associée à votre collection afin d'inclure les autorisations appropriées pour l'utilisateur ou le groupe IAM. Connectez-vous ensuite à la console de gestion AWS en tant qu'utilisateur ou groupe IAM disposant des autorisations de stratégie d'accès aux données. OpenSearch Dashboards utilise automatiquement les informations d'identification IAM pour vous connecter à OpenSearch Dashboards.

Mettez à jour vos configurations d'utilisateur ou de groupe SAML

Pour les utilisateurs ou les groupes SAML, connectez-vous avec l'entité qui dispose des autorisations de stratégie d'accès aux données appropriées. Mettez à jour l'utilisateur ou le groupe afin qu'il corresponde à la configuration du fournisseur SAML. Les mappages entre l'utilisateur ou le groupe et le fournisseur SAML sont sensibles à la casse et doivent correspondre. Pour résoudre les problèmes liés au contenu d’affirmations réelles, vous pouvez utiliser un outil tel que le traceur SAML. Pour en savoir plus, consultez la section Configurer les champs SAML.

N'ouvrez pas l'URL d'OpenSearch Dashboards depuis la console de gestion AWS. Saisissez plutôt l'URL dans un nouvel onglet ou une nouvelle fenêtre. Si vous utilisez le lien depuis la console de gestion AWS, celle-ci essaie d'authentifier l'utilisateur IAM.

Informations connexes

Comment puis-je configurer une collection OpenSearch sans serveur avec un point de terminaison de VPC Amazon et accéder au tableau de bord de la collection ?

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un mois
Aucun commentaire