AWS announces preview of AWS Interconnect - multicloud

AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.

VPC 外部からの OpenSearch Dashboards へのアクセスに、詳細アクセス制御 (FGAC) および HTTP 認証を併用する方法を教えてください。

所要時間2分

詳細アクセス制御 (FGAC) が有効な仮想プライベートクラウド (VPC) に Amazon OpenSearch Service ドメインを配置しています。ユーザー名とパスワードの HTTP ベーシック認証を使用して、VPC の外部から OpenSearch Dashboards にアクセスしたいと考えています。

簡単な説明

デフォルトでは、OpenSearch Dashboards は、自体が配置された VPC へのアクセスを制限します。OpenSearch Dashboards へのアクセスでは、接続元のローカルコンピュータが VPC に接続されていない場合、または接続プロキシを使用していない場合、タイムアウトエラーが発生します。

HTTP ベーシック認証を使用して、VPC の外部から OpenSearch Dashboards に接続するには、次のいずれかの方法を実施します。

AWS Site-to-Site VPN を使用してネットワーク間の安全な接続を確立します。
AWS Client VPN を使用して各ユーザーに安全な接続を確立します。
SSH トンネルを使用してジャンプサーバー経由で安全な接続を確立します。
NGINX プロキシを使用してウェブサーバーを仲介として使用します。

解決策

注: AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、「AWS CLI で発生したエラーのトラブルシューティング」を参照してください。また、AWS CLI の最新バージョンを使用していることを確認してください。次の解決策は、Amazon Cognito 認証を使用する OpenSearch Dashboards には適用できません。

詳細アクセス制御 (FGAC) と HTTP ベーシック認証を併用する場合、ドメインには、匿名アクセスを許可するオープンドメインのアクセスポリシーが必要です。

ポリシーの例:

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "AWS":[
               "*"
            ]
         },
         "Action":[
            "es:ESHttp*"
         ],
         "Resource":"arn:aws:es:region:123456789:domain/test-domain/*"
      }
   ]
}

注: region を AWS リージョンに、123456789 を AWS アカウント ID に、test-domain をドメイン名に置き換えてください。

また、master user の種類を Internal user database と設定する必要があります。この設定は、OpenSearch Service コンソールまたは AWS CLI を使用して行います。

Site-to-Site VPN を使用する

Site-to-Site VPN は、オンプレミスネットワークと Amazon Virtual Private Cloud (Amazon VPC) の間に安全な暗号化接続を確立します。Site-to-Site VPN の構成時は、OpenSearch Dashboards の URL に直接接続できます。OpenSearch Dashboards の URL を見つけるには、次の手順を実行します。

OpenSearch Service コンソールを開きます。
[ドメイン] を選択し、目的のドメインを選択します。
[一般情報] タブを選択します。
OpenSearch Dashboards の URL を選択します。

Client VPN を使用する

Client VPN を使用すると、任意の場所から AWS リソースおよびオンプレミスネットワーク内のリソースにアクセスできます。OpenSearch Dashboards にアクセスするには、VPN に接続した後、OpenSearch Dashboards の URL を開きます。

注: Client VPN では、個別のユーザーはサイト間接続を必要とせず、OpenSearch Dashboards にアクセスできます。

SSH トンネルを使用する

SSH トンネルは、SSH プロトコル (通常はポート22) 経由の保護された暗号化接続を確立します。ローカルマシンからプライベート VPC 内のリソースへのアクセスには、SSH トンネルを使用できます。

SSH トンネルを使用してリソースにアクセスするには、次のリソースを構成します。

OpenSearch Service ドメインと同じ VPC に配置された Amazon Elastic Compute Cloud (Amazon EC2) インスタンス
ローカルマシンでの SSH ポート転送。

詳細な構成手順については、「VPC ドメインをテストする」を参照してください。

NGINX プロキシを使用する

NGINX サーバーを中継サーバーとして使用してパブリックインターネットから VPC 内の OpenSearch ドメインへのリクエストを転送します。NGINX プロキシの構成方法については、「Amazon Cognito を使用していない、VPC 外部の Kibana や OpenSearch Dashboards へのアクセスに NGINX プロキシを使用する方法を教えてください」を参照してください。

NGINX プロキシを構成した後は、ローカルマシンから OpenSearch Service クラスターに対し、curl コマンドや他の REST API を実行することもできます。