Amazon Cognito 認証を使用して VPC の外部から OpenSearch Dashboards にアクセスするにはどうすればよいですか?
Amazon OpenSearch Service クラスターが仮想プライベートクラウド (VPC) にあります。この VPC の外部から OpenSearch Dashboards のエンドポイントにアクセスするにはどうすればよいですか。
解決方法
Amazon Cognito 認証を使用して VPC の外部から OpenSearch Dashboards にアクセスするには、次のいずれかの方法を使用します。
SSH トンネルを使用する
詳細については、Amazon Cognito 認証を使用して、SSH トンネルで VPC 外部から OpenSearch Dashboards にアクセスするにはどうすればよいですか? を参照してください。
- 利点: SSH プロトコル経由のセキュアな接続を提供します。すべての接続は、SSH ポートを使用します。
- 欠点: プロキシサーバーとクライアント側の設定が必要です。
NGINX プロキシを使用する
詳細については、「Amazon Cognito 認証を使用して、NGINX プロキシで VPC の外部から OpenSearch Dashboards にアクセスするにはどうすればよいですか?」を参照してください。
- 利点: 必要なのはサーバー側の設定のみであるため、セットアップが容易です。標準の HTTP (ポート 80) および HTTPS (ポート 443) を使用します。
- 欠点: プロキシサーバーが必要です。プロキシサーバーが設定されている方法により接続のセキュリティレベルが異なります。
(オプション) きめ細かなアクセスコントロール (FGAC) が有効になっている場合、Amazon Cognito 認証ロールを追加します
OpenSearch Service クラスターできめ細かなアクセスコントロール (FGAC) が有効になっている場合、missing role エラーが発生する可能性があります。missing role エラーを解決するには、次の手順を実行します。
1. Amazon OpenSearch Service コンソールにサインインします。
2. ナビゲーションペインの [Managed clusters] (マネージドクラスター) で、[Domains] (ドメイン) を選択します。
3. [Actions] (アクション) を選択し、[Edit security configurations] (セキュリティ設定の編集) を選択します。
4. [Set IAM ARN as your master user] (マスターユーザーとして IAM ARN を設定する) を選択します。
6. [IAM ARN] フィールドに、Amazon Cognito 認証済み ARN ロールを追加します。
7. [Submit] (送信) を選択します。
きめ細かなアクセスコントロールの詳細については、チュートリアル: IAM マスターユーザーと Amazon Cognito を参照してください。
VPN を使う
詳細については、「AWS Site-to-Site VPN とは」を参照してください。
- 利点: オンプレミス機器と VPC を安全に接続します。TLS VPN の標準 TCP および UDP を使用します。
- 欠点: VPN 設定とクライアント側の設定が必要です。
注: リソースへのアクセスを許可または制限するには、VPC のネットワーク設定、および OpenSearch Service ドメインに関連付けられたセキュリティグループを変更する必要があります。詳細については、「VPC ドメインをテストする」を参照してください。
関連情報
OpenSearch Dashboards での Amazon Cognito 認証に関する問題をトラブルシューティングするにはどうすればよいですか?
OpenSearch Dashboards の Amazon Cognito 認証の設定
OpenSearch Service クラスターにアクセスしようとすると、「User: anonymous is not authorized」というエラーが表示されます
