Amazon OpenSearch Service クラスターを仮想プライベートクラウド (VPC) に配置しています。その VPC の外部から OpenSearch ダッシュボードエンドポイントにアクセスしたいです。
OpenSearch ダッシュボードにアクセスするには、SSH トンネル、NGINX プロキシ、AWS Site-to-Site VPN のいずれかを使用してください。
SSH トンネルでは SSH プロトコル経由での安全な接続が可能です。全ての接続は SSH ポートを使用します。ただし、SSH トンネルにはクライアント側の設定とプロキシサーバーが必要です。
詳細については、「SSH トンネルを使用して、VPC の外部から Amazon Cognito 認証で OpenSearch ダッシュボードにアクセスする方法を教えてください」を参照してください。
NGINX プロキシでは、サーバー側の設定のみが必要です。標準の HTTP (ポート 80) と HTTPS (ポート 443) を使用します。ただし、NGINX プロキシにはプロキシサーバーが必要であり、接続のセキュリティレベルはプロキシサーバーの設定方法によって異なります。
詳細については、「NGINX プロキシを使用して、Amazon Cognito 認証で VPC の外部から OpenSearch ダッシュボードにアクセスする方法を教えてください」を参照してください。
OpenSearch Service クラスターで詳細アクセス制御を有効にした場合、missing role エラーが発生する場合があります。
missing role エラーを解決するには、次の手順を実行します。
詳細アクセス制御と OpenSearch Dashboards アクセスが有効な既存のクラスターでは、Amazon Cognito ユーザーを内部ユーザー用のバックエンドロールに設定できます。OpenSearch ダッシュボードで、ユーザーを all_access ロールにマッピングすることもできます。
次の手順を実行します。
詳細アクセス制御の詳細については、「チュートリアル: IAM マスターユーザーと Amazon Cognito 認証を使用してドメインを設定する」を参照してください。
Site-to-Site VPN は、オンプレミス機器と VPC 間の安全な接続を確立し、SSL/TLS VPN には標準の TCP と UDP を使用します。ただし、Site-to-Site VNP 接続には、VPN およびクライアント側の設定が必要です。
注: リソースへのアクセスを許可または制限するには、VPC のネットワーク設定および、OpenSearch Service ドメインに関連付けられたセキュリティグループを変更してください。詳細については、「VPC ドメインのテスト」を参照してください。
OpenSearch ダッシュボードでの Amazon Cognito 認証に関する問題をトラブルシューティングする方法を教えてください
OpenSearch ダッシュボードに Amazon Cognito 認証を設定する
OpenSearch Service クラスターにアクセスしようとした際、「User: anonymous is not authorized」というエラーが発生する原因を教えてください