Skip to content

Amazon Cognito 認証を使用して VPC の外部から OpenSearch ダッシュボードにアクセスする方法を教えてください。

所要時間2分
0

Amazon OpenSearch Service クラスターを仮想プライベートクラウド (VPC) に配置しています。その VPC の外部から OpenSearch ダッシュボードエンドポイントにアクセスしたいです。

解決策

OpenSearch ダッシュボードにアクセスするには、SSH トンネル、NGINX プロキシ、AWS Site-to-Site VPN のいずれかを使用してください。

SSH トンネルを使用する

SSH トンネルでは SSH プロトコル経由での安全な接続が可能です。全ての接続は SSH ポートを使用します。ただし、SSH トンネルにはクライアント側の設定とプロキシサーバーが必要です。

詳細については、「SSH トンネルを使用して、VPC の外部から Amazon Cognito 認証で OpenSearch ダッシュボードにアクセスする方法を教えてください」を参照してください。

NGINX プロキシを使用する

NGINX プロキシでは、サーバー側の設定のみが必要です。標準の HTTP (ポート 80) と HTTPS (ポート 443) を使用します。ただし、NGINX プロキシにはプロキシサーバーが必要であり、接続のセキュリティレベルはプロキシサーバーの設定方法によって異なります。

詳細については、「NGINX プロキシを使用して、Amazon Cognito 認証で VPC の外部から OpenSearch ダッシュボードにアクセスする方法を教えてください」を参照してください。

(オプション) 詳細アクセスコントロールが有効である場合は、Amazon Cognito 認証ロールを追加してください。

OpenSearch Service クラスターで詳細アクセス制御を有効にした場合、missing role エラーが発生する場合があります。

missing role エラーを解決するには、次の手順を実行します。

  1. OpenSearch Service コンソールを開きます。
  2. ナビゲーションペインの [マネージドクラスター][ドメイン] を選択します。
  3. [アクション] を選択し、[セキュリティ設定の編集] を選択します。
  4. [IAM の ARN をマスターユーザーとして設定] を選択します。
  5. [IAM の ARN] には、Amazon Cognito 認証 AWS Identity and Access Management (IAM) ロールの Amazon リソースネーム (ARN) を入力します。
  6. [送信] を選択します。

詳細アクセス制御と OpenSearch Dashboards アクセスが有効な既存のクラスターでは、Amazon Cognito ユーザーを内部ユーザー用のバックエンドロールに設定できます。OpenSearch ダッシュボードで、ユーザーを all_access ロールにマッピングすることもできます。

次の手順を実行します。

  1. OpenSearch Service コンソールを開きます。
  2. ナビゲーションペインの [マネージドクラスター][ドメイン] を選択します。
  3. 該当するクラスターの OpenSearch ダッシュボードにログインします。
  4. all_access ロールを選択します。
  5. [ダッシュボード][セキュリティ] を選択し、[ロール/内部ユーザー] を選択します。
  6. [ロール] では、all_access または、内部ユーザーに属するユーザーを選択します。
  7. [マッピングの管理] を選択します。
  8. [バックエンドロール] に Amazon Cognito 認証 IAM ロールの ARN を入力し、[マップ] を選択します。
  9. [クラスター設定の編集] において、Amazon Cognito 認証 IAM ロール用のユーザープールと ID プールの Cognito 認証を有効にします。
    注: この設定を行うと、デプロイはブルー/グリーンになります。
  10. NGINX プロキシ経由のクラスターアクセスを更新するか、AWS VPN を使用してください。

詳細アクセス制御の詳細については、「チュートリアル: IAM マスターユーザーと Amazon Cognito 認証を使用してドメインを設定する」を参照してください。

AWS Site-to-Site VPN を使用する

Site-to-Site VPN は、オンプレミス機器と VPC 間の安全な接続を確立し、SSL/TLS VPN には標準の TCP と UDP を使用します。ただし、Site-to-Site VNP 接続には、VPN およびクライアント側の設定が必要です。

注: リソースへのアクセスを許可または制限するには、VPC のネットワーク設定および、OpenSearch Service ドメインに関連付けられたセキュリティグループを変更してください。詳細については、「VPC ドメインのテスト」を参照してください。

関連情報

OpenSearch ダッシュボードでの Amazon Cognito 認証に関する問題をトラブルシューティングする方法を教えてください

OpenSearch ダッシュボードに Amazon Cognito 認証を設定する

OpenSearch Service クラスターにアクセスしようとした際、「User: anonymous is not authorized」というエラーが発生する原因を教えてください

AWS公式更新しました 1年前
コメントはありません

関連するコンテンツ