AWS announces preview of AWS Interconnect - multicloud

AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.

세분화된 액세스 제어를 통해 HTTP 인증을 사용하여 VPC 외부에서 OpenSearch 대시보드에 액세스하려면 어떻게 해야 합니까?

3분 분량

세분화된 액세스 제어가 활성화된 가상 프라이빗 클라우드(VPC)에 Amazon OpenSearch Service 도메인이 있습니다. 사용자 이름 및 암호 HTTP 기본 인증을 사용하여 VPC 외부에서 OpenSearch 대시보드에 액세스하려고 합니다.

간략한 설명

기본적으로 OpenSearch 대시보드는 대시보드가 있는 VPC에 대한 액세스를 제한합니다. VPC에 연결되지 않았거나 연결 프록시가 없는 로컬 컴퓨터에서 OpenSearch 대시보드에 액세스하면 시간 초과 오류가 발생합니다.

VPC 외부에서 HTTP 기본 인증을 사용하여 OpenSearch 대시보드에 액세스하려면 다음 방법 중 하나를 사용하십시오.

AWS Site-to-Site VPN을 사용하여 네트워크 간 보안 연결을 수립합니다.
AWS Client VPN을 사용하여 개별 사용자에 대한 보안 연결을 수립합니다.
SSH 터널을 사용하여 점프 서버를 통해 보안 연결을 수립합니다.
NGINX 프록시를 사용하여 웹 서버를 중개자로 사용합니다.

해결 방법

참고: AWS Command Line Interface(AWS CLI) 명령을 실행할 때 오류가 발생하면 AWS CLI의 오류 해결을 참조하십시오. 또한 최신 AWS CLI 버전을 사용하고 있는지 확인하십시오. 다음 해결 방법은 Amazon Cognito 인증을 사용하는 OpenSearch 대시보드에서는 작동하지 않습니다.

HTTP 기본 인증으로 세분화된 액세스 제어를 사용하려면 도메인에 익명 액세스를 허용하는 개방형 도메인 액세스 정책이 있어야 합니다.

정책 예시:

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "AWS":[
               "*"
            ]
         },
         "Action":[
            "es:ESHttp*"
         ],
         "Resource":"arn:aws:es:region:123456789:domain/test-domain/*"
      }
   ]
}

참고: region을 AWS 리전으로, 123456789를 AWS 계정 ID로, test-domain을 도메인 이름으로 바꾸십시오.

또한 마스터 사용자 유형을 내부 사용자 데이터베이스로 구성해야 합니다. OpenSearch Service 콘솔 또는 AWS CLI를 사용하여 이 설정을 구성할 수 있습니다.

Site-to-Site VPN 사용

Site-to-Site VPN은 온프레미스 네트워크와 Amazon Virtual Private Cloud(Amazon VPC) 간에 암호화된 보안 연결을 만듭니다. Site-to-Site VPN을 구성하면 OpenSearch 대시보드 URL에 직접 액세스할 수 있습니다. OpenSearch 대시보드 URL을 찾으려면 다음 단계를 완료하십시오.

OpenSearch Service 콘솔을 엽니다.
도메인을 선택한 다음, 해당 도메인을 선택합니다.
일반 정보 탭을 선택합니다.
OpenSearch 대시보드 URL을 선택합니다.

Client VPN 사용

Client VPN을 사용하면 어느 위치에서든 AWS 리소스 및 온프레미스 네트워크의 리소스에 안전하게 액세스할 수 있습니다. OpenSearch 대시보드에 액세스하려면 VPN에 연결한 다음, OpenSearch 대시보드 URL을 엽니다.

참고: Client VPN을 사용하면 개별 사용자가 사이트 간 연결 없이 OpenSearch 대시보드에 액세스할 수 있습니다.

SSH 터널 사용

SSH 터널은 SSH 프로토콜(일반적으로 포트 22)을 통해 암호화된 보안 연결을 수립합니다. SSH 터널을 사용하여 로컬 시스템에서 프라이빗 VPC 내부의 리소스에 액세스할 수 있습니다.

SSH 터널을 사용하여 리소스에 액세스하려면 다음 리소스를 구성하십시오.

OpenSearch Service 도메인과 동일한 VPC에 있는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스
로컬 시스템의 SSH 포트 포워딩

자세한 구성 설명은 VPC 도메인 테스트를 참조하십시오.

NGINX 프록시 사용

NGINX 웹 서버를 중개 서버로 사용하여 퍼블릭 인터넷의 요청을 VPC 내의 OpenSearch 도메인으로 전달합니다. NGINX 프록시를 구성하려면 Amazon Cognito 인증을 사용하지 않는 VPC 외부에서 NGINX 프록시를 사용하여 Kibana 또는 OpenSearch 대시보드에 액세스하려면 어떻게 해야 합니까?를 참조하십시오.

NGINX 프록시를 구성한 후 로컬 시스템의 OpenSearch Service 클러스터에서 curl 명령 및 기타 REST API를 실행할 수도 있습니다.