내 컬렉션을 보기 위해 OpenSearch Serverless 대시보드 액세스 문제를 해결하려면 어떻게 해야 합니까?

5분 분량
0

네트워크 액세스를 'VPC 엔드포인트'로 설정한 상태에서는 Amazon OpenSearch Serverless 대시보드에서 내 컬렉션에 액세스할 수 없습니다.

간략한 설명

Amazon VPC 엔드포인트와 동일한 Amazon Virtual Private Cloud(Amazon VPC)에 있는 리소스는 OpenSearch Serverless 대시보드에 액세스할 수 있습니다. 또는 VPC용 VPN에 연결하여 대시보드에 액세스할 수 있습니다.

여전히 대시보드에 액세스할 수 없다면 다음 문제 중 하나일 수 있습니다.

  • 리소스가 VPC 엔드포인트에 액세스할 수 없기 때문에 연결 시간이 초과되었습니다.
  • 클라이언트 시스템이 VPC 외부에 있거나 액세스 정책에서 액세스를 거부하기 때문에 401 승인되지 않음 오류가 발생합니다.
  • 대시보드에 액세스할 권한이 없기 때문에 HTTP 오류 403 오류가 표시됩니다.

해결 방법

연결 시간 초과

브라우저에서 OpenSearch 대시보드에 액세스하려고 할 때 연결 제한 시간이 초과되면 리소스가 VPC 엔드포인트에 액세스하지 못할 수 있습니다. OpenSearch Serverless VPC 엔드포인트와 연결된 보안 그룹의 인바운드 규칙에 소스 보안 그룹 또는 IP 주소를 추가해야 합니다.

VPC 엔드포인트의 DNS 호스트 확인

다음 단계를 완료하십시오.

  1. OpenSearch 서비스 콘솔을 열고 VPC 엔드포인트 URL(예: https://c57qhobw71y128nmhkkc.ap-southeast-2.aoss.amazonaws.com)을 가져옵니다.

  2. 클라이언트 시스템에서 터미널을 열고 다음 명령을 실행합니다.

    nslookup c57qhobw71y368nmhkkc.ap-southeast-2.aoss.amazonaws.com

    출력에는 다음 예와 같이 IP 주소가 나열됩니다.

    Non-authoritative answer:
    Name:  privatelink.a00.b11.iad.prod.aoss.searchservices.aws.dev
    Addresses: 172.X1.Y1.123
         172.X2.Y2.456
    Aliases: 2yc453ixd67ue89fqsll.us-east-1.aoss.amazonaws.com
  3. 포트 443에서 텔넷 테스트를 실행하려면 다음 명령을 실행합니다.

    telnet 172.X1.Y1.123 443

    참고: 172.X1.Y1.123 443을 받은 출력의 IP 주소로 바꾸십시오.
    VPC 엔드포인트에 연결할 수 있는 경우 다음 예와 비슷한 출력이 표시됩니다.

    $ telnet 172.X1.Y1.123 443
    Trying 172.X1.Y1.123...
    Connected to 172.X1.Y1.123.
    Escape character is '^]'.

Reachability Analyzer를 사용하여 EC2가 VPC 엔드포인트에 연결할 수 있는지 확인

Amazon Elastic Compute Cloud(Amazon EC2)를 사용하여 VPC 엔드포인트에 액세스하는 경우 Reachability Analyzer를 사용하여 연결 문제를 해결합니다.

다음 단계를 완료하십시오.

  1. AWS Network Manager 콘솔을 엽니다.
  2. 탐색 창의 모니터링 및 문제 해결에서 Reachability Analyzer를 선택합니다.
  3. 경로 생성 및 분석을 선택합니다.
  4. 경로 생성 및 분석 페이지에서 다음 정보를 입력합니다.
    경로 소스에서 소스 유형으로 인스턴스를 선택합니다. 그런 다음 Amazon EC2 인스턴스를 선택합니다.
    경로 대상에서 대상 유형으로 VPC 엔드포인트를 선택합니다. 그런 다음 컬렉션의 VPC 엔드포인트를 선택합니다.
    프로토콜에서 TCP를 선택합니다.
    경로 생성 및 분석을 선택합니다.
  5. 분석 탭에서 도달성 테스트 결과를 검토합니다.

401 승인되지 않음 오류

사용하는 클라이언트 시스템에 보안 그룹 인바운드 규칙에 포함된 IP 주소가 있지만 해당 시스템은 VPC 외부에 있습니다. 또는 네트워크 액세스 정책이 액세스를 거부하기 때문에 컬렉션에 액세스할 수 없습니다.

VPC 엔드포인트의 DNS 호스트 확인

다음 단계를 완료하십시오.

  1. 클라이언트 시스템에서 터미널을 열고 다음 명령을 실행하여 호스트 이름이 프라이빗 링크로 해석되는지 확인합니다.

    nslookup c57qhobw71y368nmhkkc.ap-southeast-2.aoss.amazonaws.com

    출력에는 다음 예와 같이 IP 주소가 나열됩니다.

    Non-authoritative answer:
    Name:  privatelink.a00.b11.iad.prod.aoss.searchservices.aws.dev
    Addresses: 172.X1.Y1.123
         172.X2.Y2.456
    Aliases: 2yc453ixd67ue89fqsll.us-east-1.aoss.amazonaws.com
  2. DNS가 퍼블릭 호스트 이름으로 확인되는 경우 VPC, 서브넷 및 보안 그룹의 구성을 검토합니다.
    DNS 확인의 예:

    Server: ip-A1-B-C2-D.ap-southeast-2.compute.internal
    Address: 10.A.BC.D
    
    Non-authoritative answer:
    Name:  example.sgw.syd.prod.aoss.searchservices.aws.dev
    Addresses: 3.X1.YZ1.55
         54.X2.YZ2.95
         54.X3.YZ3.119
    Aliases: c57qhobw71y368nmhkkc.ap-southeast-2.aoss.amazonaws.com
  3. 해석기 호스트와 IP 주소 구성을 검토하여 해석기가 프록시 해석기와 같이 예상치 못한 것인지 확인합니다. 구성이 예상치 못한 해석기인 경우 해석기는 내부적으로 다른 Amazon VPC 해석기를 사용할 수 있습니다.

  4. nslookup이 프라이빗 링크로 해석되었는데도 401 오류가 계속 발생하면 HAR 파일을 만들어 오류를 해결하십시오.

HAR 파일 생성

브라우저에서 문제를 재현한 다음 HAR 파일을 생성하여 오류의 원인을 확인합니다.

HAR 파일 예시:

"response":
{     
  "status": 401,
  "statusText": "Unauthorized",
  "httpVersion": "HTTP/1.1",
  "headers": [      
    {       
      "name": "content-length",
      "value": "0"      
    },
    {       
      "name": "date",
      "value": "Thu, 30 Mar 2023 00:29:21 GMT"
    },      
    {       
      "name": "server",       
      "value": "aoss-amazon"      
    },      
    {       
      "name": "x-aoss-response-hint",
      "value": "X01:network-policy-deny"
    },
    {       
      "name": "x-request-id",
      "value": "b1211888-1234-9e64-9999-aaxyzab1fd6"
    }
  ],
  ...

위의 예에서는 X01:network-policy-deny 네트워크 액세스 정책 때문에 대시보드에 대한 액세스가 거부되었습니다. 이 문제를 해결하려면 네트워크 정책의 VPC 엔드포인트가 컬렉션의 VPC 엔드포인트와 일치하도록 네트워크 액세스 정책을 업데이트합니다.

HTTP 오류 403: 이 페이지를 볼 수 있는 권한이 없습니다

HTTP ERROR 403이 표시되면 사용자 프로필에 대시보드에 액세스할 수 있는 권한이 없는 것입니다. 브라우저에서 문제를 재현하십시오. 그런 다음 HAR 파일을 생성하여 대시보드에 액세스하는 데 필요한 권한을 결정합니다.

HAR 파일 예시:

"response":
{     
  "status": 403,
  "statusText": "Forbidden",
  "httpVersion": "HTTP/1.1",     
  "headers": [      
    {
      "name": "content-length",
      "value": "0"      
    },
    {       
      "name": "date",
      "value": "Mon, 17 Apr 2023 00:10:25 GMT"
    },      
    {       
      "name": "server",       
      "value": "aoss-amazon-d"      
    },
    {       
      "name": "x-aoss-response-hint",
      "value": "X01:dashboards-authz-denied"      
    },      
    {       
      "name": "x-envoy-upstream-service-time",
      "value": "19"      
    },      
    {       
      "name": "x-request-id",
      "value": "b559fd8f-315e-9fe9-a9e8-6ff5791b765a"
    }
    ...

필요한 권한을 포함하도록 AWS Identity and Access Management(IAM) 권한을 업데이트합니다.

추가 문제 해결 단계

데이터 플레인 정책에 대한 IAM 권한 업데이트

브라우저에서 Amazon OpenSearch Serverless 데이터 플레인 API와 OpenSearch 대시보드에 액세스하려면 IAM 권한을 업데이트합니다. 권한 정책에 aoss:APIAccessAllaoss:DashboardsAccessAll IAM 권한을 추가해야 합니다.

IAM 사용자 또는 그룹 구성 업데이트

컬렉션에 연결된 데이터 액세스 정책을 업데이트하여 IAM 사용자 또는 그룹에 대한 올바른 권한을 포함하도록 합니다. 그런 다음 데이터 액세스 정책 권한이 있는 IAM 사용자 또는 그룹으로 AWS Management Console에 로그인합니다. OpenSearch 대시보드는 자동으로 IAM 자격 증명을 사용하여 OpenSearch 대시보드에 로그인합니다.

SAML 사용자 또는 그룹 구성 업데이트

SAML 사용자 또는 그룹의 경우 올바른 데이터 액세스 정책 권한이 있는 보안 주체로 로그인합니다. SAML 공급자 구성과 일치하도록 사용자 또는 그룹을 업데이트합니다. 사용자 또는 그룹과 SAML 공급자 간의 매핑은 대소문자를 구분하며 일치해야 합니다. 실제 주장 내용의 문제를 해결하려면 SAML-Tracer와 같은 도구를 사용할 수 있습니다. 자세한 내용은 SAML 필드 구성을 참조하십시오.

AWS Management Console에서 OpenSearch 대시보드 URL을 열지 마십시오. 대신 새 탭이나 창에 URL을 입력하십시오. AWS Management Console의 링크를 사용하는 경우 콘솔은 IAM 사용자 인증을 시도합니다.

관련 정보

Amazon VPC 엔드포인트로 OpenSearch Serverless 컬렉션을 설정하고 컬렉션 대시보드에 액세스하려면 어떻게 해야 합니까?

AWS 공식
AWS 공식업데이트됨 한 달 전
댓글 없음

관련 콘텐츠