Complete a 3 Question Survey and Earn a re:Post Badge

Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!

Como faço para usar um túnel SSH para acessar os painéis do OpenSearch com a autenticação do Amazon Cognito de fora de uma VPC?

6 minuto de leitura

Meu domínio do Amazon OpenSearch Service está em uma nuvem privada virtual (VPC). Quero usar um túnel SSH para acessar os painéis do OpenSearch com a autenticação do Amazon Cognito de fora da VPC.

Breve descrição

Por padrão, o Amazon Cognito restringe o acesso dos painéis do OpenSearch aos usuários do AWS Identity and Access Management (AWS IAM) na VPC. Para acessar um domínio do OpenSearch Service de outra VPC, crie uma interface de endpoint da VPC para o OpenSearch Service. Para acessar publicamente a URL de um painel, use um túnel SSH.

Importante: verifique se o acesso aos painéis do OpenSearch de fora da VPC está em conformidade com os requisitos de segurança da sua organização.

Para usar um túnel SSH para acessar os painéis do OpenSearch de fora da VPC, conclua as seguintes etapas:

Criar um grupo de usuários e um banco de identidades do Amazon Cognito.
Criar uma instância do Amazon Elastic Compute Cloud (Amazon EC2) em uma sub-rede pública.
Usar um complemento do navegador para configurar um proxy SOCKS.
Criar um túnel SSH da máquina local para a instância do EC2.
Observação: também é possível usar um proxy NGINX ou uma VPN cliente para acessar os painéis do OpenSearch de fora de uma VPC com a autenticação do Amazon Cognito.
(Opcional) Se você ativar o controle de acesso refinado, adicione um perfil autenticado do Amazon Cognito.

Resolução

Criar um grupo de usuários e um banco de identidades do Amazon Cognito

Conclua as etapas a seguir:

Crie um grupo de usuários do Amazon Cognito. Defina as seguintes configurações:
Em Tipo de aplicação, escolha Aplicativo web tradicional.
Em Nomear aplicação, insira um nome de aplicação personalizado ou mantenha o nome padrão.
Em Opções para identificadores de login, escolha Nome de usuário.
Em Atributos obrigatórios para inscrição, escolha E-mail.
Abra o console do Amazon Cognito.
No painel de navegação, escolha Grupos de usuários.
Selecione seu Grupo de usuários.
No painel de navegação, em Identidade visual, escolha Login gerenciado. Defina as seguintes configurações:
Em Domínios com identidade visual de login gerenciada, escolha Atualizar versão.
Em Versão da identidade visual, escolha UI hospedada (clássica).
Configure seus usuários e grupos.
Crie um banco de identidades do Amazon Cognito. Defina as seguintes configurações:
Em Acesso do usuário, escolha Acesso autenticado.
Em Fontes de identidade autenticadas, insira o grupo de usuários do Amazon Cognito.
Em Perfil do IAM, escolha Criar um novo perfil do IAM e, em seguida, insira um nome de perfil.
Em Detalhes do grupo de usuários, selecione seu grupo de usuários e, em seguida, ID do cliente do aplicativo.
Em configurações de perfil, escolha Usar perfil autenticado padrão.
Em Mapeamento de reivindicações, escolha Inativo.
Configure seu domínio do OpenSearch Service para usar a autenticação do Amazon Cognito. Defina as seguintes configurações:
Em Grupo de usuários do Cognito, selecione seu grupo de usuários.
Em Banco de identidades do Cognito, selecione seu banco de identidades.

Em Política de acesso ao domínio, insira a seguinte política de acesso:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::account-id:role/service-role/identitypool-role"
      },
      "Action": "es:*",
      "Resource": "arn:aws:es:region:account-id:domain/domain-name/*"
    }
  ]
}

Observação: substitua account-id pela sua conta da AWS e identitypool-role pelo nome do seu perfil do banco de identidades. Substitua domain-name pelo domínio do OpenSearch Service e region pela região da AWS do seu domínio.

Criar uma instância do EC2 e configurar as regras do grupo de segurança

Importante: a sub-rede da instância deve estar na mesma VPC do seu domínio do OpenSearch Service.

Conclua as etapas a seguir:

Execute uma instância na sub-rede pública da VPC em que seu domínio do OpenSearch Service está.
Na página Configurar detalhes da instância, verifique se a Atribuição automática de IP público está Ativada.
Adicione regras de entrada ao grupo de segurança associado à sua instância. Permita o tráfego para as portas 8157 e 22 a partir do endereço IP da sua máquina local.
Adicione uma regra de entrada ao grupo de segurança associado ao domínio do OpenSearch Service. Permita o tráfego do endereço IP privado da sua instância.

Configurar o proxy SOCKS

Observação: as instruções a seguir usam o FoxyProxy para configurar o proxy SOCKS. Para instalar a extensão, consulte FoxyProxy na loja virtual do Chrome.

Conclua as etapas a seguir:

Abra o FoxyProxy e escolha Opções.
Em Proxies, escolha Adicionar.
Defina as seguintes configurações:
Em Título, insira um nome de proxy.
Em Nome do host, insira localhost.
Em Porta, insira 8157.
Em Tipo, selecione SOCKS5.
Para adicionar um padrão, escolha o sinal de mais (+) e defina as seguintes configurações:
Mantenha o primeiro campo em branco.
Em Título, insira um nome para o padrão.
Em Padrão, insira o endpoint da VPC dos painéis do OpenSearch, por exemplo: https://vpc-mydomain-rg3abcdefghiflge.us-east-1.es.amazonaws.com/_dashboards.
Em Tipo, escolha Curingas.
Em Incluir, escolha Incluir.
Selecione Salvar.

Criar o túnel SSH

Conclua as etapas a seguir:

Use a máquina local que você usa para acessar os painéis do OpenSearch para executar o seguinte comando:
```
ssh -i "mykeypair.pem"  ec2-user@public_dns_name -ND 8157
```
Observação: substitua mykeypair.pem pelo nome do arquivo .pem para o par de chaves que você especificou ao executar sua instância. Substitua public_dns_name pelo DNS público da sua instância. Para mais informações, consulte Atributos de DNS na sua VPC.
Insira o endpoint dos painéis do OpenSearch em seu navegador para abrir a página de login do Amazon Cognito para os painéis do OpenSearch.

(Opcional) Se você ativar controles de acesso refinados, adicione um perfil de banco de identidades do Amazon Cognito

Se você ativar o controle de acesso refinado para seu cluster do OpenSearch Service, poderá receber um erro de missing role.

Para resolver o erro de missing role, conclua as seguintes etapas:

Abra o console do OpenSearch Service.
No painel de navegação, em Clusters gerenciados, escolha Domínios.
Selecione seu domínio e escolha Ações.
Escolha Editar configurações de segurança.
Escolha Definir ARN do IAM como seu usuário principal.
Em ARN do IAM, insira o ARN do perfil do banco de identidades do Amazon Cognito.
Selecione Salvar.

Para mais informações sobre controle de acesso refinado, consulte Tutorial: configurar um domínio com um usuário principal do IAM e a autenticação do Amazon Cognito.

Informações relacionadas

Configuração da autenticação do Amazon Cognito para painéis do OpenSearch

Lançamento dos domínios do Amazon OpenSearch Service em uma VPC

Tópicos

Análise

Conteúdo relevante

Não consigo me logar pela conta principal
Lince Web
feita há 3 meses
Erro ao conectar remotamente a Instância EC2 após problemas na licença do Acesso Remoto do Windows Server
PauloS
feita há um mês
Acesso de novos usuarios ao Amazon S3
Kleber FIleno
feita há um mês
Recuperar o número da porta lógica de um request
Resposta aceita
Paulo
feita há um mês
LoadBalancer para certificação SSL
Caio
feita há 2 meses
Como faço para usar um proxy NGINX para acessar os painéis do OpenSearch com a autenticação do Amazon Cognito de fora de uma VPC?
AWS OFICIALAtualizada há 2 meses
Como acessar o OpenSearch Dashboards de fora de uma VPC usando a autenticação do Amazon Cognito?
AWS OFICIALAtualizada há 2 anos
Como soluciono problemas de autenticação do Amazon Cognito com OpenSearch Dashboards?
AWS OFICIALAtualizada há 2 meses
Como posso usar um túnel SSH por meio do AWS Systems Manager para acessar meus recursos de VPC privados?
AWS OFICIALAtualizada há 3 anos