如何使用 Amazon Cognito 身分驗證從 VPC 外部存取 OpenSearch Dashboards?
我的 Amazon OpenSearch Service 叢集位於虛擬私有雲端 (VPC) 中。我想要從此 VPC 外部存取 OpenSearch 儀表板端點。
解決方案
使用下列其中一個方法從 VPC 外部藉助 Amazon Cognito 身分驗證存取 OpenSearch Dashboards:
使用 SSH 通道
如需詳細資訊,請參閱如何使用 SSH 通道從 VPC 外部藉助 Amazon Cognito 身分驗證存取 OpenSearch Dashboards?
- 優點:透過 SSH 通訊協定提供安全連線。所有連線都使用 SSH 連接埠。
- 缺點:需要用戶端配置和代理服務器。
使用 NGINX 代理
如需詳細資訊,請參閱如何使用 NGINX 代理從 VPC 外部藉助 Amazon Cognito 身分驗證存取 OpenSearch Dashboards?
- 優點:安裝更容易,因為只需要伺服器端設定。使用標準 HTTP (連接埠 80) 和 HTTPS (連接埠 443)。
- 缺點:需要代理伺服器。連線的安全層級取決於代理伺服器的設定方式。
(選用) 如果開啟了精細存取控制 (FGAC),請新增 Amazon Cognito 身分驗證角色
如果您在 OpenSearch Service 叢集上開啟了精細存取控制 (FGAC),您可能會遇到沒有角色的錯誤。若要解決沒有角色的錯誤,請執行下列步驟:
1. 登入 Amazon OpenSearch Service 主控台。
2. 從導覽窗格的 Managed clusters (受管理的叢集) 下,選擇 Domains (網域)。
3. 選擇 Actions (動作),然後選擇 Edit security configuration (編輯安全性組態)。
4. 選擇設定 IAM ARN 做為您的主要使用者。
6. 在 IAM ARN 欄位中,新增通過 Amazon Cognito 身分驗證的 ARN 角色。
7. 選擇提交。
如需有關精細存取控制的詳細資訊,請參閱教學:IAM 主要使用者和 Amazon Cognito。
使用 VPN
如需詳細資訊,請參閱什麼是 AWS Site-to-Site VPN?
- 優點:保護內部部署設備與 VPC 之間的連線。針對 TLS VPN 使用標準 TCP 和 UDP。
- 缺點:需要 VPN 設定和用戶端組態。
注意:若要允許或限制資源的存取,您必須修改 VPC 網路組態和與 OpenSearch Service 網域相關聯的安全群組。如需詳細資訊,請參閱測試 VPC 網域。
相關資訊
如何使用 OpenSearch Dashboards 對 Amazon Cognito 身分驗證問題進行疑難排解?
設定適用於 OpenSearch Dashboards 的 Amazon Cognito 身分驗證
我在嘗試存取 OpenSearch Service 叢集時收到 "User: anonymous is not authorized (使用者:匿名未經授權)" 的錯誤訊息
相關內容
- 已提問 10 個月前
- 已提問 3 個月前
