Amazon Elastic Search Cluster için uygun erişim politikası

Yakın zamanda yeni Amazon Elasticsearch Service'i kullanmaya başladım ve ihtiyaç duyduğum erişim politikasını çözemiyorum, böylece hizmetlere yalnızca belirli bir IAM rolü atanmış EC2 bulut sunucularımdan erişebiliyorum.

ES alanı için şu anda atadığım erişim politikasının bir örneği:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::[ACCOUNT_ID]:role/my_es_role",
        ]
      },
      "Action": "es:*",
      "Resource": "arn:aws:es:us-east-1:[ACCOUNT_ID]:domain/[ES_DOMAIN]/*"
    }
  ]
}

Ama dediğim gibi, bu işe yaramıyor. EC2 my_es_rolebulut sunucusunda (ona bağlı bir role sahip ) oturum açıyorum ve "https: //*.es.amazonaws.com" uç noktasında basit bir curl çağrısı çalıştırmaya çalışıyorum, aşağıdaki hatayı alıyorum:

{"Mesaj": "Kullanıcı: anonim gerçekleştirme yetkisine sahip değil: es: ESHttpGet kaynak: arn: aws: es: us-east-1: [ACCOUNT_ID]: etki alanı / [ES_DOMAIN] /“}

Bunun çalışması için erişim politikasında neyi değiştirmem gerektiğini bilen var mı?

Erişimi yalnızca IAM'ye kilitleyebilirsiniz, ancak Kibana'yı tarayıcınızda nasıl görüntüleyeceksiniz? Sonuçları görüntülemek için bir proxy kurabilir ( bkz. Temel ve / veya NPM modülü ) veya hem IAM hem de IP tabanlı erişimi etkinleştirebilirsiniz.

Aşağıdaki Erişim İlkesi ile hem IAM erişimi hem de IP kısıtlamalı erişim elde edebildim. Sıranın önemli olduğuna dikkat edin: IAM ifadesinden önce IP tabanlı ifadeyle çalışmasını sağlayamadım.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::xxxxxxxxxxxx:root"
      },
      "Action": "es:*",
      "Resource": "arn:aws:es:us-west-2:xxxxxxxxxxxx:domain/my-elasticsearch-domain/*"
    },
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "es:*",
      "Resource": "arn:aws:es:us-west-2:xxxxxxxxxxxx:domain/my-elasticsearch-domain/*",
      "Condition": {
        "IpAddress": {
          "aws:SourceIp": [
            "192.168.1.0",
            "192.168.1.1"
          ]
        }
      }
    }
  ]
}

EC2 bulut sunucumun arn:aws:iam::aws:policy/AmazonESFullAccess politikaya sahip bir bulut sunucusu profili var . Logstash, istekleri logstash-output-amazon-es çıktı eklentisini kullanarak imzalamalıdır . EC2 bulut sunucumda çalışan Logstash şunun gibi bir çıktı bölümü içeriyor:

output {
    amazon_es {
        hosts => ["ELASTICSEARCH_HOST"]
        region => "AWS_REGION"
    }
    # If you need to do some testing & debugging, uncomment this line:
    # stdout { codec => rubydebug }
}

Kibana'ya erişim politikasındaki iki IP'den (192.168.1.0 ve 192.168.1.1) erişebilirim.

AWS belgesine göre ve sizin (ve benim) az önce test ettiğimiz gibi, bir AWS ES etki alanına erişimi bir rol / hesap / kullanıcı / ile sınırlayamazsınız ve basitçe cURL edin!

Curl gibi standart istemciler, kimlik tabanlı erişim ilkeleri için gerekli olan istek imzalamayı gerçekleştiremez. Bu adımın talimatlarını başarılı bir şekilde gerçekleştirmek için anonim erişime izin veren IP adresi tabanlı bir erişim ilkesi kullanmalısınız. ( http://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/es-gsg-search.html )

Yani temelde iki çözümünüz var:

• erişim politikanızı değiştirin ve IP (ler) ile kısıtlayın, sanırım özel IP kullanamazsınız çünkü ES kümeniz VPC'nize ait görünmüyor (varsayılan veya değil). Lütfen genel IP'yi kullanın
• isteğinizi imzalayın: http://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/es-managedomains.html#es-managedomains-signing-service-requests

Erişim politikanızı olduğu gibi (bir IP ile kısıtlamaktan daha esnektir) korumak istiyorsanız, isteğinizi imzalamak muhtemelen en iyi çözümdür, ancak biraz daha karmaşık görünmektedir. Şimdiye kadar denemedim ve yardım edecek herhangi bir belge bulamıyorum.

Partiye biraz geç kaldım ama isteklerime imza ekleyerek aynı sorunu çözebildim.

Python kullanıyorsanız (benim yaptığım gibi), uygulamayı özellikle kolaylaştırmak için aşağıdaki kitaplığı kullanabilirsiniz: https://github.com/DavidMuller/aws-requests-auth

Benim için mükemmel çalıştı.

Elastik arama politikasında sadece tam kullanıcı ismine ihtiyacınız var.

Bu durumda, tam kullanıcı adınızı hata mesajının kendisinden alabilirsiniz. Benim durumumda: "arn: aws: sts :: [ACCOUNT_ID]: varsayılan-rol / [LAMBDA_POLICY_NAME] / [LAMBDA_NAME]"

    {
        "Version": "2012-10-17",
        "Statement": [
        {
          "Effect": "Allow",
          "Principal": {
            "AWS": [
              "arn:aws:sts::xxxxxxxxxxxx:assumed-role/[lambda-role]/[full-lambda-name]"
            ]
          },
          "Action": "es:*",
          "Resource": "arn:aws:es:[region]:xxxxxxxxxxxxx:domain/[elasticsearch-domain-name]/*"
        }
      ]

    }

IP adresini sabit kodlamaya benzeyen IP tabanlı politika yerine kaynak tabanlı politika veya kimlik tabanlı politika kullanabilirsiniz.

Ancak isteği imzalamak için İmza sürüm 4'ü kullanmanız gerekir

Java uygulaması için lütfen http://mytechbites.blogspot.in/2017/04/secure-amazon-elastic-search-service.html bakın

Rol ARN'nin değiştirilmesi gerekiyor. "arn: aws: iam :: [ACCOUNT_ID]: role / service-role / my_es_role" gibi görünecek

Ayrıca bunu yapmaya çalışıyorum ve Allow access to the domain from specific IP(s)EC2 bulut sunucumun Esnek IP seçeneğini kullanarak çalıştırdım (ayrıca örneğin özel IP'sini kullanarak da çalışabilir, ancak çok emin değilim)