Tutorial: Konfigurieren einer Domain mit der internen Benutzerdatenbank und HTTP-Basisauthentifizierung - OpenSearch Amazon-Dienst
Schritt 1: Erstellen einer DomäneSchritt 2: Erstellen Sie einen internen Benutzer in OpenSearch DashboardsSchritt 3: Rollen in OpenSearch Dashboards zuordnenSchritt 4: Testen Sie die Berechtigungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Tutorial: Konfigurieren einer Domain mit der internen Benutzerdatenbank und HTTP-Basisauthentifizierung

In diesem Tutorial wird ein weiterer beliebter, detaillierter Anwendungsfall für die Zugriffskontrolle behandelt: ein Hauptbenutzer in der internen Benutzerdatenbank und die HTTP-Basisauthentifizierung für Dashboards. OpenSearch Der Hauptbenutzer kann sich dann bei OpenSearch Dashboards anmelden, einen internen Benutzer erstellen, den Benutzer einer Rolle zuordnen und mithilfe einer detaillierten Zugriffskontrolle die Benutzerberechtigungen einschränken.

In diesem Tutorial führen Sie die folgenden Schritte durch:

  1. Erstellen Sie eine Domain mit einem Masterbenutzer

  2. Konfigurieren Sie einen internen Benutzer in OpenSearch Dashboards

  3. Ordnen Sie Rollen in Dashboards zu OpenSearch

  4. Testen der Berechtigungen

Schritt 1: Erstellen einer Domäne

Rufen Sie die Amazon OpenSearch Service-Konsole unter https://console.aws.amazon.com/aos/home/ auf und erstellen Sie eine Domain mit den folgenden Einstellungen:

  • OpenSearch 1.0 oder höher oder Elasticsearch 7.9 oder höher

  • Öffentlicher Zugriff

  • Differenzierte Zugriffskontrolle mit einem Master-Benutzer in der internen Benutzerdatenbank (TheMasterUser für den Rest dieses Lernprogramms)

  • Amazon Cognito-Authentifizierung für Dashboards deaktiviert

  • Die folgende Zugriffsrichtlinie:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::{account-id}:root"
      },
      "Action": [
        "es:ESHttp*"
      ],
      "Resource": "arn:aws:es:{region}:{account-id}:domain/{domain-name}/*"
    }
  ]
}

  • HTTPS für den gesamten Datenverkehr zur Domain erforderlich

  • Node-to-node Verschlüsselung

  • Verschlüsselung gespeicherter Daten

Schritt 2: Erstellen Sie einen internen Benutzer in OpenSearch Dashboards

Da Sie nun eine Domain haben, können Sie sich bei OpenSearch Dashboards anmelden und einen internen Benutzer erstellen.

  1. Kehren Sie zur OpenSearch Servicekonsole zurück und navigieren Sie zur OpenSearch Dashboard-URL für die von Ihnen erstellte Domain. Die URL weist folgendes Format auf: domain-endpoint/_dashboards/.

  2. Melden Sie sich mit dem anTheMasterUser.

  3. Wählen Sie Add sample data (Beispieldaten hinzufügen) und fügen Sie die Beispielflugdaten hinzu.

  4. Wählen Sie im linken Navigationsbereich Sicherheit, Interne Benutzer, Internen Benutzer erstellen aus.

  5. Benennen Sie den Benutzer new-user und geben Sie ein Passwort an. Wählen Sie die Option Erstellen aus.

Schritt 3: Rollen in OpenSearch Dashboards zuordnen

Nachdem Ihr Benutzer konfiguriert ist, können Sie ihn einer Rolle zuordnen.

  1. Bleiben Sie im Bereich Sicherheit der OpenSearch Dashboards und wählen Sie Rollen, Rolle erstellen aus.

  2. Benennen Sie die Rolle new-role.

  3. Geben Sie für Index opensearch_dashboards_sample_data_fli* (kibana_sample_data_fli*bei Elasticsearch-Domains) das Indexmuster an.

  4. Wählen Sie für die Aktionsgruppe lesen aus.

  5. Geben Sie für Sicherheitsabfrage auf Dokumentebene die folgende Abfrage an:

    {
  "match": {
    "FlightDelay": true
  }
}

  6. Wählen Sie für die Sicherheit auf Feldebene Ausschließen und geben Sie FlightNum an.

  7. Fü rAnonymisierung, geben Sie Dest an.

  8. Wählen Sie Create (Erstellen) aus.

  9. Wählen Sie Zugeordnete Benutzer, Mapping verwalten. Fügen Sie dann new-user zu Benutzern hinzu und wählen Sie Zuordnen.

  10. Kehren Sie zur Liste der Rollen zurück und wählen Sie opensearch_dashboards_useraus. Wählen Sie Zugeordnete Benutzer, Mapping verwalten. Fügen Sie dann new-user zu Benutzern hinzu und wählen Sie Zuordnen.

Schritt 4: Testen Sie die Berechtigungen

Wenn Ihre Rollen korrekt zugeordnet sind, können Sie sich als Benutzer mit eingeschränkten Rechten anmelden und die Berechtigungen testen.

  1. Navigieren Sie in einem neuen, privaten Browserfenster zur OpenSearch Dashboard-URL für die Domain, melden Sie sich mit den new-user Anmeldeinformationen an und wählen Sie Auf eigene Faust erkunden aus.

  2. Wählen Sie Entwicklerwerkzeuge aus und führen Sie dann die Standardsuche aus:

    GET _search
{
  "query": {
    "match_all": {}
  }
}

    Beachten Sie den Berechtigungsfehler. new-user hat keine Berechtigungen zum Ausführen von clusterweiten Suchvorgängen.

  3. Führen Sie eine weitere Suche aus:

    GET dashboards_sample_data_flights/_search
{
  "query": {
    "match_all": {}
  }
}

    Beachten Sie, dass alle übereinstimmenden Dokumente ein FlightDelay-Feld von true, ein anonymisiertes Dest- Feld und kein FlightNum-Feld haben.

  4. Wählen Sie in Ihrem ursprünglichen Browserfenster, angemeldet als TheMasterUser, Dev Tools, und führen Sie dann die gleichen Suchvorgänge durch. Beachten Sie die Unterschiede zwischen Berechtigungen, Anzahl der Treffer, übereinstimmenden Dokumenten und eingeschlossenen Feldern.