Didacticiel : configurer un domaine avec la base de données utilisateur interne et l'authentification de base HTTP - Amazon OpenSearch Service
Étape 1 : Créer un domaineÉtape 2 : créer un utilisateur interne dans les OpenSearch tableaux de bordÉtape 3 : Cartographier les rôles dans les OpenSearch tableaux de bordÉtape 4 : tester les autorisations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Didacticiel : configurer un domaine avec la base de données utilisateur interne et l'authentification de base HTTP

Ce didacticiel couvre un autre cas d'utilisation courant du contrôle d'accès détaillé : un utilisateur principal dans la base de données utilisateur interne et l'authentification de base HTTP pour les OpenSearch tableaux de bord. L'utilisateur principal peut ensuite se connecter aux OpenSearch tableaux de bord, créer un utilisateur interne, associer l'utilisateur à un rôle et utiliser un contrôle d'accès précis pour limiter les autorisations de l'utilisateur.

Dans le cadre de ce didacticiel, vous suivrez les étapes suivantes :

  1. Création d'un domaine avec un utilisateur principal

  2. Configuration d'un utilisateur interne dans les OpenSearch tableaux de bord

  3. Cartographier les rôles dans les OpenSearch tableaux de bord

  4. Tester les autorisations

Étape 1 : Créer un domaine

Accédez à la console Amazon OpenSearch Service à l'https://console.aws.amazon.com/aos/adresse home/ et créez un domaine avec les paramètres suivants :

  • OpenSearch 1.0 ou version ultérieure, ou Elasticsearch 7.9 ou version ultérieure

  • Accès public

  • Contrôle précis des accès avec un utilisateur principal dans la base de données utilisateur interne (TheMasterUser pour le reste du didacticiel)

  • Authentification Amazon Cognito pour les tableaux de bord désactivés

  • La stratégie d'accès suivante :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::{account-id}:root"
      },
      "Action": [
        "es:ESHttp*"
      ],
      "Resource": "arn:aws:es:{region}:{account-id}:domain/{domain-name}/*"
    }
  ]
}

  • HTTPS requis pour tout le trafic vers le domaine

  • Node-to-node chiffrement

  • Chiffrement de données au repos

Étape 2 : créer un utilisateur interne dans les OpenSearch tableaux de bord

Maintenant que vous avez un domaine, vous pouvez vous connecter à OpenSearch Dashboards et créer un utilisateur interne.

  1. Retournez à la console OpenSearch de service et accédez à l'URL OpenSearch des tableaux de bord du domaine que vous avez créé. Le format de l'URL est le suivant : domain-endpoint/_dashboards/.

  2. Connectez-vous à l'aide duTheMasterUser.

  3. Choisissez Add sample data (Ajouter des exemples de données), puis ajoutez les exemples de données de vol.

  4. Dans le volet de navigation de gauche, choisissez Sécurité, Utilisateurs internes, Créer un utilisateur interne.

  5. Nommez l'utilisateur new-user et spécifiez un mot de passe. Ensuite, choisissez Create (Créer).

Étape 3 : Cartographier les rôles dans les OpenSearch tableaux de bord

Maintenant que votre utilisateur est configuré, vous pouvez le mapper à un rôle.

  1. Restez dans la section Sécurité des OpenSearch tableaux de bord et choisissez Rôles, Créer un rôle.

  2. Nommez le rôle new-role.

  3. Pour Index, spécifiez opensearch_dashboards_sample_data_fli* (kibana_sample_data_fli*sur les domaines Elasticsearch) le modèle d'index.

  4. Pour le groupe d'actions, choisissez read (lire).

  5. Pour Requête de sécurité au niveau du document, indiquez la requête suivante :

    {
  "match": {
    "FlightDelay": true
  }
}

  6. Pour la sécurité au niveau des champs, choisissez Exclude (Exclure) et indiquez FlightNum.

  7. Pour Anonymisation, indiquez Dest.

  8. Choisissez Create (Créer).

  9. Choisissez Mapped users (Utilisateurs mappés), Manage mapping (Gérer le mappage). Ensuite, ajoutez new-user à Users (Utilisateurs) et choisissez Map (Mapper).

  10. Revenez à la liste des rôles et choisissez opensearch_dashboards_user. Choisissez Mapped users (Utilisateurs mappés), Manage mapping (Gérer le mappage). Ensuite, ajoutez new-user à Users (Utilisateurs) et choisissez Map (Mapper).

Étape 4 : tester les autorisations

Lorsque vos rôles sont correctement mappés, vous pouvez vous connecter en tant qu'utilisateur limité et tester les autorisations.

  1. Dans une nouvelle fenêtre de navigateur privée, accédez à l'URL OpenSearch des tableaux de bord du domaine, connectez-vous à l'aide des new-user informations d'identification et choisissez Explorer par moi-même.

  2. Accédez aux Outils de développement, puis exécutez la recherche par défaut :

    GET _search
{
  "query": {
    "match_all": {}
  }
}

    Notez l'erreur d'autorisation. new-user n'a pas les autorisations nécessaires pour exécuter des recherches à l'échelle du cluster.

  3. Exécutez une autre recherche :

    GET dashboards_sample_data_flights/_search
{
  "query": {
    "match_all": {}
  }
}

    Notez que tous les documents correspondants ont un champ FlightDelay ayant pour valeur true, un champ anonymisé Dest et aucun champ FlightNum.

  4. Dans la fenêtre de votre navigateur d'origine, connecté en tant que TheMasterUser, choisissez Dev Tools (Outils de développement) et effectuez les mêmes recherches. Notez la différence entre les autorisations, le nombre d'accès, les documents correspondants et les champs inclus.