As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Tutorial: Configuração de um domínio com o banco de dados interno do usuário e a autenticação básica HTTP
Este tutorial aborda outro caso de uso popular de controle de acesso refinado: um usuário primário no banco de dados interno de usuários e autenticação básica HTTP para o OpenSearch Dashboards. O usuário principal pode então entrar nos OpenSearch Dashboards, criar um usuário interno, mapear o usuário para uma função e usar um controle de acesso detalhado para limitar as permissões do usuário.
Você concluirá as seguintes etapas neste tutorial:
Etapa 1: Criar um domínio
Navegue até o console do Amazon OpenSearch Service em https://console.aws.amazon.com/aos/home/
-
OpenSearch 1.0 ou posterior ou Elasticsearch 7.9 ou posterior
-
Acesso público
-
Controle de acesso refinado com um usuário primário no banco de dados interno de usuários (
TheMasterUserpara o restante deste tutorial) -
Autenticação do Amazon Cognito para Dashboards desabilitada
-
A seguinte política de acesso:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{account-id}:root" }, "Action": [ "es:ESHttp*" ], "Resource": "arn:aws:es:{region}:{account-id}:domain/{domain-name}/*" } ] } -
HTTPS necessário para todo o tráfego para o domínio
-
Criptografia de nó a nó
-
Criptografia de dados em repouso
Etapa 2: criar um usuário interno no OpenSearch Dashboards
Agora que tem um domínio, é possível pode entrar no OpenSearch Dashboards. Depois, crie um usuário interno.
-
Volte para o console do OpenSearch Service e navegue até o URL do OpenSearch Dashboards para o domínio que você criou. O URL segue este formato:
domain-endpoint/_dashboards/ -
Faça login com o
TheMasterUser. -
Escolha Adicionar dados de amostras e adicione os dados de voo de amostra.
-
No painel de navegação à esquerda, escolha Segurança, Usuários internos, Criar usuário interno.
-
Nomeie o usuário
new-usere especifique uma senha. Em seguida, selecione Criar.
Etapa 3: Como mapear funções no OpenSearch Dashboards
Agora que seu usuário está configurado, você pode mapeá-lo para uma perfil.
-
Fique na seção Segurança do OpenSearch Dashboards e escolha Funções, Criar perfil.
-
Nomeie a função
new-role. -
Em Índice, especifique
opensearch_dashboards_sample_data_fli*(kibana_sample_data_fli*nos domínios do Elasticsearch) para o padrão de índice. -
Para o grupo de ações, escolha leitura.
-
Em Segurança em nível de documento, especifique a seguinte consulta:
{ "match": { "FlightDelay": true } } -
Para segurança em nível de campo, escolha Excluir e especifique
FlightNum. -
Em Anonimização, especifique
Dest. -
Escolha Criar.
-
Escolha Usuários mapeados e Gerenciar mapeamento. Em seguida, adicione
new-usera Usuários e escolha Mapa. -
Retorne à lista de funções e escolha opensearch_dashboards_user. Escolha Usuários mapeados e Gerenciar mapeamento. Em seguida, adicione
new-usera Usuários e escolha Mapa.
Etapa 4: Testar as permissões
Quando suas funções estiverem mapeadas corretamente, é possível fazer login como o usuário limitado e testá-las.
-
Em uma nova janela privada do navegador, navegue até o URL do OpenSearch Dashboards do domínio, faça login usando as credenciais de
new-usere escolha Explorar por conta própria. -
Escolha Ferramentas de desenvolvimento e execute a pesquisa padrão:
GET _search { "query": { "match_all": {} } }Observe o erro de permissões.
new-usernão tem permissões para executar pesquisas em todo o cluster. -
Execute outra pesquisa:
GET dashboards_sample_data_flights/_search { "query": { "match_all": {} } }Observe que todos os documentos correspondentes têm um campo
FlightDelaydetrue, um campo anônimoDeste nenhum campoFlightNum. -
Na janela original do navegador, conectado como
TheMasterUser, escolha Ferramentas de desenvolvimento e execute as mesmas pesquisas. Observe a diferença nas permissões, número de ocorrências, documentos correspondentes e campos incluídos.
