Tutorial: Konfigurasikan domain dengan database pengguna internal dan otentikasi dasar HTTP

Tutorial ini mencakup kasus penggunaan kontrol akses berbutir halus lainnya yang populer: pengguna utama dalam database pengguna internal dan otentikasi dasar HTTP untuk Dasbor. OpenSearch Pengguna master kemudian dapat masuk ke OpenSearch Dasbor, membuat pengguna internal, memetakan pengguna ke peran, dan menggunakan kontrol akses berbutir halus untuk membatasi izin pengguna.

Anda akan menyelesaikan langkah-langkah berikut dalam tutorial ini:

1. Buat domain dengan pengguna master

2. Konfigurasikan pengguna internal di OpenSearch Dasbor

3. Peran peta di OpenSearch Dasbor

4. Uji izin

Langkah 1: Buat domain

Arahkan ke konsol OpenSearch Layanan Amazon di https://console.aws.amazon.com/aos/home/ dan buat domain dengan pengaturan berikut:

• OpenSearch 1.0 atau yang lebih baru, atau Elasticsearch 7.9 atau yang lebih baru

• Akses publik

• Kontrol akses detail dengan pengguna utama dalam basis data pengguna internal (TheMasterUser untuk sisa tutorial ini)

• Otentikasi Amazon Cognito untuk Dasbor dinonaktifkan

• Kebijakan akses berikut:

  {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "AWS": "arn:aws:iam::{account-id}:root"
        },
        "Action": [
          "es:ESHttp*"
        ],
        "Resource": "arn:aws:es:{region}:{account-id}:domain/{domain-name}/*"
      }
    ]
  }

• HTTPS diperlukan untuk semua lalu lintas ke domain

• ode-to-node Enkripsi N

• Enkripsi data saat tidak digunakan

Langkah 2: Buat pengguna internal di OpenSearch Dasbor

Sekarang setelah Anda memiliki domain, Anda dapat masuk ke OpenSearch Dasbor dan membuat pengguna internal.

1. Kembali ke konsol OpenSearch Layanan dan arahkan ke URL OpenSearch Dasbor untuk domain yang Anda buat. URL mengikuti format ini:domain-endpoint/_dashboards/.

2. Masuk denganTheMasterUser.

3. Pilih Tambahkan data sampel dan tambahkan contoh data penerbangan.

4. Di panel navigasi kiri, pilih Keamanan, Pengguna internal, Buat pengguna internal.

5. Beri nama pengguna new-user dan tentukan kata sandi. Lalu pilih Buat.

Langkah 3: Memetakan peran di OpenSearch Dasbor

Sekarang setelah pengguna Anda dikonfigurasi, Anda dapat memetakan pengguna Anda ke peran.

1. Tetap di bagian Keamanan OpenSearch Dasbor dan pilih Peran, Buat peran.

2. Beri nama peran new-role.

3. Untuk Indeks, tentukan opensearch_dashboards_sample_data_fli* (kibana_sample_data_fli*pada domain Elasticsearch) untuk pola indeks.

4. Untuk grup tindakan, pilih baca.

5. Untuk keamanan tingkat Dokumen, tentukan kueri berikut:

   {
     "match": {
       "FlightDelay": true
     }
   }

6. Untuk keamanan tingkat lapangan, pilih Kecualikan dan tentukan. FlightNum

7. Untuk Anonimisasi, tentukan. Dest

8. Pilih Buat.

9. Pilih Pengguna yang dipetakan, Kelola pemetaan. Kemudian tambahkan new-user ke Pengguna dan pilihPeta.

10. Kembali ke daftar peran dan pilih opensearch_dashboards_user. Pilih Pengguna yang dipetakan, Kelola pemetaan. Kemudian tambahkan new-user ke Pengguna dan pilihPeta.

Langkah 4: Uji izin

Jika peran Anda dipetakan dengan benar, Anda dapat masuk sebagai pengguna terbatas dan menguji izin.

1. Di jendela browser pribadi yang baru, navigasikan ke URL OpenSearch Dasbor untuk domain, masuk menggunakan new-user kredensialnya, dan pilih Jelajahi sendiri.

2. Buka Dev Tools dan jalankan pencarian default:

   GET _search
   {
     "query": {
       "match_all": {}
     }
   }

   Perhatikan kesalahan izin. new-user tidak memiliki izin untuk menjalankan pencarian luas klaster.

3. Jalankan pencarian lain:

   GET dashboards_sample_data_flights/_search
   {
     "query": {
       "match_all": {}
     }
   }

   Perhatikan bahwa semua dokumen yang cocok memiliki FlightDelay bidang true, bidang Dest yang anonim, dan tidak ada bidang FlightNum.

4. Di jendela browser asli Anda, masuk sebagai TheMasterUser, pilih Alat Dev dan lakukan pencarian yang sama. Perhatikan perbedaan izin, jumlah klik, dokumen yang cocok, dan bidang yang disertakan.