Tutorial: Database utente interno e autenticazione di base HTTP - Amazon OpenSearch Service

Tutorial: Database utente interno e autenticazione di base HTTP

Questo tutorial copre un altro caso d'uso del controllo dettagliato dell’accesso frequente: un utente principale nel database utente interno e l'autenticazione di base HTTP per le OpenSearch Dashboards.

Nozioni di base sul controllo granulare degli accessi

  1. Creare un dominio con le seguenti impostazioni:

    • OpenSearch 1.0 o versioni successive o Elasticsearch 7.9 o versioni successive

    • Accesso pubblico

    • Controllo granulare degli accessi con un utente principale nel database utente interno (TheMasterUser per il resto di questo tutorial)

    • Autenticazione Amazon Cognito per Dashboards disabilitata

    • La seguente policy di accesso:

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "*" ] }, "Action": [ "es:ESHttp*" ], "Resource": "arn:aws:es:region:account:domain/domain-name/*" } ] }
    • HTTPS richiesto per tutto il traffico verso il dominio

    • Crittografia da nodo a nodo

    • Crittografia dei dati a riposo

  2. Passare a OpenSearch Dashboards.

  3. Accedi utilizzando TheMasterUser.

  4. Scegli Prova i nostri dati di esempio.

  5. Aggiungere i dati di volo campione.

  6. Scegliere Sicurezza, Utenti interni, Crea utente interno.

  7. Denominare l'utente new-user e specificare una password. Quindi, scegli Create (Crea).

  8. Scegliere Roles (Ruoli), Create role (Crea ruolo).

  9. Denominare il ruolo new-role.

  10. Per le autorizzazioni indice, specificare dashboards_sample_data_fli* per il modello di indice.

  11. Per il gruppo di operazioni, scegliere read.

  12. Per Sicurezza a livello di documento, specificare la seguente query:

    { "match": { "FlightDelay": true } }
  13. Per la sicurezza a livello di campo, scegliere Escludi e specificare FlightNum.

  14. Per Anonimizzazione, specificare Dest.

  15. Scegliere Create (Crea) .

  16. Scegliere Utenti mappati, Gestisci mappatura. Quindi aggiungere new-user a Utenti e scegliere Mappa.

  17. Torna all'elenco di ruoli e scegli opensearch_dashboards_user. Scegliere Utenti mappati, Gestisci mappatura. Quindi aggiungere new-user a Utenti e scegliere Mappa.

  18. In una nuova finestra del browser privato, passare a Dashboards, accedere utilizzando new-user, quindi scegliere Esplora da solo.

  19. Scegliere Strumenti di sviluppo ed eseguire la ricerca predefinita:

    GET _search { "query": { "match_all": {} } }

    Notare l'errore di autorizzazioni. new-user non dispone delle autorizzazioni per eseguire ricerche a livello di cluster.

  20. Esegui un'altra ricerca:

    GET dashboards_sample_data_flights/_search { "query": { "match_all": {} } }

    Si noti che tutti i documenti corrispondenti hanno un campo FlightDelay di true, un campo Dest anonimizzato e nessun campo FlightNum.

  21. Nella finestra del browser originale, accedere come TheMasterUser, scegliere Strumenti di sviluppo ed eseguire le stesse ricerche. Nota la differenza tra autorizzazioni, numero di hit, documenti corrispondenti e campi inclusi.