As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurando a autenticação do Amazon Cognito para painéis OpenSearch
Você pode autenticar e proteger sua instalação padrão de OpenSearch painéis do Amazon OpenSearch Service usando o Amazon Cognito. A autenticação do Amazon Cognito é opcional e está disponível somente para domínios que usam o Elasticsearch OpenSearch 5.1 ou posterior. Se você não configurar a autenticação do Amazon Cognito, ainda poderá proteger o Dashboards usando uma política de acesso baseada em IP e um servidor de proxy, autenticação básica HTTP ou SAML.
Grande parte do processo de autenticação ocorre no Amazon Cognito, mas esta seção oferece diretrizes e requisitos para configurar os recursos do Amazon Cognito para trabalhar com domínios de serviço. OpenSearch Preços padrão
dica
Na primeira vez que você configura um domínio para usar a autenticação do Amazon Cognito para OpenSearch painéis, recomendamos usar o console. Os recursos do Amazon Cognito são extremamente personalizáveis, e o console pode ajudar você a identificar e compreender os recursos que são importantes para você.
Tópicos
Pré-requisitos
Antes de configurar a autenticação do Amazon Cognito para OpenSearch painéis, você deve cumprir vários pré-requisitos. O console OpenSearch de serviço ajuda a simplificar a criação desses recursos, mas entender a finalidade de cada recurso ajuda na configuração e na solução de problemas. A autenticação do Amazon Cognito para Dashboards requer os seguintes recursos:
-
Conjunto de usuários do Amazon Cognito
-
Grupo de identidades do Amazon Cognito
-
Função do IAM com a política
AmazonOpenSearchServiceCognitoAccessanexada (CognitoAccessForAmazonOpenSearch)
nota
Os grupos de usuários e identidades devem estar na mesma Região da AWS. Você pode usar o mesmo grupo de usuários, grupo de identidades e função do IAM para adicionar a autenticação do Amazon Cognito para painéis a vários OpenSearch domínios de serviço. Para saber mais, consulte Cotas.
Sobre o grupo de usuários
Os grupos de usuários têm dois recursos principais: criar e gerenciar um diretório de usuários e permitir que os usuários se cadastrem e façam login. Para obter instruções sobre como criar um grupo de usuários, consulte Criar um grupo de usuários no Guia do desenvolvedor do Amazon Cognito.
Ao criar um grupo de usuários para usar com o OpenSearch Serviço, considere o seguinte:
-
O grupo de usuários do Amazon Cognito deve ter um nome de domínio. OpenSearch O serviço usa esse nome de domínio para redirecionar os usuários para uma página de login para acessar os painéis. Além de um nome de domínio, o grupo de usuários não exige qualquer configuração não padrão.
-
Você deve especificar os atributos padrão necessários do grupo, como nome, data de nascimento, endereço de e-mail e número de telefone. Você não pode alterar esses atributos depois de criar o grupo de usuários. Portanto, escolha os atributos importantes para você neste momento.
-
Ao criar seu grupo de usuários, escolha se os usuários podem criar suas próprias contas, a segurança mínima da senha para contas e se deseja habilitar a autenticação multifator. Se você planeja usar um provedor de identidade externo, essas configurações são não têm qualquer consequência. Tecnicamente, você pode habilitar o grupo de usuários como um provedor de identidade e habilitar um provedor de identidade externo, mas a maioria das pessoas prefere um ou o outro.
O pool de usuários IDs assume a forma deregion_ID
Sobre o grupo de identidades
Os grupos de identidades permitem que você atribua funções temporárias e de privilégio limitado a usuários depois que eles fazem login. Para obter instruções sobre como criar um grupo de identidades, consulte Grupos de identidades no Guia do desenvolvedor do Amazon Cognito. Ao criar um grupo de identidades para usar com o OpenSearch Service, considere o seguinte:
-
Se você usar o console do Amazon Cognito, deverá marcar a caixa de seleção EPermitir acesso a identidades não autenticadas para criar o grupo de identidades. Depois de criar o grupo de identidades e configurar o domínio do OpenSearch Serviço, o Amazon Cognito desativa essa configuração.
-
Você não precisa adicionar provedores de identidade externos ao grupo de identidades. Quando você configura o OpenSearch Serviço para usar a autenticação do Amazon Cognito, ele configura o grupo de identidades para usar o grupo de usuários que você acabou de criar.
-
Depois de criar o grupo de identidades, você deve escolher as funções do IAM autenticadas e não autenticadas. Essas funções especificam as políticas de acesso que os usuários têm antes e depois de fazer login. Se você usar o console do Amazon Cognito ele poderá criar essas funções para você. Depois de criar a função autenticada, anote o nome do recurso da Amazon (ARN), que tem o formato de
arn:aws:iam::.123456789012:role/Cognito_identitypoolnameAuth_Role
O pool de identidade IDs assume a forma deregion:ID-ID-ID-ID-ID
Sobre a função do CognitoAccessForAmazonOpenSearch
OpenSearch O serviço precisa de permissões para configurar os grupos de usuários e identidades do Amazon Cognito e usá-los para autenticação. Você pode usarAmazonOpenSearchServiceCognitoAccess, que é uma política AWS gerenciada, para essa finalidade. AmazonESCognitoAccessé uma política antiga que foi substituída por AmazonOpenSearchServiceCognitoAccess quando o serviço foi renomeado para Amazon OpenSearch Service. Ambas as políticas fornecem as permissões mínimas do Amazon Cognito necessárias para ativar a autenticação Cognito. Para ver a política JSON, consulte o console do IAM
Se você usa o console para criar ou configurar seu domínio de OpenSearch serviço, ele cria uma função do IAM para você e anexa a AmazonOpenSearchServiceCognitoAccess política (ou a AmazonESCognitoAccess política, se for um domínio do Elasticsearch) à função. O nome padrão desta função é CognitoAccessForAmazonOpenSearch.
As políticas de permissões de função AmazonOpenSearchServiceCognitoAccess e AmazonESCognitoAccess ambas permitem que o OpenSearch Serviço conclua as seguintes ações em todos os grupos de identidades e usuários:
-
Ação:
cognito-idp:DescribeUserPool -
Ação:
cognito-idp:CreateUserPoolClient -
Ação:
cognito-idp:DeleteUserPoolClient -
Ação:
cognito-idp:UpdateUserPoolClient -
Ação:
cognito-idp:DescribeUserPoolClient -
Ação:
cognito-idp:AdminInitiateAuth -
Ação:
cognito-idp:AdminUserGlobalSignOut -
Ação:
cognito-idp:ListUserPoolClients -
Ação:
cognito-identity:DescribeIdentityPool -
Ação:
cognito-identity:SetIdentityPoolRoles -
Ação:
cognito-identity:GetIdentityPoolRoles
Se você usar o AWS CLI ou um dos AWS SDKs, deverá criar sua própria função, anexar a política e especificar o ARN para essa função ao configurar seu domínio de OpenSearch serviço. A função deve ter a seguinte relação de confiança:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "opensearchservice.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Para obter instruções, consulte Como criar uma função para delegar permissões a um AWS serviço e anexar e desanexar políticas do IAM no Guia do usuário do IAM.
Configuração de um domínio para uso da autenticação do Amazon Cognito
Depois de concluir os pré-requisitos, você pode configurar um domínio de OpenSearch serviço para usar o Amazon Cognito for Dashboards.
nota
O Amazon Cognito não está disponível em todos. Regiões da AWS Para obter uma lista de regiões e endpoints compatíveis, consulte Regiões da AWS e endpoints. Você não precisa usar a mesma região para o Amazon Cognito que você usa para OpenSearch o Service.
Configuração da autenticação do Amazon Cognito (console)
Como ele cria a CognitoAccessForAmazonOpenSearchfunção para você, o console oferece a experiência de configuração mais simples. Além das permissões padrão do OpenSearch Serviço, você precisa do seguinte conjunto de permissões para usar o console e criar um domínio que usa a autenticação do Amazon Cognito para OpenSearch painéis.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeVpcs", "cognito-identity:ListIdentityPools", "cognito-idp:ListUserPools", "iam:CreateRole", "iam:AttachRolePolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:PassRole" ], "Resource": "arn:aws:iam::123456789012:role/service-role/CognitoAccessForAmazonOpenSearch" } ] }
Para obter instruções sobre como adicionar permissões a uma identidade (usuário, grupo de usuários ou função), consulte Adicionar permissões de identidade do IAM (console).
Se CognitoAccessForAmazonOpenSearch já existir, você precisará de um número menor de permissões:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeVpcs", "cognito-identity:ListIdentityPools", "cognito-idp:ListUserPools" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:PassRole" ], "Resource": "arn:aws:iam::123456789012:role/service-role/CognitoAccessForAmazonOpenSearch" } ] }
Para configurar a autenticação do Amazon Cognito para Dashboards (console)
-
Abra o console do Amazon OpenSearch Service em https://console.aws.amazon.com/aos/casa/
. -
Em Domínios, selecione o domínio que deseja configurar.
-
Escolha Ações, Editar configuração de segurança.
-
Selecione Habilitar autenticação do Amazon Cognito.
-
Em Região, selecione Região da AWS aquela que contém seu grupo de usuários e grupo de identidades do Amazon Cognito.
-
Em Grupo de usuários do Cognito, selecione um grupo de usuários ou crie um. Para obter orientações, consulte Sobre o grupo de usuários.
-
Em Grupo de identidades do Cognito, selecione um grupo de identidades ou crie um. Para obter orientações, consulte Sobre o grupo de identidades.
nota
Os links Criar grupo de usuários e Criar grupo de identidades direcionam você para o console do Amazon Cognito e exigem que você crie esses recursos manualmente. O processo não é automático. Para saber mais, consulte Pré-requisitos.
-
Em Nome da função do IAM, use o valor padrão de
CognitoAccessForAmazonOpenSearch(recomendado) ou insira um novo nome. Para saber mais sobre o propósito desta função, consulte Sobre a função do CognitoAccessForAmazonOpenSearch. -
Escolha Salvar alterações.
Depois que o seu domínio concluir o processamento, consulte Como permitir a função autenticada e Configuração de provedores de identidade para ver as etapas de configuração adicionais.
Configuração da autenticação do Amazon Cognito (AWS CLI)
Use o --cognito-options parâmetro para configurar seu domínio OpenSearch de serviço. A sintaxe a seguir é usada pelos comandos create-domain e update-domain-config:
--cognito-options Enabled=true,UserPoolId="user-pool-id",IdentityPoolId="identity-pool-id",RoleArn="arn:aws:iam::123456789012:role/CognitoAccessForAmazonOpenSearch"
Exemplo
O exemplo a seguir cria um domínio na região us-east-1 que habilita a autenticação do Amazon Cognito para o Dashboards usando a função CognitoAccessForAmazonOpenSearch e fornece acesso ao domínio para Cognito_Auth_Role:
aws opensearch create-domain --domain-namemy-domain--regionus-east-1--access-policies '{ "Version":"2012-10-17", "Statement":[{"Effect":"Allow","Principal":{"AWS": ["arn:aws:iam::123456789012:role/Cognito_Auth_Role"]},"Action":"es:ESHttp*","Resource":"arn:aws:es:us-east-1:123456789012:domain/*" }]}' --engine-version "OpenSearch_1.0" --cluster-config InstanceType=m4.xlarge.search,InstanceCount=1 --ebs-options EBSEnabled=true,VolumeSize=10 --cognito-options Enabled=true,UserPoolId="us-east-1_123456789",IdentityPoolId="us-east-1:12345678-1234-1234-1234-123456789012",RoleArn="arn:aws:iam::123456789012:role/CognitoAccessForAmazonOpenSearch"
Depois que o seu domínio concluir o processamento, consulte Como permitir a função autenticada e Configuração de provedores de identidade para ver as etapas de configuração adicionais.
Configurando a autenticação do Amazon Cognito ()AWS SDKs
O AWS SDKs (exceto o Android e o iOS SDKs) suporta todas as operações definidas na Amazon OpenSearch Service API Reference, incluindo o CognitoOptions parâmetro para as UpdateDomainConfig operações CreateDomain e. Para obter mais informações sobre como instalar e usar o AWS SDKs, consulte Kits AWS de desenvolvimento de software
Depois que o seu domínio concluir o processamento, consulte Como permitir a função autenticada e Configuração de provedores de identidade para ver as etapas de configuração adicionais.
Como permitir a função autenticada
Por padrão, a função autenticada do IAM que você configurou seguindo as diretrizes em Sobre o grupo de identidades não tem os privilégios necessários para acessar OpenSearch os painéis. Você deve fornecer permissões adicionais à função.
nota
Se tiver configurado o controle de acesso detalhado e usar uma política de acesso “aberta” ou baseada em IP, poderá ignorar esta etapa.
Você pode incluir essas permissões em uma política baseada em identidade, mas, a menos que você queira que os usuários autenticados tenham acesso a todos os domínios do OpenSearch Serviço, uma política baseada em recursos anexada a um único domínio é a melhor abordagem.
Para o Principal, especifique o ARN da função autenticada do Cognito que você configurou com as diretrizes em Sobre o grupo de identidades.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "AWS":[ "arn:aws:iam::123456789012:role/Cognito_identitypoolnameAuth_Role" ] }, "Action":[ "es:ESHttp*" ], "Resource":"arn:aws:es:region:123456789012:domain/domain-name/*" } ] }
Para obter instruções sobre como adicionar uma política baseada em recursos a um domínio OpenSearch de serviço, consulte. Configuração de políticas de acesso
Configuração de provedores de identidade
Quando você configura um domínio para usar a autenticação do Amazon Cognito para painéis, o OpenSearch Service adiciona um cliente de aplicativo ao grupo de usuários e adiciona o grupo de usuários ao grupo de identidades como um provedor de autenticação.
Atenção
Não renomeie nem exclua o cliente do aplicativo.
Dependendo de como você configurou o grupo de usuários, talvez precise criar contas de usuário manualmente ou os usuários podem ser capazes de criar suas próprias contas. Se essas configurações forem aceitáveis, você não precisará realizar ações adicionais. No entanto, muitas pessoas preferem usar provedores de identidade externos.
Para habilitar um provedor de identidade SAML 2.0, você deve fornecer um documento de metadados do SAML. Para habilitar provedores de identidades sociais, como o Login with Amazon, o Facebook e o Google, você deve ter um ID e um segredo do aplicativo a partir desses provedores. Você pode habilitar qualquer combinação de provedores de identidade.
A maneira mais fácil de configurar seu grupo de usuários é usar o console do Amazon Cognito. Para obter instruções, consulte Uso da federação a partir de um grupo de usuários e Especificação das configurações do provedor de identidade para sua aplicação de grupo de usuários no Guia do desenvolvedor do Amazon Cognito.
(Opcional) Configuração de acesso granular
Você deve ter notado que as configurações padrão do grupo de identidades atribuem a cada usuário que faz login na mesma função do IAM (Cognito_), o que significa que todos os usuários podem acessar os mesmos AWS recursos. Para usar o controle de acesso refinado com o Amazon Cognito, por exemplo, se desejar que os analistas da sua organização tenham acesso somente leitura a vários índices, mas que os desenvolvedores tenham acesso de gravação a todos os índices, você terá duas opções:identitypoolAuth_Role
-
Criar grupos de usuários e configurar seu provedor de identidade para escolher a função do IAM com base no token de autenticação do usuário (recomendado).
-
Configurar o provedor de identidade para escolher a função do IAM com base em uma ou mais regras.
Para obter um passo a passo que inclui controle de acesso refinado, consulte Tutorial: Configuração de um domínio com um usuário primário do IAM e autenticação do Amazon Cognito.
Importante
Assim como a função padrão, o Amazon Cognito deve fazer parte da relação de confiança de cada função adicional. Para obter mais detalhes, consulte Criação de funções para mapeamento de função no Guia do desenvolvedor do Amazon Cognito.
Grupos de usuários e tokens
Quando você cria um grupo de usuários, escolhe uma função do IAM para os membros do grupo. Para obter informações sobre a criação de grupos, consulte Grupos de usuários no Guia do desenvolvedor do Amazon Cognito.
Depois de criar um ou mais grupos de usuários, você pode configurar o provedor de autenticação para atribuir aos usuários suas funções de grupo em vez da função padrão do grupo de identidades. Selecione Escolher função do token e, em seguida, escolha Usar função autenticada padrão ou NEGAR para especificar como o pool de identidades lidará com os usuários que não fazem parte do grupo.
Regras
As regras são essencialmente uma série de instruções if que o Amazon Cognito avalia em sequência. Por exemplo, se um endereço de e-mail do usuário contiver @corporate, o Amazon Cognito atribuirá Role_A a esse usuário. Se um endereço de e-mail do usuário contém @subsidiary, esse usuário é atribuído a Role_B. Caso contrário, ele atribui ao usuário a função autenticada padrão.
Para saber mais, consulte Uso do mapeamento com base em regras para atribuir funções a usuários no Guia do desenvolvedor do Amazon Cognito.
(Opcional) Personalização da página de login
Você pode usar o console do Amazon Cognito para carregar de um logo personalizado e fazer alterações de CSS na página de login. Para obter instruções e uma lista completa das propriedades do CSS, consulte Especificação das configurações de personalização de interface do usuário da aplicação para seu grupo de usuários no Guia do desenvolvedor do Amazon Cognito.
(Opcional) Configuração da segurança avançada
Os grupos de usuários do Amazon Cognito oferecem suporte a recursos de segurança avançada, como a autenticação multifator, a verificação de credenciais comprometidas e a autenticação adaptável. Para saber mais, consulte Gerenciamento da segurança no Guia do desenvolvedor do Amazon Cognito.
Teste
Depois que você estiver satisfeito com sua configuração, verifique se a experiência do usuário atende às suas expectativas.
Para acessar os OpenSearch painéis
-
Vá para
https://em um navegador da Web. Para fazer login diretamente em um inquilino específico, anexeopensearch-domain/_dashboards?security_tenant=ao URL.tenant-name -
Faça login usando suas credenciais preferenciais.
-
Depois que os OpenSearch painéis forem carregados, configure pelo menos um padrão de índice. O Dashboards usa esses padrões para identificar quais índices você deseja analisar. Digite
*, escolha Próxima etapa e, em seguida, Criar padrão de índice. -
Para pesquisar ou explorar seus dados, escolha Descobrir.
Se qualquer etapa desse processo falhar, consulte Problemas de configuração comuns para obter informações sobre soluções de problemas.
Cotas
O Amazon Cognito tem limites flexíveis em muitos dos seus recursos. Se você quiser habilitar a autenticação de painéis para um grande número de domínios de OpenSearch serviço, revise as cotas no Amazon Cognito e solicite aumentos de limite conforme necessário.
Cada domínio OpenSearch de serviço adiciona um cliente de aplicativo ao grupo de usuários, o que adiciona um provedor de autenticação ao grupo de identidades. Se você habilitar a autenticação de OpenSearch painéis para mais de 10 domínios, poderá encontrar o limite “máximo de provedores de grupos de usuários do Amazon Cognito por grupo de identidades”. Se você exceder um limite, qualquer domínio de OpenSearch serviço que você tentar configurar para usar a autenticação do Amazon Cognito para painéis poderá ficar preso em um estado de configuração de Processamento.
Problemas de configuração comuns
As tabelas a seguir listam os problemas de configuração comuns e as soluções.
| Problema | Solução |
|---|---|
|
|
Você não tem as permissões corretas do IAM. Adicione as permissões especificadas em Configuração da autenticação do Amazon Cognito (console). |
|
|
Você não tem iam:PassRole permissões para a CognitoAccessForAmazonOpenSearchfunção. Anexe a política a seguir à sua conta:
Como alternativa, você pode anexar a política |
|
|
Você não tem permissões de leitura para o Amazon Cognito. Anexe a política |
|
|
OpenSearch O serviço não está especificado na relação de confiança da |
|
|
A função especificada em --cognito-options não tem permissões para acessar o Amazon Cognito. Verifique se a função tem a AmazonOpenSearchServiceCognitoAccess política AWS gerenciada anexada. Como alternativa, use o console para configurar a autenticação do Amazon Cognito. O console cria uma função para você. |
An error occurred (ValidationException) when calling the
CreateDomain operation: User pool does not exist |
OpenSearch O serviço não consegue encontrar o grupo de usuários. Confirme se você criou um e se tem o ID correto. Para encontrar o ID, você pode usar o console do Amazon Cognito ou o seguinte comando: AWS CLI
|
|
|
OpenSearch O serviço não consegue encontrar o pool de identidades. Confirme se você criou um e se tem o ID correto. Para encontrar o ID, você pode usar o console do Amazon Cognito ou o seguinte comando: AWS CLI
|
|
|
O grupo de usuários não tem um nome de domínio. Você pode configurar um usando o console do Amazon Cognito ou o seguinte comando da AWS CLI
:
|
| Problema | Solução |
|---|---|
| A página de login não mostra meus provedores de identidade preferenciais. |
Verifique se você habilitou o provedor de identidade para o cliente do aplicativo OpenSearch Service, conforme especificado emConfiguração de provedores de identidade. |
|
A página de login não parece estar associada à minha organização. |
|
| Minhas credenciais de login não funcionam. |
Verifique se você configurou o provedor de identidade conforme especificado em Configuração de provedores de identidade. Se você usa o grupo de usuários como seu provedor de identidade, verifique se a conta existe no console do Amazon Cognito. |
|
OpenSearch Os painéis não carregam nem um pouco ou não funcionam corretamente. |
A função autenticada do Amazon Cognito precisa de permissões |
|
Quando eu saio dos OpenSearch Painéis de uma guia, as guias restantes exibem uma mensagem informando que o token de atualização foi revogado. |
Quando você sai de uma sessão do OpenSearch Dashboards enquanto usa a autenticação do Amazon Cognito OpenSearch , o Service executa AdminUserGlobalSignOutuma operação que desconecta você de todas as sessões OpenSearch ativas do Dashboards. |
Invalid identity pool configuration. Check assigned IAM roles
for this pool. |
O Amazon Cognito não tem permissões para assumir a função do IAM em nome do usuário autenticado. Modifique a relação de confiança da função para incluir:
|
Token is not from a supported provider of this identity
pool. |
Este erro incomum pode ocorrer quando você remover o cliente do aplicativo a partir do grupo de usuários. Tente abrir o Dashboards em uma nova sessão do navegador. |
Desabilitando a autenticação do Amazon Cognito para painéis OpenSearch
Use o procedimento a seguir para desabilitar a autenticação do Amazon Cognito para Dashboards.
Para desabilitar a autenticação do Amazon Cognito para Dashboards (console)
-
Abra o console do Amazon OpenSearch Service em https://console.aws.amazon.com/aos/casa/
. -
Em Domínios, escolha o domínio que deseja configurar.
-
Escolha Ações, Editar configuração de segurança.
-
Desmarque a opção Habilitar autenticação do Amazon Cognito.
-
Escolha Salvar alterações.
Importante
Se você não precisar mais do grupo de usuários e do grupo de identidades do Amazon Cognito, exclua-os. Caso contrário, você continuará a ser cobrado.
Excluindo domínios que usam a autenticação do Amazon Cognito para painéis OpenSearch
Para evitar que domínios que usam a autenticação do Amazon Cognito para painéis fiquem presos em um estado de configuração de processamento, OpenSearch exclua os domínios do Serviço antes de excluir seus grupos de usuários e identidades associados do Amazon Cognito.
