As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Este tutorial aborda outro caso de uso de controle de acesso refinado e popular: um usuário principal no banco de dados de usuários interno e autenticação básica HTTP para painéis. OpenSearch O usuário principal pode então entrar nos OpenSearch painéis, criar um usuário interno, mapear o usuário para uma função e usar um controle de acesso refinado para limitar as permissões do usuário.
Você concluirá as seguintes etapas neste tutorial:
Etapa 1: Criar um domínio
Navegue até o console do Amazon OpenSearch Service em https://console.aws.amazon.com/aos/casa/
-
OpenSearch 1.0 ou posterior, ou Elasticsearch 7.9 ou posterior
-
Acesso público
-
Controle de acesso refinado com um usuário primário no banco de dados interno de usuários (
TheMasterUserpara o restante deste tutorial) -
Autenticação do Amazon Cognito para Dashboards desabilitada
-
A seguinte política de acesso:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{account-id}:root" }, "Action": [ "es:ESHttp*" ], "Resource": "arn:aws:es:{region}:{account-id}:domain/{domain-name}/*" } ] } -
HTTPS necessário para todo o tráfego para o domínio
-
Node-to-node criptografia
-
Criptografia de dados em repouso
Etapa 2: criar um usuário interno nos OpenSearch painéis
Agora que você tem um domínio, pode entrar no OpenSearch Dashboards e criar um usuário interno.
-
Volte para o console OpenSearch de serviços e navegue até a URL dos OpenSearch painéis do domínio que você criou. O URL segue este formato:
domain-endpoint/_dashboards/ -
Faça login com o
TheMasterUser. -
Escolha Adicionar dados de amostras e adicione os dados de voo de amostra.
-
No painel de navegação à esquerda, escolha Segurança, Usuários internos, Criar usuário interno.
-
Nomeie o usuário
new-usere especifique uma senha. Escolha Criar.
Etapa 3: mapear funções em OpenSearch painéis
Agora que seu usuário está configurado, você pode mapeá-lo para uma perfil.
-
Fique na seção Segurança dos OpenSearch Painéis e escolha Funções, Criar função.
-
Nomeie a função
new-role. -
Em Índice, especifique
opensearch_dashboards_sample_data_fli*(kibana_sample_data_fli*nos domínios do Elasticsearch) para o padrão de índice. -
Para o grupo de ações, escolha leitura.
-
Em Segurança em nível de documento, especifique a seguinte consulta:
{ "match": { "FlightDelay": true } } -
Para segurança em nível de campo, escolha Excluir e especifique
FlightNum. -
Em Anonimização, especifique
Dest. -
Escolha Criar.
-
Escolha Usuários mapeados e Gerenciar mapeamento. Em seguida, adicione
new-usera Usuários e escolha Mapa. -
Retorne à lista de funções e escolha opensearch_dashboards_user. Escolha Usuários mapeados e Gerenciar mapeamento. Em seguida, adicione
new-usera Usuários e escolha Mapa.
Etapa 4: Testar as permissões
Quando suas funções estiverem mapeadas corretamente, é possível fazer login como o usuário limitado e testá-las.
-
Em uma nova janela privada do navegador, navegue até o URL dos OpenSearch painéis do domínio, faça login usando
new-useras credenciais e escolha Explorar sozinho. -
Escolha Ferramentas de desenvolvimento e execute a pesquisa padrão:
GET _search { "query": { "match_all": {} } }Observe o erro de permissões.
new-usernão tem permissões para executar pesquisas em todo o cluster. -
Execute outra pesquisa:
GET dashboards_sample_data_flights/_search { "query": { "match_all": {} } }Observe que todos os documentos correspondentes têm um campo
FlightDelaydetrue, um campo anônimoDeste nenhum campoFlightNum. -
Na janela original do navegador, conectado como
TheMasterUser, escolha Ferramentas de desenvolvimento e execute as mesmas pesquisas. Observe a diferença nas permissões, número de ocorrências, documentos correspondentes e campos incluídos.
