ОК, загрузили наше приложение под ECS / Docker, выбросили журналы в Cloudwatch, перенаправили эти журналы в AWS Elasticsearch (у меня был собственный сервер EC2, но я думаю, что руководству это нравится в AWS лучше), все предоставлено в Terraform.
Остается только одно: сейчас никто не может получить доступ к Kibana, потому что единственная политика безопасности, с которой я работаю, - это ограничение доступа к IP-адресу. Решение Amazon - использовать Cognito, а запрос заключался в том, чтобы использовать наши электронные письма, размещенные в Google, в качестве аутентификации.
Теперь я сделал это в прототипе, используя oauth2-proxy в контейнере, и он работал прекрасно. Как бы я ни пытался, я просто не могу заставить его работать, не в последнюю очередь, он пытается создать группы пользователей и тому подобное в us-west-1, у которого еще нет Cognito.
Есть ли способ сделать это? Я не могу найти способ для Terraform создавать ресурсы Cognito в us-west-1, и даже если я могу, я не уверен, как ограничить пулы идентификаторов с помощью Google только нашим почтовым доменом, как мог бы oauth2_proxy.
Есть ли лучшее решение? Я бы хотел не обслуживать больше контейнеров, если бы мог, но я застрял на этом.