Question

У меня есть экземпляр службы Elasticsearch Service на AWS и Elastic Beanstalk.

Я хочу предоставить доступ только для чтения к beanstalk, однако beanstalk не имеет статического IP-адреса по умолчанию и с небольшим количествомПоиск в Google - это слишком большая проблема, чтобы добавить его.

Поэтому я дал доступ к учетной записи aws, но, похоже, это не работает.Я все еще получаю сообщение об ошибке:

"Пользователь: anonymous не имеет права выполнять: es: ESHttpPost

Когда я устанавливаю его в общий доступ, все работает, поэтому я уверен, что я делаю что-то не такздесь:

{
 "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::xxx:root"
      },
      "Action": "es:*",
      "Resource": "arn:aws:es:eu-central-1:xxx:domain/xxx-elastic-search/*"
    }
  ]
}

Sid Malani · Answer 1 · 17 ноября 2018

Используйте политику на основе идентификаторов, такую как эта, вместо белых списков IP-адресов.

{
 "Version": "2012-10-17",
 "Statement": [
  {
   "Resource": "arn:aws:es:us-west-2:111111111111:domain/recipes1/*",
   "Action": ["es:*"],
   "Effect": "Allow"
  }
 ]
}

Затем присоедините ее к роли Elastic Beanstalk.Подробнее здесь

https://aws.amazon.com/blogs/security/how-to-control-access-to-your-amazon-elasticsearch-service-domain/

Доступ к AWS Elasticsearch из AWS Beanstalk

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Доступ к AWS Elasticsearch из AWS Beanstalk

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы