Я пытаюсь защитить свой домен Elastic Search, размещенный в Amazon VPC.
У нас есть локальные центры обработки данных, которые пытаются получить данные, и экземпляры EC2, которые отправляют данные в конечную точку ES.
Домен ES защищен с использованием доступа на основе IAM и группы безопасности.
В SG я добавил все IP-адреса (DATA CENTERS и EC2) и основной раздел политики доступа к домену ES.Я добавил роль IAM для загрузки данных.Я вроде как заблокирован, поскольку он пытается проверить как IAM, так и IP
. Я хочу проверять только ip на основе центров обработки данных
и использовать роль IAM для EC2 instaces.
Поскольку мои центры обработки данных находятся за пределами VPC, и у меня нет роли IAM, для этого я не могу использовать политику на основе ресурсов.Каков наилучший способ сделать это?
Примечание: центры обработки данных подключены к vpc.
Пожалуйста, помогите мне, если мой подход к защите домена является правильным способом для продолжения?
ES Access Policy:
AccessPolicies:
Version: '2012-10-17'
Statement:
- Effect: Allow
Principal:
AWS:
Ref: IAMRoleForDataLoad
Action:
- 'es:ESHttpGet'
- 'es:ESHttpPost'
- 'es:ESHttpPut'
Resource:
Fn::Join:
- ''
- - 'arn:aws:es:us-east-1:'
- !Ref "AWS::AccountId"
- ':domain/'
- 'testdomain'
- "/*"
Security Groups:
ESSecurityGroup:
Type: AWS::EC2::SecurityGroup
Properties:
GroupDescription: 'Ips that Can Access Elastic Search Domain'
VpcId:
Ref: VpcId
GroupName:
Ref: SGName
SecurityGroupIngress:
- FromPort: '443'
IpProtocol: tcp
ToPort: '443'
CidrIp:
Ref: AllowIp1