Доступ к плагину Kibana для AWS Elasticsearch запрещен

Question

У меня есть кластер Elasticsearch, размещенный в AWS, который в настоящее время имеет открытые разрешения.

Я хочу заблокировать это, чтобы быть доступным только из учетной записи AWS, в которой он находится, однако, если я сделаю это (с оператором Principal в политике доступа Elasticsearch), то я больше не смогу использовать AWS предоставленный плагин Kibana - он не может сказать, что анонимный пользователь не может выполнить ESHttpGet.

Я могу найти много вопросов о том, как связать самостоятельно размещенную Kibana с AWS Elasticsearch, но не предоставленный. Кто-нибудь может помочь с тем, какой доступ мне нужен, чтобы это работало?

Answer 1

Я нашел этот раздел на странице документации AWS :

Поскольку Kibana - это приложение JavaScript, запросы поступают с IP-адреса пользователя. Управление доступом на основе IP может быть нецелесообразным из-за огромного количества IP-адресов, которые вам нужно будет внести в белый список, чтобы каждый пользователь имел доступ к Kibana. Одним из способов решения этой проблемы является размещение прокси-сервера между Kibana и Amazon ES. Затем вы можете добавить политику доступа на основе IP, которая разрешает запросы только с одного IP-адреса - прокси. Следующая диаграмма показывает эту конфигурацию.

Таким образом, решение состоит в том, чтобы также внести в белый список любые IP-адреса, с которых вы хотели бы иметь возможность использовать Kibana.