Ограничить доступ AWS ElasticSearch к группе автоматического масштабирования

Question

Ограничить доступ AWS ElasticSearch к группе автоматического масштабирования

У меня есть группа AutoScaling, которая должна иметь доступ к сервису AWS ElasticSearch, но, как вы знаете, использование IP-адреса в качестве политик доступа в этом случае не будет работать (ip меняется каждый раз). Интересно, есть ли способ использовать роли IAM или группы безопасности для ограничения доступа к группе автоматического масштабирования. Если есть, можете ли вы привести пример?

заранее спасибо

0

amazon-web-services elasticsearch amazon-ec2 amazon-iam amazon-policy

Источник

user5208103 11 окт '17 в 07:41

1 ответ

Решение

Другие вопросы по тегам amazon-web-services elasticsearch amazon-ec2 amazon-iam amazon-policy

user6077057 11 окт '17 в 09:29 2017-10-11 09:29 · Accepted Answer · 2017-10-11 09:29

Вы указываете, какие пользователи или роли IAM должны иметь доступ к вашему домену. Все запросы к домену должны быть подписаны подписью AWS Signature версии 4. Когда запрос достигает домена, он передается в IAM для проверки подписи и контроля доступа.

Политика вроде:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:user/susan"
      },
      "Action": "es:*",
      "Resource": "arn:aws:es:us-west-2:123456789012:domain/mydomain/*"
    }
  ]
}

Замените ARN пользователя и ARN домена красным цветом на те, которые указаны в сгенерированной политике.

См. Блог AWS