问题描述
我的 AWS Elasticsearch 域有这样的访问策略
{
"Version": "2012-10-17","Statement": [
{
"Effect": "Allow","Principal": {
"AWS": [
"arn:aws:iam::xxxxxxxxxxxx:user/some-user"
]
},"Action": "es:*","Resource": "arn:aws:es:ap-south-1:xxxxxxxxxxxx:domain/some-cluster/*","Condition": {
"IpAddress": {
"aws:SourceIp": "0.0.0.0/0"
}
}
}
]
}
即使有这个政策,我也无法访问 kibana。 AWS ES 是否对其访问策略进行了一些更改?
解决方法
您无法直接访问 ES 仅具有此政策的链接。原因是您必须使用有效的 sigv4 签名来签署您的请求。根据您的政策,对 ES 的每个请求都必须由只能访问它的 some-user 签名。
这是为了确保只有您在策略中指定的用户才能访问它。因此,您不能使用 kibana。来自docs:
Kibana 本身不支持 IAM 用户和角色
您必须以编程方式访问您的 ES,以便您可以对请求进行签名。一个流行的工具是 aws-requests-auth for python。