将AWS ElasticSearch访问权限限制为自动扩展组

时间:2017-10-11 07:41:10

标签: amazon-web-services elasticsearch amazon-ec2 amazon-iam amazon-policy

我有一个AutoScaling组,他必须拥有对AWS ElasticSearch Service的访问权限, 但是如您所知,在这种情况下使用IP地址作为访问策略将不起作用(每次都更改ip)。 我想知道是否有办法使用IAM角色或安全组来限制对自动缩放组的访问。 如果有,你能举个例子吗?

提前谢谢

1 个答案:

答案 0 :(得分:1)

  

您可以指定哪些IAM用户或角色应该有权访问您的   域。所有对域的请求都必须使用AWS签名进行签名   版本4签署。当请求到达域时,它将被转发   到IAM进行签名验证和访问控制。

政策赞:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:user/susan"
      },
      "Action": "es:*",
      "Resource": "arn:aws:es:us-west-2:123456789012:domain/mydomain/*"
    }
  ]
}

将红色的用户ARN和域ARN替换为生成的策略中的ARN和域ARN。

参考AWS Blog