我正在 Fargate 容器中運行 Python 應用程式。我在 Elasticsearch 集群上有以下訪問策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "es:*",
"Resource": "*"
}
]
}
這按預期作業,但是我不需要為資源使用通配符。我嘗試使用集群的 arn:arn:aws:ecs:region:account_number:cluster/cluster_name但是這會禁用 Python 應用程式的訪問。
我已經瀏覽過,但找不到任何其他 ARN 可以使用。即使使用arn:aws:ecs:region:account_number:*也不起作用。我應該使用什么 arn 來限制對集群的訪問?
uj5u.com熱心網友回復:
它應該是您的IAM 任務角色的 arn,您可以使用它來簽署對 ES 的查詢。
您當前的策略適用于匿名訪問,不需要使用有效的 IAM 憑證對 HTTP 請求進行任何簽名。如果您將 ES 的訪問權限限制為 IAM 角色,您可能需要修改您的應用程式(除非已經這樣做)以實際簽署對 ES 的 HTTP 查詢。
轉載請註明出處,本文鏈接:https://www.uj5u.com/yidong/402206.html
下一篇:基本的彈性搜索自動完成