限制对自动扩展组的AWS ElasticSearch访问
问题描述:
我有一个AutoScaling组,他必须有权访问AWS ElasticSearch服务 但如您所知,在这种情况下使用IP地址作为访问策略将不起作用(IP每次更换)。 我想知道是否有办法使用IAM角色或安全组来限制对自动缩放组的访问。 如果有可以给我一个例子吗?限制对自动扩展组的AWS ElasticSearch访问
预先感谢您
答
您指定哪些IAM用户或角色应该可以访问您的 域。对域的所有请求必须使用AWS Signature 版本4签名进行签名。当请求到达域时,它被转发 到IAM进行签名验证和访问控制。
策略一样:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/susan"
},
"Action": "es:*",
"Resource": "arn:aws:es:us-west-2:123456789012:domain/mydomain/*"
}
]
}
更换用户ARN和域ARN红色与来自生成的策略。
请参阅AWS Blog