Kibana细粒度访问控制-多个Kibana组

Question

我在AWS Elasticsearch中设置了不同的kibana角色来保护不同的索引。这些基班纳角色映射到IAM角色，IAM角色映射到认知群。

我的计划是将用户分配到一个或多个认知群中，这将允许他们访问各自的基班纳索引。

但是，当我尝试使用包含cognito:roles集合中多个元素的认知令牌登录时，我会收到一个错误：OpenDistro ES: Missing Role No roles available for this user, please contact your system administrator.

这是意料之中吗？这些示例只包括属于单个认知组(限制用户或管理员)的用户。如果我是一个认知群的一部分，我就可以登录，但是一旦我是多个的一部分，我就会收到上面的错误。我希望有多个基班纳的角色。

https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/es-cognito-auth.html

https://github.com/aws-samples/amazon-elasticsearch-service-with-cognito/blob/master/lib/search-stack.ts

Answer 1

显然，这是每个AWS架构师的设计限制，尽管它无助于解决我的用例：

-- ES细粒度访问控制--设计为只映射一个后端角色和一个用于认知令牌的IAM角色。您能够将多个后端角色合并到一个角色中吗?这是一个选项吗？.This的好处是将具有类似需求的用户分组，您可以管理更少的认知组和IAM角色。

AWS WWCS地理解决方案体系结构