无法访问 AWS Elasticsearch 集群，IAM 策略问题答案

【问题标题】：Unable to access AWS Elasticsearch cluster, IAM policy issue无法访问 AWS Elasticsearch 集群，IAM 策略问题
【发布时间】：2019-11-15 18:49:51
【问题描述】：

我无法访问具有以下访问策略的 AWS ES 集群，我的 IP 是列出的 IP 之一，如果缺少某些内容，请告知。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "es:*",
      "Resource": "arn:aws:es:eu-west-1:OUR_ACCOUNT_ID:domain/xxxx-xxxxx-poc/*",
      "Condition": {
        "IpAddress": {
          "aws:SourceIp": [
            "52.000.000.07",
            "54.00.000.000"
          ]
        }
      }
    },
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::OUR_ACCOUNT_ID:role/xxxxx-prod-eb-role",
          "arn:aws:iam::OUR_ACCOUNT_ID:role/xxxx-staging-eb-role"
        ]
      },
      "Action": "es:*",
      "Resource": "arn:aws:es:eu-west-1:OUR_ACCOUNT_ID:domain/xxxx-xxxxx-poc/*"
    }
  ]
}

【问题讨论】：

需要更多信息。这是如何设置的？它是在 VPC 模式还是公共模式下构建？这让您访问 AWS ES 域的方式大不相同。另外，您正在使用 AWS ES 服务，并且没有在 EC2 实例上手动设置它吗？

标签： amazon-iam aws-elasticsearch

【解决方案1】：

我做了更多的挖掘，我相信这就是你要找的：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::OUR_ACCOUNT_ID:role/xxxxx-prod-eb-role",
          "arn:aws:iam::OUR_ACCOUNT_ID:role/xxxx-staging-eb-role"
        ]
      },
      "Action": "es:*",
      "Resource": "arn:aws:es:eu-west-1:OUR_ACCOUNT_ID:domain/xxxx-xxxxx-poc/*",
      "Condition": {
        "IpAddress": {
          "aws:SourceIp": [
            "52.000.000.07",
            "54.00.000.000"
         ]
        }
      }
    }
  ]
}

我的repo wiki page这里有更多细节

【讨论】：

我还建议您对 IP 的...“52.000.000.07/32”使用 CIDR 块表示法，而不是单独使用 IP。