Recientemente comencé a usar el nuevo Amazon Elasticsearch Service y parece que no puedo averiguar la política de acceso que necesito para poder acceder solo a los servicios desde mis instancias EC2 que tienen un rol de IAM específico asignado.
A continuación, se muestra un ejemplo de la política de acceso que he asignado actualmente para el dominio ES:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::[ACCOUNT_ID]:role/my_es_role",
]
},
"Action": "es:*",
"Resource": "arn:aws:es:us-east-1:[ACCOUNT_ID]:domain/[ES_DOMAIN]/*"
}
]
}
Pero como dije, esto no funciona. Entro en la instancia EC2 (que tiene el my_es_role
rol adjunto) e intento ejecutar una simple llamada curl en el punto final "https: //*.es.amazonaws.com", obtengo el siguiente error:
{"Mensaje": "Usuario: anónimo no está autorizado para realizar: es: ESHttpGet en recurso: arn: aws: es: us-east-1: [ACCOUNT_ID]: dominio / [ES_DOMAIN] /“}
¿Alguien sabe qué tengo que cambiar en la política de acceso para que esto funcione?