我正在构建一个需要访问AWS Elasticsearch(ES)群集的移动应用,并希望确保只有应用才能进行查询。
假设我不打算使用我的移动应用程序分发AWS用户凭据,那么允许对AWS Elasticsearch集群进行读取访问的安全方法是什么?
阅读this AWS post我收集说我可以设置一个反向代理来签署我对Elasticsearch的请求。如果我遵循此路由,我将如何保护对代理正在侦听的EC2实例端口的访问?
答案 0 :(得分:1)
对于移动应用程序,您要设置的是Web Identity Federation。这将为用户提供临时凭据,以访问移动应用程序所需的aws资源。
http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_oidc.html
设置 http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_oidc_manual.html
来自亚马逊的关于使用移动应用程序的Web身份联合的文章