如何從移動應用程序中保護對AWS Elasticsearch的訪問

Question

我正在構建一個需要訪問AWS Elasticsearch（ES）集羣的移動應用程序，並且希望確保只有應用程序可以進行查詢。

假設我不打算將AWS用戶證書與我的移動應用程序一起分發，那麼允許對AWS Elasticsearch羣集進行讀取訪問的安全方法是什麼？

閱讀this AWS post我收集我可以設置一個反向代理簽署我的請求Elasticsearch。如果遵循此路線，我將如何保護對代理正在監聽的EC2實例端口的訪問？

Answer 1

對於移動應用程序，您想要設置的是Web Identity Federation。這將爲用戶提供臨時憑證以訪問移動應用程序所需的aws資源。

http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_oidc.html

設置從亞馬遜 http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_oidc_manual.html

條上的Web身份聯合與移動應用

https://aws.amazon.com/articles/4617974389850313