AWS VPC上のkibana(OpenSearch Dashboard)に Client VPN Endpointで接続する

• VPC上にあるkibanaに接続するには工夫が必要で、AWSはこんな方法を案内している
  • Amazon Cognito 認証を使用して VPC の外部から OpenSearch Dashboards にアクセスするにはどうすればよいですか?
  • ここに上げられてる方法はCognito用意したり踏み台用のEC2用意したりでちょっと面倒かもって思った
• Client VPN Endpoint を作成して、VPNでVPCに接続することが割と簡単にできる
  • AWS SSOと連携できるのでユーザ管理とか楽できる
  • AWS SSO を用いた AWS Client VPN の認証と承認
• 上の通りVPNエンドポイントを作って、「ターゲットネットワークの関連付け」でkibana(OpenSearch)が存在してるサブネットをくっつけるとつなげる。
• Client VPN は接続料の他にサブネットの関連付けに対して時間課金される。
  • https://aws.amazon.com/jp/vpn/pricing/
  • なので、kibanaアクセスみたいに常に必要ないような関連付けは都度削除したほうがいい。
  • 一ヶ月つけっぱなしだと100ドルくらいかかって地味にもったいない。
  • VPNエンドポイント自体には課金されず、サブネット紐づけだけに課金されるみたいなので、「ターゲットネットワークの関連付け」だけ削除すれば良い。

OpenSearchとおなじサブネットに色々置いてある場合はVPNエンドポイントのセキュリティグループをちゃんと設定すること。

• https://aws.amazon.com/jp/blogs/news/using-aws-sso-with-aws-client-vpn-for-authentication-and-authorization/

この部分で

Application ACS URL には http://127.0.0.1:35001 を入力し、Application SAML audience には urn:amazon:webservices:clientvpn を入力して、“Save changes“ をクリックします。

間違えて Application ACS URL を http://127.0.0.1:35001/ (スラッシュ付き)にしてたら SSO が失敗してうまくいかなかった気がする。