Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Tutorial: Konfigurieren einer Domain mit der internen Benutzerdatenbank und HTTP-Basisauthentifizierung
<a name="fgac-http-auth"></a>

Dieses Tutorial behandelt einen weiteren beliebten Anwendungsfall für [die detaillierte Zugriffskontrolle](fgac.md): einen Masterbenutzer in der internen Benutzerdatenbank und die HTTP-Basisauthentifizierung für Dashboards. OpenSearch Der Masterbenutzer kann sich dann bei OpenSearch Dashboards anmelden, einen internen Benutzer erstellen, den Benutzer einer Rolle zuordnen und mithilfe einer detaillierten Zugriffskontrolle die Benutzerberechtigungen einschränken.

In diesem Tutorial führen Sie die folgenden Schritte durch:

1. [Erstellen Sie eine Domain mit einem Masterbenutzer](#fgac-http-auth-domain)

1. [Konfigurieren Sie einen internen Benutzer in OpenSearch Dashboards](#fgac-http-auth-dashboards-user)

1. [Ordnen Sie Rollen in Dashboards zu OpenSearch ](#fgac-http-auth-dashboards-map)

1. [Testen der Berechtigungen](#fgac-http-auth-test)

## Schritt 1: Erstellen einer Domäne
<a name="fgac-http-auth-domain"></a>

Rufen Sie die Amazon OpenSearch Service-Konsole unter [https://console.aws.amazon.com/aos/home/](https://console.aws.amazon.com/aos/home/) auf und [erstellen Sie eine Domain](createupdatedomains.md) mit den folgenden Einstellungen:
+ OpenSearch 1.0 oder höher oder Elasticsearch 7.9 oder höher
+ Öffentlicher Zugriff
+ Differenzierte Zugriffskontrolle mit einem Master-Benutzer in der internen Benutzerdatenbank (`TheMasterUser` für den Rest dieses Lernprogramms)
+ Amazon Cognito-Authentifizierung für Dashboards *deaktiviert*
+ Die folgende Zugriffsrichtlinie:

------
#### [ JSON ]

****  

  ```
  {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "AWS": "arn:aws:iam::111122223333:root"
        },
        "Action": [
          "es:ESHttp*"
        ],
        "Resource": "arn:aws:es:us-east-1:111122223333:domain/{domain-name}/*"
      }
    ]
  }
  ```

------
+ HTTPS für den gesamten Datenverkehr zur Domain erforderlich
+ Node-to-node Verschlüsselung
+ Verschlüsselung gespeicherter Daten

## Schritt 2: Erstellen Sie einen internen Benutzer in OpenSearch Dashboards
<a name="fgac-http-auth-dashboards-user"></a>

Da Sie nun eine Domain haben, können Sie sich bei OpenSearch Dashboards anmelden und einen internen Benutzer erstellen.

1. Kehren Sie zur OpenSearch Servicekonsole zurück und navigieren Sie zur OpenSearch Dashboard-URL für die von Ihnen erstellte Domain. Die URL weist folgendes Format auf: `domain-endpoint/_dashboards/`.

1. Melden Sie sich mit dem an`TheMasterUser`.

1. Wählen Sie **Add sample data** (Beispieldaten hinzufügen) und fügen Sie die Beispielflugdaten hinzu.

1. Wählen Sie im linken Navigationsbereich **Sicherheit**, **Interne Benutzer, Internen** **Benutzer erstellen** aus.

1. Benennen Sie den Benutzer `new-user` und geben Sie ein Passwort an. Wählen Sie die Option **Erstellen** aus.

## Schritt 3: Rollen in OpenSearch Dashboards zuordnen
<a name="fgac-http-auth-dashboards-map"></a>

Nachdem Ihr Benutzer konfiguriert ist, können Sie ihn einer Rolle zuordnen.

1. Bleiben Sie im Bereich **Sicherheit** der OpenSearch Dashboards und wählen Sie **Rollen**, **Rolle erstellen** aus.

1. Benennen Sie die Rolle `new-role`.

1. Geben Sie für **Index** `opensearch_dashboards_sample_data_fli*` (`kibana_sample_data_fli*`bei Elasticsearch-Domains) das Indexmuster an.

1. Wählen Sie für die Aktionsgruppe **lesen** aus.

1. Geben Sie für **Sicherheitsabfrage auf Dokumentebene** die folgende Abfrage an:

   ```
   {
     "match": {
       "FlightDelay": true
     }
   }
   ```

1. Wählen Sie für die Sicherheit auf Feldebene **Ausschließen** und geben Sie `FlightNum` an.

1. Fü r**Anonymisierung**, geben Sie `Dest` an.

1. Wählen Sie **Erstellen** aus.

1. Wählen Sie **Zugeordnete Benutzer**, **Mapping verwalten**. Fügen Sie dann `new-user` zu **Benutzern** hinzu und wählen Sie **Zuordnen**.

1. Kehren Sie zur Liste der Rollen zurück und wählen Sie **opensearch\$1dashboards\$1user**aus. Wählen Sie **Zugeordnete Benutzer**, **Mapping verwalten**. Fügen Sie dann `new-user` zu **Benutzern** hinzu und wählen Sie **Zuordnen**.

## Schritt 4: Testen Sie die Berechtigungen
<a name="fgac-http-auth-test"></a>

Wenn Ihre Rollen korrekt zugeordnet sind, können Sie sich als Benutzer mit eingeschränkten Rechten anmelden und die Berechtigungen testen.

1. Navigieren Sie in einem neuen, privaten Browserfenster zur OpenSearch Dashboard-URL für die Domain, melden Sie sich mit den `new-user` Anmeldeinformationen an und wählen Sie **Auf eigene Faust erkunden** aus.

1. Wählen Sie **Entwicklerwerkzeuge** aus und führen Sie dann die Standardsuche aus:

   ```
   GET _search
   {
     "query": {
       "match_all": {}
     }
   }
   ```

   Beachten Sie den Berechtigungsfehler. `new-user` hat keine Berechtigungen zum Ausführen von clusterweiten Suchvorgängen.

1. Führen Sie eine weitere Suche aus:

   ```
   GET dashboards_sample_data_flights/_search
   {
     "query": {
       "match_all": {}
     }
   }
   ```

   Beachten Sie, dass alle übereinstimmenden Dokumente ein `FlightDelay`-Feld von `true`, ein anonymisiertes `Dest`- Feld und kein `FlightNum`-Feld haben.

1. Wählen Sie in Ihrem ursprünglichen Browserfenster, angemeldet als `TheMasterUser`, **Dev Tools**, und führen Sie dann die gleichen Suchvorgänge durch. Beachten Sie die Unterschiede zwischen Berechtigungen, Anzahl der Treffer, übereinstimmenden Dokumenten und eingeschlossenen Feldern.