Друзья. AWS Elasticsearch упорно мне пишет {"Message":"User: anonymous is not authorized

to perform: es:ESHttpGet"}
при попытке дернуть curlom
endpoint_url/_cluster/health

Cижу с assumed role, которую добавил в access policy домена

policy выглядит так:

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "myroleARN"
},
"Action": "es:*",
"Resource": "DomainArn/*"
}
]
}

если меняю myroleARN на * то естественно начинаю сразу видеть статус кластера итд итп, но открывать ему всем подряд не наш метод

Может кто сталкивался?

у меня вот так { "Version": "2012-10-17", "Statement": [ { "Action": "es:*", "Principal": "*", "Effect": "Allow", "Resource": "arn:aws:es:${var.region}:${data.aws_caller_identity.current.account_id}:domain/${local.project-full}/*" } ] } и resource "aws_iam_service_linked_role" "es" { aws_service_name = "es.amazonaws.com" }

мне не нравится Principal : "*" - так то у меня тоже работает, но https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/es-ac.html#es-ac-types-resource вполне себе умеет работать с обычными IAM principal судя по доке

https://aws.amazon.com/blogs/database/set-access-control-for-amazon-elasticsearch-service/

видел. ничего нового там нет

неее смотри там как раз тыки есть про ес прокси

накой ляд она мне сдалась? мне нужен стандартный функционал по ограничению контроля по IAM ролям без всяких проксей