Netzwerkzugriff für Amazon OpenSearch Serverless - OpenSearch Amazon-Dienst
NetzwerkrichtlinienÜberlegungenFür die Konfiguration von Netzwerkrichtlinien sind Berechtigungen erforderlichVorrang der RichtlinieErstellen von Netzwerkrichtlinien (Konsole)Erstellen von Netzwerkrichtlinien (AWS CLI)Anzeigen von NetzwerkrichtlinienAktualisieren von NetzwerkrichtlinienLöschen von Netzwerkrichtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Netzwerkzugriff für Amazon OpenSearch Serverless

Die Netzwerkeinstellungen für eine Amazon OpenSearch Serverless-Sammlung bestimmen, ob auf die Sammlung über das Internet von öffentlichen Netzwerken aus zugegriffen werden kann oder ob privat darauf zugegriffen werden muss.

Der private Zugriff kann für eine oder beide der folgenden Bedingungen gelten:

  • OpenSearch Serverlos verwaltete VPC-Endpunkte

  • Unterstützt AWS-Services wie Amazon Bedrock

Sie können den Netzwerkzugriff für den Endpunkt einer Sammlung und den entsprechenden OpenSearchOpenSearch Dashboard-Endpunkt separat konfigurieren.

Der Netzwerkzugriff ist der Isolationsmechanismus, mit dem Sie den Zugriff aus verschiedenen Quellnetzwerken ermöglichen können. Wenn beispielsweise der OpenSearch Dashboard-Endpunkt einer Sammlung öffentlich zugänglich ist, der OpenSearch API-Endpunkt jedoch nicht, kann ein Benutzer nur über Dashboards auf die Sammlungsdaten zugreifen, wenn er von einem öffentlichen Netzwerk aus eine Verbindung herstellt. Wenn sie versuchen, die OpenSearch APIs direkt von einem öffentlichen Netzwerk aus aufzurufen, werden sie blockiert. Die Netzwerkeinstellungen können für solche Permutationen von Quelle zu Ressource-Typ verwendet werden. Amazon OpenSearch Serverless unterstützt sowohl IPv4- als auch IPv6-Konnektivität.

Netzwerkrichtlinien

Mit Netzwerkrichtlinien können Sie viele Sammlungen in großem Umfang verwalten, indem Sie Sammlungen, die den in der Richtlinie definierten Regeln entsprechen, automatisch Netzwerkzugriffseinstellungen zuweisen.

In einer Netzwerkrichtlinie legen Sie eine Reihe von Regeln fest. Diese Regeln definieren Zugriffsberechtigungen für Sammelendpunkte und Dashboard-Endpunkte. OpenSearch Jede Regel besteht aus einem Zugriffstyp (öffentlich oder privat) und einem Ressourcentyp (Sammlungs- und/oder OpenSearch Dashboard-Endpunkt). Für jeden Ressourcentyp (collection and dashboard) legen Sie eine Reihe von Regeln fest, die definieren, für welche Sammlungen die Richtlinie gilt.

In dieser Beispielrichtlinie spezifiziert die erste Regel den VPC-Endpunktzugriff sowohl auf den Sammlungsendpunkt als auch auf den Dashboards-Endpunkt für alle Sammlungen, die mit dem Begriff beginnen. marketing* Es spezifiziert auch den Zugriff auf Amazon Bedrock.

Anmerkung

Der private Zugriff auf AWS-Services z. B. Amazon Bedrock gilt nur für den Endpunkt der Sammlung, nicht für den OpenSearch Endpunkt der OpenSearch Dashboards. Selbst wenn dies der Fall ResourceType istdashboard, AWS-Services kann kein Zugriff auf Dashboards gewährt werden. OpenSearch

Die zweite Regel legt den öffentlichen Zugriff auf die finance-Sammlung fest, jedoch nur für den Sammlungsendpunkt (kein Zugriff auf Dashboards).

[
   {
      "Description":"Marketing access",
      "Rules":[
         {
            "ResourceType":"collection",
            "Resource":[
               "collection/marketing*"
            ]
         },
         {
            "ResourceType":"dashboard",
            "Resource":[
               "collection/marketing*"
            ]
         }
      ],
      "AllowFromPublic":false,
      "SourceVPCEs":[
         "vpce-050f79086ee71ac05"
      ],
      "SourceServices":[
         "bedrock.amazonaws.com"
      ],
   },
   {
      "Description":"Sales access",
      "Rules":[
         {
            "ResourceType":"collection",
            "Resource":[
               "collection/finance"
            ]
         }
      ],
      "AllowFromPublic":true
   }
]

Diese Richtlinie gewährt der Öffentlichkeit nur Zugriff auf OpenSearch Dashboards für Sammlungen, die mit „Finanzen“ beginnen. Alle Versuche, direkt auf die OpenSearch API zuzugreifen, schlagen fehl.

[
  {
    "Description": "Dashboards access",
    "Rules": [
      {
        "ResourceType": "dashboard",
        "Resource": [
          "collection/finance*"
        ]
      }
    ],
    "AllowFromPublic": true
  }
]

Netzwerkrichtlinien können sowohl für bestehende Sammlungen als auch für zukünftige Sammlungen gelten. Sie können beispielsweise eine Sammlung erstellen und dann eine Netzwerkrichtlinie mit einer Regel erstellen, die dem Sammlungsnamen entspricht. Vor dem Erstellen von Sammlungen müssen Sie keine Netzwerkrichtlinien erstellen.

Überlegungen

Berücksichtigen Sie Folgendes, wenn Sie den Netzwerkzugriff für Ihre Sammlungen konfigurieren:

  • Wenn Sie den VPC-Endpunktzugriff für eine Sammlung konfigurieren möchten, müssen Sie zunächst mindestens einen OpenSearch serverlos verwalteten VPC-Endpunkt erstellen.

  • Der private Zugriff auf gilt AWS-Services nur für den Endpunkt der Sammlung, nicht für den OpenSearch Dashboard-Endpunkt. OpenSearch Selbst wenn dies der Fall ResourceType istdashboard, AWS-Services kann kein Zugriff auf OpenSearch Dashboards gewährt werden.

  • Wenn eine Sammlung von öffentlichen Netzwerken aus zugänglich ist, ist sie auch von allen OpenSearch serverlos verwalteten VPC-Endpunkten und allen zugänglich. AWS-Services

  • Für eine einzelne Sammlung können mehrere Netzwerkrichtlinien gelten. Weitere Informationen finden Sie unter Vorrang der Richtlinie.

Für die Konfiguration von Netzwerkrichtlinien sind Berechtigungen erforderlich

Der Netzwerkzugriff für OpenSearch Serverless verwendet die folgenden AWS Identity and Access Management (IAM-) Berechtigungen. Sie können IAM-Bedingungen festlegen, um Benutzer auf Netzwerkrichtlinien zu beschränken, die bestimmten Sammlungen zugeordnet sind.

  • aoss:CreateSecurityPolicy – Erstellt eine Netzwerkzugriffsrichtlinie.

  • aoss:ListSecurityPolicies – Listet alle Netzwerkrichtlinien im aktuellen Konto auf.

  • aoss:GetSecurityPolicy – Zeigt die Spezifikation einer Netzwerkzugriffsrichtlinie an.

  • aoss:UpdateSecurityPolicy – Ändert eine bestimmte Netzwerkzugriffsrichtlinie und ändert die VPC-ID oder die Bezeichnung für den öffentlichen Zugriff.

  • aoss:DeleteSecurityPolicy – Löscht eine Netzwerkzugriffsrichtlinie (nachdem sie von allen Sammlungen getrennt wurde).

Die folgende identitätsbasierte Zugriffsrichtlinie ermöglicht es einem Benutzer, alle Netzwerkrichtlinien anzuzeigen und Richtlinien mit dem Ressourcenmuster collection/application-logs zu aktualisieren:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aoss:UpdateSecurityPolicy"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aoss:collection": "application-logs"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "aoss:ListSecurityPolicies",
                "aoss:GetSecurityPolicy"
            ],
            "Resource": "*"
        }
    ]
}
Anmerkung

Darüber hinaus benötigt OpenSearch Serverless die aoss:DashboardsAccessAll Berechtigungen aoss:APIAccessAll und für die Erfassung von Ressourcen. Weitere Informationen finden Sie unter Operationen verwenden OpenSearch API.

Vorrang der Richtlinie

Es kann Situationen geben, in denen sich Netzwerkrichtlinienregeln innerhalb oder zwischen Richtlinien überschneiden. In diesem Fall überschreibt eine Regel, die den öffentlichen Zugriff festlegt, eine Regel, die privaten Zugriff für alle Sammlungen festlegt, die beiden Regeln gemeinsam sind.

In der folgenden Richtlinie weisen beispielsweise beide Regeln der finance-Sammlung Netzwerkzugriff zu, aber eine Regel legt den VPC-Zugriff fest, während die andere den öffentlichen Zugriff festlegt. In dieser Situation überschreibt der öffentliche Zugriff den VPC-Zugriff nur für die Finanzsammlung (weil er in beiden Regeln vorhanden ist), sodass die Finanzsammlung über öffentliche Netzwerke zugänglich ist. Die Verkaufssammlung verfügt über VPC-Zugriff vom angegebenen Endpunkt aus.

[
   {
      "Description":"Rule 1",
      "Rules":[
         {
            "ResourceType":"collection",
            "Resource":[
               "collection/sales",
               "collection/finance"
            ]
         }
      ],
      "AllowFromPublic":false,
      "SourceVPCEs":[
         "vpce-050f79086ee71ac05"
      ]
   },
   {
      "Description":"Rule 2",
      "Rules":[
         {
            "ResourceType":"collection",
            "Resource":[
               "collection/finance"
            ]
         }
      ],
      "AllowFromPublic":true
   }
]

Wenn mehrere VPC-Endpunkte aus unterschiedlichen Regeln auf eine Sammlung zutreffen, sind die Regeln additiv und die Sammlung ist von allen angegebenen Endpunkten aus zugänglich. Wenn Sie AllowFromPublic auf oder festlegen, true aber auch eines SourceVPCEs oder mehrere angebenSourceServices, ignoriert OpenSearch Serverless die VPC-Endpunkte und Dienstkennungen, sodass die zugehörigen Sammlungen öffentlich zugänglich sind.

Erstellen von Netzwerkrichtlinien (Konsole)

Netzwerkrichtlinien können sowohl für bestehende Richtlinien als auch für zukünftige Richtlinien gelten. Wir empfehlen, dass Sie Netzwerkrichtlinien erstellen, bevor Sie mit dem Erstellen von Sammlungen beginnen.

Um eine serverlose Netzwerkrichtlinie zu erstellen OpenSearch

  1. Öffnen Sie die Amazon OpenSearch Service-Konsole unter https://console.aws.amazon.com/aos/home.

  2. Erweitern Sie im linken Navigationsbereich Serverless und wählen Sie Network policies (Netzwerkrichtlinien) aus.

  3. Wählen Sie Create network policy (Netzwerkrichtlinie erstellen) aus.

  4. Geben Sie einen Namen und eine Beschreibung für die Sammlung an.

  5. Geben Sie eine oder mehrere Regeln an. Diese Regeln definieren die Zugriffsberechtigungen für Ihre OpenSearch serverlosen Sammlungen und deren OpenSearch Dashboard-Endpunkte.

    Jede Regel enthält die folgenden Elemente:

    Element Beschreibung
    Rule name (Regelname) Ein Name, der den Inhalt der Regel beschreibt. Beispiel: „VPC-Zugriff für Marketingteam“.
    Access type (Art des Zugriffs) Wählen Sie entweder öffentlichen oder privaten Zugriff. Wählen Sie dann eine oder beide der folgenden Optionen aus:
    Ressourcentyp Wählen Sie aus, ob Sie Zugriff auf OpenSearch Endpunkte (was Aufrufe an die OpenSearch API ermöglicht), auf OpenSearch Dashboards (die den Zugriff auf Visualisierungen und die Benutzeroberfläche für OpenSearch Plugins ermöglichen) oder auf beides gewähren möchten.
    Anmerkung

    AWS-Service Der private Zugriff gilt nur für den Endpunkt der Sammlung, nicht für den OpenSearch Endpunkt der Dashboards. OpenSearch Auch wenn Sie OpenSearch Dashboards auswählen, AWS-Services kann nur Endpunktzugriff gewährt werden.

    Für jeden ausgewählten Ressourcentyp können Sie vorhandene Sammlungen auswählen, für die die Richtlinieneinstellungen gelten, und/oder ein oder mehrere Ressourcenmuster erstellen. Ressourcenmuster bestehen aus einem Präfix und einem Platzhalter (*) und definieren, für welche Sammlungen die Richtlinieneinstellungen gelten.

    Wenn Sie beispielsweise ein Muster mit dem Namen Marketing* einfügen, werden auf alle neuen oder vorhandenen Sammlungen, deren Namen mit „Marketing“ beginnen, automatisch die Netzwerkeinstellungen in dieser Richtlinie angewendet. Ein einzelner Platzhalter (*) wendet die Richtlinie auf alle aktuellen und zukünftigen Sammlungen an.

    Darüber hinaus können Sie den Namen einer future Sammlung ohne Platzhalter angeben, z. B. Finance OpenSearch Serverless wendet die Richtlinieneinstellungen auf jede neu erstellte Sammlung mit genau diesem Namen an.

  6. Wenn Sie mit der Konfiguration Ihrer Richtlinie zufrieden sind, wählen Sie Create (Erstellen).

Erstellen von Netzwerkrichtlinien (AWS CLI)

Um mithilfe der OpenSearch serverlosen API-Operationen eine Netzwerkrichtlinie zu erstellen, geben Sie Regeln im JSON-Format an. Die CreateSecurityPolicyAnfrage akzeptiert sowohl Inline-Richtlinien als auch JSON-Dateien. Alle Sammlungen und Muster müssen das Format collection/<collection name|pattern> aufweisen.

Anmerkung

Der Ressourcentyp erlaubt dashboards nur Zugriff auf OpenSearch Dashboards. Damit OpenSearch Dashboards funktionieren, müssen Sie jedoch auch den Zugriff auf Sammlungen aus denselben Quellen zulassen. Ein Beispiel finden Sie in der zweiten Richtlinie unten.

Um den privaten Zugriff festzulegen, fügen Sie eines oder beide der folgenden Elemente hinzu:

  • SourceVPCEs— Geben Sie einen oder mehrere OpenSearch serverlos verwaltete VPC-Endpunkte an.

  • SourceServices— Geben Sie die Kennung eines oder mehrerer unterstützter Geräte an. AWS-Services Derzeit werden die folgenden Dienstkennungen unterstützt:

    • bedrock.amazonaws.com— Amazonas-Grundgestein

Die folgende Beispielnetzwerkrichtlinie bietet privaten Zugriff auf einen VPC-Endpunkt und Amazon Bedrock auf Sammlungsendpunkte nur für Sammlungen, die mit dem Präfix beginnen. log* Authentifizierte Benutzer können sich nicht bei OpenSearch Dashboards anmelden. Sie können nur programmgesteuert auf den Sammlungsendpunkt zugreifen.

[
   {
      "Description":"Private access for log collections",
      "Rules":[
         {
            "ResourceType":"collection",
            "Resource":[
               "collection/log*"
            ]
         }
      ],
      "AllowFromPublic":false,
      "SourceVPCEs":[
         "vpce-050f79086ee71ac05"
      ],
      "SourceServices":[
         "bedrock.amazonaws.com"
      ],
   }
]

Die folgende Richtlinie gewährt öffentlichen Zugriff auf den OpenSearch Endpunkt und die OpenSearch Dashboards für eine einzelne Sammlung mit dem Namen. finance Wenn die Sammlung nicht vorhanden ist, werden die Netzwerkeinstellungen auf die Sammlung angewendet, wenn und sobald sie erstellt wird.

[
   {
      "Description":"Public access for finance collection",
      "Rules":[
         {
            "ResourceType":"dashboard",
            "Resource":[
               "collection/finance"
            ]
         },
         {
            "ResourceType":"collection",
            "Resource":[
               "collection/finance"
            ]
         }
      ],
      "AllowFromPublic":true
   }
]

Die folgende Anfrage erstellt die oben genannte Netzwerkrichtlinie:

aws opensearchserverless create-security-policy \
    --name sales-inventory \
    --type network \
    --policy "[{\"Description\":\"Public access for finance collection\",\"Rules\":[{\"ResourceType\":\"dashboard\",\"Resource\":[\"collection\/finance\"]},{\"ResourceType\":\"collection\",\"Resource\":[\"collection\/finance\"]}],\"AllowFromPublic\":true}]"

Verwenden Sie das Format --policy file://my-policy.json die Richtlinie in einer JSON-Datei bereitzustellen

Anzeigen von Netzwerkrichtlinien

Bevor Sie eine Sammlung erstellen, möchten Sie möglicherweise eine Vorschau der vorhandenen Netzwerkrichtlinien in Ihrem Konto anzeigen, um zu sehen, welche ein Ressourcenmuster hat, das mit dem Namen Ihrer Sammlung übereinstimmt. Die folgende ListSecurityPoliciesAnfrage listet alle Netzwerkrichtlinien in Ihrem Konto auf:

aws opensearchserverless list-security-policies --type network

Die Anfrage gibt Informationen zu allen konfigurierten Netzwerkrichtlinien zurück. Um die in einer bestimmten Richtlinie definierten Musterregeln einzusehen, suchen Sie die Richtlinieninformationen im Inhalt des securityPolicySummaries Elements in der Antwort. Notieren Sie sich das name Ende type dieser Richtlinie und verwenden Sie diese Eigenschaften in einer GetSecurityPolicyAnfrage, um eine Antwort mit den folgenden Richtliniendetails zu erhalten: 

{
    "securityPolicyDetail": [
        {
            "type": "network",
            "name": "my-policy",
            "policyVersion": "MTY2MzY5MTY1MDA3Ml8x",
            "policy": "[{\"Description\":\"My network policy rule\",\"Rules\":[{\"ResourceType\":\"dashboard\",\"Resource\":[\"collection/*\"]}],\"AllowFromPublic\":true}]",
            "createdDate": 1663691650072,
            "lastModifiedDate": 1663691650072
        }
    ]
}

Verwenden Sie den GetSecurityPolicyBefehl, um detaillierte Informationen zu einer bestimmten Richtlinie anzuzeigen.

Aktualisieren von Netzwerkrichtlinien

Wenn Sie die VPC-Endpunkte oder die Bezeichnung des öffentlichen Zugriffs für ein Netzwerk ändern, sind alle zugehörigen Sammlungen betroffen. Um eine Netzwerkrichtlinie in der OpenSearch Serverless-Konsole zu aktualisieren, erweitern Sie Netzwerkrichtlinien, wählen Sie die zu ändernde Richtlinie aus und klicken Sie auf Bearbeiten. Nehmen Sie Ihre Änderungen vor und wählen Sie Save (Speichern).

Verwenden Sie den Befehl, um eine Netzwerkrichtlinie mithilfe der OpenSearch Serverless API zu aktualisieren. UpdateSecurityPolicy Sie müssen eine Richtlinienversion in die Anfrage aufnehmen. Sie können die Richtlinienversion mithilfe der ListSecurityPolicies- oder GetSecurityPolicy-Befehle abrufen. Durch die Angabe der neuesten Richtlinienversion wird sichergestellt, dass Sie nicht versehentlich eine von einem anderen Benutzer vorgenommene Änderung überschreiben.

Die folgende Anfrage aktualisiert eine Netzwerkrichtlinie mit einem neuen JSON-Richtliniendokument:

aws opensearchserverless update-security-policy \
    --name sales-inventory \
    --type network \
    --policy-version MTY2MzY5MTY1MDA3Ml8x \
    --policy file://my-new-policy.json

Löschen von Netzwerkrichtlinien

Bevor Sie eine Netzwerkrichtlinie löschen können, müssen Sie sie von allen Sammlungen trennen. Um eine Richtlinie in der OpenSearch Serverless-Konsole zu löschen, wählen Sie die Richtlinie aus und klicken Sie auf Löschen.

Sie können auch den DeleteSecurityPolicyfolgenden Befehl verwenden:

aws opensearchserverless delete-security-policy --name my-policy --type network