Greifen Sie über einen Schnittstellenendpunkt auf Amazon OpenSearch Serverless zu ()AWS PrivateLink - OpenSearch Amazon-Dienst

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Greifen Sie über einen Schnittstellenendpunkt auf Amazon OpenSearch Serverless zu ()AWS PrivateLink

Sie können AWS PrivateLink es verwenden, um eine private Verbindung zwischen Ihrer VPC und Amazon OpenSearch Serverless herzustellen. Sie können auf OpenSearch Serverless zugreifen, als wäre es in Ihrer VPC, ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder AWS Direct Connect eine Verbindung zu verwenden. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um auf OpenSearch Serverless zuzugreifen.

Sie stellen diese private Verbindung her, indem Sie einen Schnittstellen-Endpunkt erstellen, der von AWS PrivateLink unterstützt wird. Wir erstellen eine Endpunkt-Netzwerkschnittstelle in jedem Subnetz, das Sie für den Schnittstellen-Endpunkt angeben. Dabei handelt es sich um vom Anforderer verwaltete Netzwerkschnittstellen, die als Einstiegspunkt für den Datenverkehr dienen, der für Serverless bestimmt ist. OpenSearch

Weitere Informationen finden Sie unter Zugriff auf AWS-Services über AWS PrivateLink im AWS PrivateLink -Leitfaden.

DNS-Auflösung der Sammlungsendpunkte

Wenn Sie einen VPC-Endpunkt erstellen, erstellt der Service eine neue Amazon Route 53 private gehostete Zone und fügt sie der VPC hinzu. Diese private gehostete Zone besteht aus einem Datensatz zur Auflösung des DNS-Wildcard-Eintrags für OpenSearch serverlose Sammlungen (*.aoss.us-east-1.amazonaws.com) in die für den Endpunkt verwendeten Schnittstellenadressen. Sie benötigen nur einen OpenSearch serverlosen VPC-Endpunkt in einer VPC, um auf alle Sammlungen und Dashboards in jeder VPC zuzugreifen. AWS-Region Jeder VPC mit einem Endpunkt für OpenSearch Serverless ist eine eigene private Hosting-Zone zugeordnet.

OpenSearch Serverless erstellt außerdem einen öffentlichen Route 53-Platzhalter-DNS-Eintrag für alle Sammlungen in der Region. Der DNS-Name wird in die öffentlichen IP-Adressen von OpenSearch Serverless aufgelöst. Clients in VPCs, die keinen OpenSearch serverlosen VPC-Endpunkt haben, oder Clients in öffentlichen Netzwerken können den öffentlichen Route 53-Resolver verwenden und mit diesen IP-Adressen auf die Sammlungen und Dashboards zugreifen. Der IP-Adresstyp (IPv4, IPv6 oder Dualstack) des VPC-Endpunkts wird anhand der Subnetze bestimmt, die beim Erstellen eines Schnittstellenendpunkts für Serverless bereitgestellt werden. OpenSearch

Anmerkung

Sie können Ihren vorhandenen IPv4-VPC-Endpunkt auf Dualstack aktualisieren, indem Sie den Befehl in der update-vpc-endpointverwenden. AWS CLI

Die DNS-Resolver-Adresse für eine bestimmte VPC ist die zweite IP-Adresse der VPC CIDR. Jeder Client in der VPC muss diesen Resolver verwenden, um die VPC-Endpunktadresse für jede Sammlung abzurufen. Der Resolver verwendet eine private gehostete Zone, die von Serverless erstellt wurde. OpenSearch Es reicht aus, diesen Resolver für alle Sammlungen in einem beliebigen Konto zu verwenden. Es ist auch möglich, den VPC-Resolver für einige Sammlungsendpunkte und den öffentlichen Resolver für andere zu verwenden, obwohl dies normalerweise nicht erforderlich ist.

VPCs und Netzwerkzugriffsrichtlinien

Um OpenSearch APIs und Dashboards für Ihre Sammlungen Netzwerkberechtigungen zu gewähren, können Sie Richtlinien für den OpenSearch serverlosen Netzwerkzugriff verwenden. Sie können diesen Netzwerkzugriff entweder von Ihren VPC-Endpunkten oder dem öffentlichen Internet aus steuern. Da Ihre Netzwerkrichtlinie nur die Zugriffsberechtigungen steuert, müssen Sie auch eine Datenzugriffsrichtlinie einrichten, die die Erlaubnis festlegt, mit den Daten in einer Sammlung und ihren Indizes zu arbeiten. Stellen Sie sich einen OpenSearch serverlosen VPC-Endpunkt als Zugriffspunkt für den Service, eine Netzwerkzugriffsrichtlinie als Zugriffspunkt auf Netzwerkebene für Sammlungen und Dashboards und eine Datenzugriffsrichtlinie als Zugriffspunkt für eine detaillierte Zugriffskontrolle für jeden Vorgang mit Daten in der Sammlung vor.

Da Sie in einer Netzwerkrichtlinie mehrere VPC-Endpunkt-IDs angeben können, empfehlen wir, für jede VPC, die auf eine Sammlung zugreifen muss, einen VPC-Endpunkt zu erstellen. Diese VPCs können zu anderen AWS Konten gehören als das Konto, dem die OpenSearch Serverless-Sammlung und die Netzwerkrichtlinie gehören. Es wird nicht empfohlen, eine VPC-zu-VPC-Peering- oder eine andere Proxylösung zwischen zwei Konten zu erstellen, sodass die VPC eines Kontos den VPC-Endpunkt eines anderen Kontos verwenden kann. Dies ist weniger sicher und kostengünstiger als wenn jede VPC über einen eigenen Endpunkt verfügt. Die erste VPC wird für den Administrator der anderen VPC, der in der Netzwerkrichtlinie den Zugriff auf den Endpunkt dieser VPC eingerichtet hat, nicht ohne weiteres sichtbar sein.

VPCs und Endpunktrichtlinien

Amazon OpenSearch Serverless unterstützt Endpunktrichtlinien für VPCs. Eine Endpunktrichtlinie ist eine ressourcenbasierte IAM-Richtlinie, die Sie an einen VPC-Endpunkt anhängen, um zu steuern, welche AWS Principals den Endpunkt für den Zugriff auf Ihren Service verwenden können. AWS Weitere Informationen finden Sie unter Steuern des Zugriffs auf VPC-Endpoints mithilfe von Endpunktrichtlinien.

Um eine Endpunktrichtlinie zu verwenden, müssen Sie zunächst einen Schnittstellenendpunkt erstellen. Sie können einen Schnittstellenendpunkt entweder mit der OpenSearch Serverless-Konsole oder der OpenSearch Serverless-API erstellen. Nachdem Sie Ihren Schnittstellenendpunkt erstellt haben, müssen Sie die Endpunktrichtlinie zum Endpunkt hinzufügen. Weitere Informationen finden Sie unter Zugriff auf Amazon OpenSearch Serverless über einen Schnittstellenendpunkt (AWS PrivateLink).

Anmerkung

Sie können eine Endpunktrichtlinie nicht direkt in der OpenSearch Service-Konsole definieren.

Eine Endpunktrichtlinie überschreibt oder ersetzt keine anderen identitätsbasierten Richtlinien, ressourcenbasierten Richtlinien, Netzwerkrichtlinien oder Datenzugriffsrichtlinien, die Sie möglicherweise konfiguriert haben. Weitere Informationen zur Aktualisierung von Endpunktrichtlinien finden Sie unter Steuern des Zugriffs auf VPC-Endpunkte mithilfe von Endpunktrichtlinien.

Standardmäßig gewährt eine Endpunktrichtlinie vollen Zugriff auf Ihren VPC-Endpunkt.

{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } ] }

Obwohl die standardmäßige VPC-Endpunktrichtlinie vollen Endpunktzugriff gewährt, können Sie eine VPC-Endpunktrichtlinie konfigurieren, um den Zugriff auf bestimmte Rollen und Benutzer zu ermöglichen. Sehen Sie sich dazu das folgende Beispiel an:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "123456789012", "987654321098" ] }, "Action": "*", "Resource": "*" } ] }

Sie können eine OpenSearch serverlose Sammlung angeben, die als bedingtes Element in Ihre VPC-Endpunktrichtlinie aufgenommen werden soll. Sehen Sie sich dazu das folgende Beispiel an:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:CollectionName": [ "coll-abc" ] } } } ] }

Sie können SAML-Identitäten in Ihrer VPC-Endpunktrichtlinie verwenden, um den VPC-Endpunktzugriff zu bestimmen. Sie müssen (*) im Hauptbereich Ihrer VPC-Endpunktrichtlinie einen Platzhalter verwenden. Sehen Sie sich dazu das folgende Beispiel an:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:SamlGroups": [ "saml/123456789012/idp123/group/football", "saml/123456789012/idp123/group/soccer", "saml/123456789012/idp123/group/cricket" ] } } } ] }

Darüber hinaus können Sie Ihre Endpunktrichtlinie so konfigurieren, dass sie eine bestimmte SAML-Prinzipalrichtlinie enthält. Sehen Sie sich dazu Folgendes an:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:SamlPrincipal": [ "saml/123456789012/idp123/user/user1234"] } } } ] }

Weitere Informationen zur Verwendung der SAML-Authentifizierung mit Amazon OpenSearch Serverless finden Sie unter SAML-Authentifizierung für Amazon Serverless. OpenSearch

Sie können auch IAM- und SAML-Benutzer in dieselbe VPC-Endpunktrichtlinie aufnehmen. Sehen Sie sich dazu das folgende Beispiel an:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:SamlGroups": [ "saml/123456789012/idp123/group/football", "saml/123456789012/idp123/group/soccer", "saml/123456789012/idp123/group/cricket" ] } } }, { "Effect": "Allow", "Principal": { "AWS": [ "123456789012" ] }, "Action": "*", "Resource": "*" } ] }

Überlegungen

Bevor Sie einen Schnittstellenendpunkt für OpenSearch Serverless einrichten, sollten Sie Folgendes berücksichtigen:

  • OpenSearch Serverless unterstützt Aufrufe aller unterstützten OpenSearch API-Operationen (nicht Konfigurations-API-Operationen) über den Schnittstellenendpunkt.

  • Nachdem Sie einen Schnittstellenendpunkt für OpenSearch Serverless erstellt haben, müssen Sie ihn dennoch in die Netzwerkzugriffsrichtlinien aufnehmen, damit er auf serverlose Sammlungen zugreifen kann.

  • Standardmäßig ist der vollständige Zugriff auf OpenSearch Serverless über den Schnittstellenendpunkt zulässig. Sie können den Endpunkt-Netzwerkschnittstellen eine Sicherheitsgruppe zuordnen, um den Datenverkehr zu OpenSearch Serverless über den Schnittstellenendpunkt zu steuern.

  • Ein einzelner AWS-Konto kann maximal 50 OpenSearch serverlose VPC-Endpunkte haben.

  • Wenn Sie in einer Netzwerkrichtlinie den öffentlichen Internetzugriff auf die API oder die Dashboards Ihrer Sammlung aktivieren, ist Ihre Sammlung von jeder VPC und über das öffentliche Internet zugänglich.

  • Wenn Sie sich vor Ort und außerhalb der VPC befinden, können Sie einen DNS-Resolver nicht direkt für die OpenSearch serverlose VPC-Endpunktlösung verwenden. Wenn Sie VPN-Zugriff benötigen, benötigt die VPC einen DNS-Proxy-Resolver, den externe Clients verwenden können. Route 53 bietet eine Option für eingehende Endpunkte, mit der Sie DNS-Abfragen an Ihre VPC von Ihrem lokalen Netzwerk oder einer anderen VPC aus auflösen können.

  • Die private gehostete Zone, die OpenSearch Serverless erstellt und an die VPC anhängt, wird vom Service verwaltet, sie wird jedoch in Ihren Amazon Route 53 Ressourcen angezeigt und Ihrem Konto in Rechnung gestellt.

  • Weitere Überlegungen finden Sie unter Überlegungen im AWS PrivateLink -Leitfaden.

Erforderliche Berechtigungen

Der VPC-Zugriff für OpenSearch Serverless verwendet die folgenden AWS Identity and Access Management (IAM-) Berechtigungen. Sie können IAM-Bedingungen festlegen, um Benutzer auf bestimmte Sammlungen zu beschränken.

  • aoss:CreateVpcEndpoint – Erstellt einen VPC-Endpunkt.

  • aoss:ListVpcEndpoints – Listet alle VPC-Endpunkte auf.

  • aoss:BatchGetVpcEndpoint – Zeigt Details zu einer Untergruppe von VPC-Endpunkten an.

  • aoss:UpdateVpcEndpoint – Ändert einen VPC-Endpunkt.

  • aoss:DeleteVpcEndpoint – Löscht einen VPC-Endpunkt.

Darüber hinaus benötigen Sie die folgenden Amazon-EC2- und Route-53-Berechtigungen, um einen VPC-Endpunkt zu erstellen.

  • ec2:CreateTags

  • ec2:CreateVpcEndpoint

  • ec2:DeleteVpcEndPoints

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeVpcs

  • ec2:ModifyVpcEndPoint

  • route53:AssociateVPCWithHostedZone

  • route53:ChangeResourceRecordSets

  • route53:CreateHostedZone

  • route53:DeleteHostedZone

  • route53:GetChange

  • route53:GetHostedZone

  • route53:ListHostedZonesByName

  • route53:ListHostedZonesByVPC

  • route53:ListResourceRecordSets

Erstellen Sie einen Schnittstellenendpunkt für Serverless OpenSearch

Sie können einen Schnittstellenendpunkt für OpenSearch Serverless entweder mit der Konsole oder der OpenSearch Serverless API erstellen.

Um einen Schnittstellenendpunkt für eine serverlose Sammlung zu erstellen OpenSearch
  1. Öffnen Sie die Amazon OpenSearch Service-Konsole unter https://console.aws.amazon.com/aos/home.

  2. Erweitern Sie im linken Navigationsbereich Serverless und wählen Sie VPC endpoints (VPC-Endpunkte) aus.

  3. Wählen Sie Create VPC endpoint (VPC-Endpunkt) erstellen.

  4. Geben Sie einen Namen für den Endpunkt an.

  5. Wählen Sie für VPC die VPC aus, von der aus Sie auf OpenSearch Serverless zugreifen möchten.

  6. Wählen Sie für Subnetze ein Subnetz aus, von dem aus Sie auf Serverless zugreifen möchten. OpenSearch

    • Die IP-Adresse und der DNS-Typ des Endpunkts basieren auf dem Subnetztyp

      • Dualstack: Wenn alle Subnetze sowohl IPv4- als auch IPv6-Adressbereiche haben

      • IPv6: Wenn alle Subnetze nur IPv6-Subnetze sind

      • IPv4: Wenn alle Subnetze IPv4-Adressbereiche haben

  7. Wählen Sie für Sicherheitsgruppen die Sicherheitsgruppen aus, die den Security groups (Endpunkt-Netzwerkschnittstellen) zugeordnet werden sollen. Dies ist ein entscheidender Schritt, bei dem Sie die Ports, Protokolle und Quellen für eingehenden Datenverkehr einschränken, den Sie für Ihren Endpunkt autorisieren. Stellen Sie sicher, dass die Sicherheitsgruppenregeln den Ressourcen, die den VPC-Endpunkt für die Kommunikation mit OpenSearch Serverless verwenden, die Kommunikation mit der Endpunkt-Netzwerkschnittstelle ermöglichen.

  8. Wählen Sie Endpunkt erstellen aus.

Verwenden Sie den Befehl, um einen VPC-Endpunkt mithilfe der OpenSearch Serverless API zu erstellen. CreateVpcEndpoint

Anmerkung

Nachdem Sie einen Endpunkt erstellt haben, notieren Sie sich seine ID, z. B. vpce-050f79086ee71ac05. Um dem Endpunkt Zugriff auf Ihre Sammlungen zu gewähren, müssen Sie diese ID in eine oder mehrere Netzwerkzugriffsrichtlinien aufnehmen.

Nächster Schritt: Einem Endpunkt Zugriff auf eine Sammlung gewähren

Nachdem Sie einen Schnittstellen-Endpunkt erstellt haben, müssen Sie ihm über Netzwerkzugriffsrichtlinien Zugriff auf Sammlungen gewähren. Weitere Informationen finden Sie unter Netzwerkzugriff für Amazon OpenSearch Serverless.