Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Greifen Sie über einen Schnittstellenendpunkt auf Amazon OpenSearch Serverless zu ()AWS PrivateLink
Sie können AWS PrivateLink es verwenden, um eine private Verbindung zwischen Ihrem VPC und Amazon OpenSearch Serverless herzustellen. Sie können auf OpenSearch Serverless zugreifen, als ob es in Ihrem System wäreVPC, ohne ein Internet-Gateway, ein NAT Gerät, eine Verbindung oder AWS Direct Connect eine VPN Verbindung verwenden zu müssen. Instanzen in Ihrem System benötigen VPC keine öffentlichen IP-Adressen, um auf OpenSearch Serverless zuzugreifen. Weitere Informationen zum VPC Netzwerkzugriff finden Sie unter Netzwerkverbindungsmuster für Amazon OpenSearch Serverless
Sie stellen diese private Verbindung her, indem Sie einen Schnittstellen-Endpunkt erstellen, der von AWS PrivateLink unterstützt wird. Wir erstellen eine Endpunkt-Netzwerkschnittstelle in jedem Subnetz, das Sie für den Schnittstellen-Endpunkt angeben. Dabei handelt es sich um vom Anforderer verwaltete Netzwerkschnittstellen, die als Einstiegspunkt für den Datenverkehr dienen, der für Serverless bestimmt ist. OpenSearch
Weitere Informationen finden Sie unter Zugriff auf AWS-Services über AWS PrivateLink im AWS PrivateLink -Leitfaden.
Themen
DNSAuflösung der Datenerfassungsendpunkte
Wenn Sie einen VPC Endpunkt erstellen, erstellt der Service eine neue Amazon Route 53 private gehostete Zone und fügt sie der hinzu. VPC Diese private gehostete Zone besteht aus einem Datensatz zur Auflösung des DNS Platzhalterdatensatzes für OpenSearch serverlose Sammlungen (*.aoss.us-east-1.amazonaws.com) in die für den Endpunkt verwendeten Schnittstellenadressen. Sie benötigen jeweils nur einen OpenSearch serverlosen VPC Endpunkt, VPC um auf alle Sammlungen und Dashboards in jedem Endgerät zuzugreifen. AWS-Region An jeden VPC Endpunkt für OpenSearch Serverless ist eine eigene private Hosting-Zone angehängt.
OpenSearch Serverless erstellt außerdem einen öffentlichen Route DNS 53-Platzhaltereintrag für alle Sammlungen in der Region. Der DNS Name wird in die öffentlichen IP-Adressen von OpenSearch Serverless aufgelöst. Clients OpenSearch ohne serverlosen VPC Endpunkt oder Clients in öffentlichen Netzwerken können den öffentlichen Route 53-Resolver verwenden und mit VPCs diesen IP-Adressen auf die Sammlungen und Dashboards zugreifen. Der IP-Adresstyp (IPv4IPv6, oder Dualstack) des VPC Endpunkts wird anhand der Subnetze bestimmt, die beim Erstellen eines Schnittstellenendpunkts für Serverless bereitgestellt werden. OpenSearch
Anmerkung
OpenSearch Serverless erstellt eine zusätzliche private gehostete Amazon Route 53-Zone (`<region>.opensearch.amazonaws.com`) für die Auflösung einer OpenSearch Service-Domain. Sie können Ihren vorhandenen IPv4 VPC Endpunkt auf Dualstack aktualisieren, indem Sie den Befehl in der verwenden. update-vpc-endpoint AWS CLI
Die DNS Resolver-Adresse für einen bestimmten Wert VPC ist die zweite IP-Adresse von. VPC CIDR Jeder Client, der diesen Resolver verwenden VPC muss, um die VPC Endpunktadresse für eine Sammlung abzurufen. Der Resolver verwendet eine private gehostete Zone, die von Serverless erstellt OpenSearch wurde. Es reicht aus, diesen Resolver für alle Sammlungen in einem beliebigen Konto zu verwenden. Es ist auch möglich, den VPC Resolver für einige Sammlungsendpunkte und den öffentlichen Resolver für andere zu verwenden, obwohl dies normalerweise nicht erforderlich ist.
VPCsund Richtlinien für den Netzwerkzugriff
Um Netzwerkberechtigungen OpenSearch APIs und Dashboards für Ihre Sammlungen zu gewähren, können Sie Richtlinien für den OpenSearch serverlosen Netzwerkzugriff verwenden. Sie können diesen Netzwerkzugriff entweder von Ihren VPC Endpunkten oder vom öffentlichen Internet aus steuern. Da Ihre Netzwerkrichtlinie nur die Zugriffsberechtigungen steuert, müssen Sie auch eine Datenzugriffsrichtlinie einrichten, die die Erlaubnis festlegt, mit den Daten in einer Sammlung und ihren Indizes zu arbeiten. Stellen Sie sich einen OpenSearch serverlosen VPC Endpunkt als Zugriffspunkt zum Dienst, eine Netzwerkzugriffsrichtlinie als Zugriffspunkt auf Netzwerkebene für Sammlungen und Dashboards und eine Datenzugriffsrichtlinie als Zugriffspunkt für eine detaillierte Zugriffskontrolle für jeden Vorgang mit Daten in der Sammlung vor.
Da Sie IDs in einer Netzwerkrichtlinie mehrere VPC Endpunkte angeben können, empfehlen wir, für jeden VPC Endpunkt, der auf eine Sammlung zugreifen muss, einen VPC Endpunkt zu erstellen. Diese VPCs können zu anderen AWS Konten gehören als dem Konto, dem die OpenSearch Serverless-Sammlung und die Netzwerkrichtlinie gehören. Es wird nicht empfohlen, eine VPC-to-VPC Peering- oder andere Proxylösung zwischen zwei Konten einzurichten, sodass ein Konto den Endpunkt eines anderen Kontos verwenden VPC kann. VPC Dies ist weniger sicher und kostengünstiger, als VPC wenn jedes Endgerät über einen eigenen Endpunkt verfügt. Der erste VPC ist für den Administrator VPC des anderen nicht leicht sichtbar, der den Zugriff auf diesen VPC Endpunkt in der Netzwerkrichtlinie eingerichtet hat.
VPCsund Endpunktrichtlinien
Amazon OpenSearch Serverless unterstützt Endpunktrichtlinien fürVPCs. Eine Endpunktrichtlinie ist eine IAM ressourcenbasierte Richtlinie, die Sie an einen VPC Endpunkt anhängen, um zu steuern, welche AWS Principals den Endpunkt für den Zugriff auf Ihren Service verwenden können. AWS Weitere Informationen finden Sie unter Steuern des Zugriffs auf Endgeräte mithilfe von VPC Endpunktrichtlinien.
Um eine Endpunktrichtlinie zu verwenden, müssen Sie zunächst einen Schnittstellenendpunkt erstellen. Sie können einen Schnittstellenendpunkt entweder mit der Serverless-Konsole oder mit der OpenSearch Serverless-Konsole erstellen. OpenSearch API Nachdem Sie Ihren Schnittstellenendpunkt erstellt haben, müssen Sie die Endpunktrichtlinie zum Endpunkt hinzufügen. Weitere Informationen finden Sie unter Zugriff auf Amazon OpenSearch Serverless über einen Schnittstellenendpunkt (AWS PrivateLink).
Anmerkung
Sie können eine Endpunktrichtlinie nicht direkt in der OpenSearch Service-Konsole definieren.
Eine Endpunktrichtlinie überschreibt oder ersetzt keine anderen identitätsbasierten Richtlinien, ressourcenbasierten Richtlinien, Netzwerkrichtlinien oder Datenzugriffsrichtlinien, die Sie möglicherweise konfiguriert haben. Weitere Informationen zur Aktualisierung von Endpunktrichtlinien finden Sie unter Steuern des Zugriffs auf Endgeräte mithilfe von VPC Endpunktrichtlinien.
Standardmäßig gewährt eine Endpunktrichtlinie vollen Zugriff auf Ihren VPC Endpunkt.
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } ] }
Die standardmäßige VPC Endpunktrichtlinie gewährt zwar vollen Endpunktzugriff, Sie können jedoch eine VPC Endpunktrichtlinie konfigurieren, um bestimmten Rollen und Benutzern Zugriff zu gewähren. Sehen Sie sich dazu das folgende Beispiel an:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "123456789012", "987654321098" ] }, "Action": "*", "Resource": "*" } ] }
Sie können eine OpenSearch serverlose Sammlung angeben, die als bedingtes Element in Ihre VPC Endpunktrichtlinie aufgenommen werden soll. Sehen Sie sich dazu das folgende Beispiel an:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aoss:collection": [ "coll-abc" ] } } } ] }
Support für aoss:CollectionId wird unterstützt.
Condition": { "StringEquals": { "aoss:CollectionId": "collection-id" } }
Sie können SAML Identitäten in Ihrer VPC Endpunktrichtlinie verwenden, um den VPC Endpunktzugriff zu bestimmen. Sie müssen (*) im Hauptbereich Ihrer VPC Endpunktrichtlinie einen Platzhalter verwenden. Sehen Sie sich dazu das folgende Beispiel an:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:SamlGroups": [ "saml/123456789012/idp123/group/football", "saml/123456789012/idp123/group/soccer", "saml/123456789012/idp123/group/cricket" ] } } } ] }
Darüber hinaus können Sie Ihre Endpunktrichtlinie so konfigurieren, dass sie eine bestimmte SAML Hauptrichtlinie enthält. Sehen Sie sich dazu Folgendes an:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aoss:SamlPrincipal": [ "saml/123456789012/idp123/user/user1234"] } } } ] }
Weitere Informationen zur Verwendung der SAML Authentifizierung mit Amazon OpenSearch Serverless finden Sie unter SAMLAuthentifizierung für Amazon OpenSearch Serverless.
Sie können auch SAML Benutzer IAM und in dieselbe VPC Endpunktrichtlinie einbeziehen. Sehen Sie sich dazu das folgende Beispiel an:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aoss:SamlGroups": [ "saml/123456789012/idp123/group/football", "saml/123456789012/idp123/group/soccer", "saml/123456789012/idp123/group/cricket" ] } } }, { "Effect": "Allow", "Principal": { "AWS": [ "123456789012" ] }, "Action": "*", "Resource": "*" } ] }
Überlegungen
Bevor Sie einen Schnittstellenendpunkt für OpenSearch Serverless einrichten, sollten Sie Folgendes berücksichtigen:
-
OpenSearch Serverless unterstützt das Aufrufen aller unterstützten OpenSearch APIOperationen (nicht API Konfigurationsvorgänge) über den Schnittstellenendpunkt.
-
Nachdem Sie einen Schnittstellenendpunkt für OpenSearch Serverless erstellt haben, müssen Sie ihn dennoch in die Netzwerkzugriffsrichtlinien aufnehmen, damit er auf serverlose Sammlungen zugreifen kann.
-
Standardmäßig ist der vollständige Zugriff auf OpenSearch Serverless über den Schnittstellenendpunkt zulässig. Sie können den Endpunkt-Netzwerkschnittstellen eine Sicherheitsgruppe zuordnen, um den Datenverkehr zu OpenSearch Serverless über den Schnittstellenendpunkt zu steuern.
-
Ein einzelner AWS-Konto kann maximal 50 OpenSearch serverlose VPC Endpunkte haben.
-
Wenn Sie in einer Netzwerkrichtlinie den öffentlichen Internetzugriff auf Ihre Sammlung API oder Ihre Dashboards aktivieren, ist Ihre Sammlung von jedem VPC und über das öffentliche Internet zugänglich.
-
Wenn Sie sich vor Ort und außerhalb des befindenVPC, können Sie einen DNS Resolver nicht direkt für die OpenSearch serverlose VPC Endpunktauflösung verwenden. Wenn Sie VPN Zugriff benötigen, VPC benötigen Sie einen DNS Proxy-Resolver, den externe Clients verwenden können. Route 53 bietet eine Option für eingehende Endpunkte, mit der Sie DNS Anfragen VPC aus Ihrem lokalen Netzwerk oder einem anderen lösen können. VPC
-
Die private gehostete Zone, die OpenSearch Serverless erstellt und mit der verknüpft, VPC wird vom Dienst verwaltet, sie wird jedoch in Ihren Amazon Route 53 Ressourcen angezeigt und Ihrem Konto in Rechnung gestellt.
-
Weitere Überlegungen finden Sie unter Überlegungen im AWS PrivateLink -Leitfaden.
Erforderliche Berechtigungen
VPCDer Zugriff für OpenSearch Serverless verwendet die folgenden AWS Identity and Access Management () Berechtigungen. IAM Sie können IAM Bedingungen angeben, um Benutzer auf bestimmte Sammlungen zu beschränken.
-
aoss:CreateVpcEndpoint— Erstellen Sie einen VPC Endpunkt. -
aoss:ListVpcEndpoints— Listet alle VPC Endpunkte auf. -
aoss:BatchGetVpcEndpoint— Sehen Sie sich Details zu einer Teilmenge von VPC Endpunkten an. -
aoss:UpdateVpcEndpoint— Ändern Sie einen EndpunktVPC. -
aoss:DeleteVpcEndpoint— Löscht einen VPC Endpunkt.
Darüber hinaus benötigen Sie die folgenden Amazon EC2 - und Route 53-Berechtigungen, um einen VPC Endpunkt zu erstellen.
-
ec2:CreateTags -
ec2:CreateVpcEndpoint -
ec2:DeleteVpcEndPoints -
ec2:DescribeSecurityGroups -
ec2:DescribeSubnets -
ec2:DescribeVpcEndpoints -
ec2:DescribeVpcs -
ec2:ModifyVpcEndPoint -
route53:AssociateVPCWithHostedZone -
route53:ChangeResourceRecordSets -
route53:CreateHostedZone -
route53:DeleteHostedZone -
route53:GetChange -
route53:GetHostedZone -
route53:ListHostedZonesByName -
route53:ListHostedZonesByVPC -
route53:ListResourceRecordSets
Erstellen Sie einen Schnittstellenendpunkt für OpenSearch Serverless
Sie können einen Schnittstellenendpunkt für OpenSearch Serverless entweder mit der Konsole oder mit Serverless erstellen. OpenSearch API
Um einen Schnittstellenendpunkt für eine serverlose Sammlung zu erstellen OpenSearch
-
Öffnen Sie die Amazon OpenSearch Service-Konsole zu https://console.aws.amazon.com/aos/Hause
. -
Erweitern Sie im linken Navigationsbereich Serverless und wählen Sie VPCEndpoints aus.
-
Wählen Sie Endpunkt erstellen VPC aus.
-
Geben Sie einen Namen für den Endpunkt an.
-
Wählen Sie für die Option aus VPCVPC, von der aus Sie auf OpenSearch Serverless zugreifen möchten.
-
Wählen Sie unter Subnetze ein Subnetz aus, von dem aus Sie auf Serverless zugreifen OpenSearch möchten.
-
Die IP-Adresse und der Typ des Endpunkts basieren auf dem DNS Subnetztyp
-
Dualstack: Wenn alle Subnetze sowohl als auch Adressbereiche haben IPv4 IPv6
-
IPv6: Wenn alle Subnetze nur Subnetze sind IPv6
-
IPv4: Wenn alle Subnetze Adressbereiche haben IPv4
-
-
-
Wählen Sie für Sicherheitsgruppen die Sicherheitsgruppen aus, die den Security groups (Endpunkt-Netzwerkschnittstellen) zugeordnet werden sollen. Dies ist ein entscheidender Schritt, bei dem Sie die Ports, Protokolle und Quellen für eingehenden Datenverkehr einschränken, den Sie für Ihren Endpunkt autorisieren. Stellen Sie sicher, dass die Sicherheitsgruppenregeln den Ressourcen, die den VPC Endpunkt für die Kommunikation mit OpenSearch Serverless verwenden, die Kommunikation mit der Endpunkt-Netzwerkschnittstelle ermöglichen.
-
Wählen Sie Endpunkt erstellen aus.
Verwenden Sie den Befehl, um einen VPC Endpunkt mit dem OpenSearch Serverless API zu erstellen. CreateVpcEndpoint
Anmerkung
Nachdem Sie einen Endpunkt erstellt haben, notieren Sie sich seine ID, z. B. vpce-050f79086ee71ac05. Um dem Endpunkt Zugriff auf Ihre Sammlungen zu gewähren, müssen Sie diese ID in eine oder mehrere Netzwerkzugriffsrichtlinien aufnehmen.
Nächster Schritt: Einem Endpunkt Zugriff auf eine Sammlung gewähren
Nachdem Sie einen Schnittstellen-Endpunkt erstellt haben, müssen Sie ihm über Netzwerkzugriffsrichtlinien Zugriff auf Sammlungen gewähren. Weitere Informationen finden Sie unter Netzwerkzugriff für Amazon OpenSearch Serverless.
