Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Amazon OpenSearch Serverlos
Amazon OpenSearch Serverless ist eine On-Demand-Konfiguration mit auto-scaling für Amazon OpenSearch Service. Im Gegensatz zu bereitgestellten OpenSearch Domains, die ein manuelles Kapazitätsmanagement erfordern, skaliert eine OpenSearch serverlose Erfassung die Rechenressourcen automatisch entsprechend den Anforderungen Ihrer Anwendung.
OpenSearch Serverless bietet eine kostengünstige Lösung für Workloads, die selten, intermittierend oder unvorhersehbar sind. Es optimiert die Kosten, indem die Rechenkapazität automatisch auf der Grundlage der Nutzung Ihrer Anwendung skaliert wird. Serverlose Sammlungen verwenden dasselbe verteilte und hochverfügbare Speichervolumen mit hoher Kapazität wie bereitgestellte OpenSearch Dienstdomänen.
OpenSearch Serverlose Sammlungen sind immer verschlüsselt. Sie können den Verschlüsselungsschlüssel auswählen, aber Sie können die Verschlüsselung nicht deaktivieren. Weitere Informationen finden Sie unter [Verschlüsselung in Amazon OpenSearch Serverless](serverless-encryption.md).
## Vorteile
OpenSearch Serverless bietet die folgenden Vorteile:
+ **Einfacher als bereitgestellt** — OpenSearch Serverless macht die Verwaltung von OpenSearch Clustern und Kapazitäten weitgehend überflüssig. Es skaliert und optimiert Ihre Cluster automatisch und kümmert sich um die Lebenszyklusverwaltung von Shards und Indizes. Es verwaltet auch Service-Software-Updates und OpenSearch Versions-Upgrades. Alle Updates und Upgrades sind unterbrechungsfrei.
+ **Kostengünstig** — Wenn Sie OpenSearch Serverless verwenden, zahlen Sie nur für die Ressourcen, die Sie verbrauchen. Dadurch entfällt die Notwendigkeit einer Vorabbereitstellung und Überbereitstellung für Spitzenlasten.
+ **Hochverfügbar** — OpenSearch Serverless unterstützt Produktionsworkloads mit Redundanz zum Schutz vor Ausfällen der Availability Zone und Infrastrukturausfällen.
+ **Skalierbar — OpenSearch Serverless skaliert** Ressourcen automatisch, um gleichbleibend hohe Datenaufnahmeraten und Antwortzeiten bei Abfragen aufrechtzuerhalten.
# Was ist Amazon OpenSearch Serverless?
Amazon OpenSearch Serverless ist eine serverlose On-Demand-Option für Amazon OpenSearch Service, die die betriebliche Komplexität der Bereitstellung, Konfiguration und Optimierung von Clustern überflüssig macht. OpenSearch Es ist ideal für Unternehmen, die es vorziehen, ihre Cluster nicht selbst zu verwalten, oder die nicht über die speziellen Ressourcen und das Fachwissen verfügen, um umfangreiche Bereitstellungen zu betreiben. Mit OpenSearch Serverless können Sie große Datenmengen durchsuchen und analysieren, ohne die zugrunde liegende Infrastruktur verwalten zu müssen.
Eine OpenSearch serverlose *Sammlung* ist eine Gruppe von OpenSearch Indizes, die zusammenarbeiten, um eine bestimmte Arbeitslast oder einen bestimmten Anwendungsfall zu unterstützen. Sammlungen vereinfachen den Betrieb im Vergleich zu selbstverwalteten OpenSearch Clustern, die eine manuelle Bereitstellung erfordern.
Sammlungen verwenden denselben verteilten und hochverfügbaren Speicher mit hoher Kapazität wie bereitgestellte OpenSearch Dienstdomänen, reduzieren jedoch die Komplexität weiter, da die manuelle Konfiguration und Optimierung entfällt. Daten innerhalb einer Sammlung werden bei der Übertragung verschlüsselt. OpenSearch Serverless unterstützt auch OpenSearch Dashboards und bietet eine Schnittstelle für die Datenanalyse.
Derzeit läuft OpenSearch für serverlose Sammlungen die Version 2.17.x. Wenn neue Versionen veröffentlicht werden, aktualisiert OpenSearch Serverless Sammlungen automatisch, um neue Funktionen, Fehlerkorrekturen und Leistungsverbesserungen zu integrieren.
OpenSearch Serverless unterstützt dieselben Ingest- und Abfrage-API-Operationen wie die OpenSearch Open-Source-Suite, sodass Sie Ihre vorhandenen Clients und Anwendungen weiterhin verwenden können. Ihre Clients müssen mit OpenSearch 2.x kompatibel sein, um mit Serverless arbeiten zu können. OpenSearch Weitere Informationen finden Sie unter [Daten in Amazon OpenSearch Serverless-Sammlungen aufnehmen](serverless-clients.md).
**Topics**
+ [Anwendungsfälle für Serverless OpenSearch](#serverless-use-cases)
+ [Funktionsweise](#serverless-process)
+ [Auswahl eines Sammlungstyps](#serverless-usecase)
+ [Preisgestaltung](#serverless-pricing)
+ [Unterstützt AWS-Regionen](#serverless-regions)
+ [Einschränkungen](#serverless-limitations)
+ [Vergleich von OpenSearch Service und Serverless OpenSearch](serverless-comparison.md)
## Anwendungsfälle für Serverless OpenSearch
OpenSearch Serverless unterstützt zwei Hauptanwendungsfälle:
+ **Protokollanalyse** – Das Segment Protokollanalyse befasst sich mit der Analyse großer Mengen an halbstrukturierten, maschinell generierten Zeitreihendaten, um Einblicke in das Betriebs- und Benutzerverhalten zu erhalten.
+ **Volltextsuche** – Das Segment der Volltextsuche unterstützt Anwendungen in Ihren internen Netzwerken (Content-Management-Systeme, Rechtsdokumente) und mit dem Internet verbundene Anwendungen, wie z. B. die Inhaltssuche von E-Commerce-Websites.
Wenn Sie eine Sammlung erstellen, wählen Sie einen dieser Anwendungsfälle aus. Weitere Informationen finden Sie unter [Auswahl eines Sammlungstyps](#serverless-usecase).
## Funktionsweise
Herkömmliche OpenSearch Cluster verfügen über einen einzigen Satz von Instances, die sowohl Indizierungs- als auch Suchvorgänge ausführen, und der Indexspeicher ist eng mit der Rechenkapazität verknüpft. Im Gegensatz dazu verwendet OpenSearch Serverless eine cloudnative Architektur, die die Indexierungskomponenten (Ingest) von den Such- (Abfrage-) Komponenten trennt, wobei Amazon S3 der primäre Datenspeicher für Indizes ist.
Diese entkoppelte Architektur ermöglicht es Ihnen, Such- und Indizierungsfunktionen unabhängig voneinander und unabhängig von den indizierten Daten in S3 zu skalieren. Die Architektur bietet auch eine Isolierung für Aufnahme- und Abfragevorgänge, so dass sie ohne Ressourcenkonflikte gleichzeitig ausgeführt werden können.
*Wenn Sie Daten in eine Sammlung schreiben, verteilt OpenSearch Serverless sie an die Recheneinheiten für die Indexierung.* Die indizierenden Recheneinheiten nehmen die eingehenden Daten auf und verschieben die Indizes zu S3. Wenn Sie eine Suche nach den Sammlungsdaten durchführen, leitet OpenSearch Serverless Anfragen an die Recheneinheiten für die *Suche* weiter, die die abgefragten Daten enthalten. Die Recheneinheiten für die Suche laden die indizierten Daten direkt von S3 herunter (wenn sie nicht bereits lokal zwischengespeichert sind), führen Suchvorgänge aus und führen Aggregationen durch.
Das folgende Image veranschaulicht diese entkoppelte Architektur:
![\[Diagram showing indexing and search processes using compute units and Amazon S3 storage.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/Serverless.png)
OpenSearch Serverlose Rechenkapazität für Datenaufnahme, Suche und Abfrage wird in Recheneinheiten () gemessen. OpenSearch OCUs Jede OCU ist eine Kombination aus 6 GB Speicher und entsprechender virtueller CPU (vCPU) und erstellt eine Daten-Pipeline zu Amazon S3. Jede OCU enthält ausreichend flüchtigen Hot-Speicher für 120 GiB Indexdaten.
Wenn Sie Ihre erste Sammlung erstellen, instanziiert OpenSearch Serverless zwei OCUs — eine für die Indizierung und eine für die Suche. Um eine hohe Verfügbarkeit zu gewährleisten, wird auch eine Reihe von Standby-Knoten in einer anderen Availability Zone gestartet. Zu Entwicklungs- und Testzwecken können Sie die Einstellung **Redundanz aktivieren** für eine Sammlung deaktivieren, wodurch die beiden Standby-Replikate entfernt und nur zwei instanziiert werden. OCUs Standardmäßig sind die redundanten aktiven Replikate aktiviert, was bedeutet, dass insgesamt vier für die erste Sammlung in einem Konto instanziiert OCUs werden.
Diese sind auch dann OCUs vorhanden, wenn auf keinem Sammlungsendpunkt eine Aktivität stattfindet. Alle nachfolgenden Sammlungen haben diese OCUs gemeinsam. Wenn Sie weitere Sammlungen in demselben Konto erstellen, fügt OpenSearch Serverless nur dann zusätzliche OCUs für die Suche und Aufnahme hinzu, wenn dies zur Unterstützung der Sammlungen erforderlich ist, und zwar entsprechend den von Ihnen [angegebenen Kapazitätsgrenzen](serverless-scaling.md#serverless-scaling-configure). Die Kapazität wird mit sinkender Computernutzung wieder herunterskaliert.
Informationen darüber, wie Ihnen diese in Rechnung gestellt werden OCUs, finden Sie unter[Preisgestaltung](#serverless-pricing).
## Auswahl eines Sammlungstyps
OpenSearch Serverless unterstützt drei primäre Erfassungstypen:
**Zeitreihen** — Das Segment der Protokollanalysen, das große Mengen halbstrukturierter, maschinengenerierter Daten in Echtzeit analysiert und so Einblicke in Betrieb, Sicherheit, Benutzerverhalten und Unternehmensleistung bietet.
**Suche** — Volltextsuche, die Anwendungen innerhalb interner Netzwerke, wie Content-Management-Systeme und Ablagen für juristische Dokumente, sowie Internetanwendungen wie E-Commerce-Sitesuche und Content-Discovery ermöglicht.
**Vektorsuche** — Die semantische Suche nach Vektor-Einbettungen vereinfacht die Verwaltung von Vektordaten und ermöglicht durch maschinelles Lernen (ML) erweiterte Sucherlebnisse. Es unterstützt generative KI-Anwendungen wie Chatbots, persönliche Assistenten und Betrugserkennung.
Sie wählen einen Sammlungstyp aus, wenn Sie zum ersten Mal eine Sammlung erstellen:
![\[Three collection type options: Time series, Search, and Vector search for different data use cases.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/serverless-collection-type.png)
Der ausgewählte Sammlungstyp hängt von der Art der Daten ab, die Sie in die Sammlung aufnehmen möchten, und davon, wie Sie diese abfragen möchten. Sie können den Sammlungstyp nach dem Erstellen nicht mehr ändern.
Die Sammlungstypen weisen die folgenden bemerkenswerten **Unterschiede** auf:
+ Bei *Such* - und *Vektorsuchsammlungen* werden alle Daten im Hot-Storage gespeichert, um schnelle Antwortzeiten bei Abfragen zu gewährleisten. *Zeitreihen*-Sammlungen verwenden eine Kombination aus Hot- und Warm-Speicher, wobei die aktuellsten Daten im Hot-Speicher aufbewahrt werden, um die Reaktionszeiten bei Abfragen für Daten mit häufigerem Zugriff zu optimieren.
+ Bei Sammlungen mit *Zeitreihen* und *Vektorsuche* können Sie weder anhand einer benutzerdefinierten Dokument-ID indexieren noch anhand von Upsert-Anfragen aktualisieren. Dieser Vorgang ist Suchanwendungsfällen vorbehalten. Sie können stattdessen anhand der Dokument-ID aktualisieren. Weitere Informationen finden Sie unter [Unterstützte OpenSearch API-Operationen und Berechtigungen](serverless-genref.md#serverless-operations).
+ Für *Such* - und *Zeitreihensammlungen* können Sie keine Indizes vom Typ k-NN verwenden.
## Preisgestaltung
AWS berechnet Ihnen die folgenden OpenSearch serverlosen Komponenten:
+ Datenerfassungsleistung
+ Such- und Abfrageleistung
+ In Amazon S3 verbleibender Speicher
Eine OCU umfasst 6 GB RAM, entsprechende vCPU, GP3 Speicher und Datenübertragung zu Amazon S3. Die kleinste Einheit, die Ihnen in Rechnung gestellt werden kann, ist 0,5 OCU. AWS berechnet OCU auf Stundenbasis, mit einer Granularität der zweiten Ebene. In Ihrem Kontoauszug finden Sie einen Eintrag für die Berechnung in OCU-Stunden mit einer Bezeichnung für Datenaufnahme und einer Bezeichnung für Suche. AWS stellt Ihnen auch monatlich die in Amazon S3 gespeicherten Daten in Rechnung. Für die Nutzung von OpenSearch Dashboards fallen keine Gebühren an.
Wenn Sie eine Sammlung mit redundanten aktiven Replikaten erstellen, wird Ihnen mindestens 1 OCU (0,5 OCU × 2) für die Aufnahme, einschließlich primärer und Standby-Replikate, und 1 OCU (0,5 OCU × 2) für die Suche in Rechnung gestellt:
+ 1 OCU (0,5 OCU × 2) für die Aufnahme, einschließlich Primär- und Standby-Daten
+ 1 OCU (0,5 OCU × 2) für die Suche
Wenn Sie redundante aktive Replikate deaktivieren, wird Ihnen mindestens 1 OCU (0,5 OCU x 2) für die erste Sammlung in Ihrem Konto in Rechnung gestellt. Alle nachfolgenden Sammlungen können diese gemeinsam nutzen. OCUs
OpenSearch Serverless fügt je nach OCUs Rechenleistung und Speicherplatz, die zur Unterstützung Ihrer Sammlungen benötigt werden, schrittweise um 1 OCU hinzu. Sie können eine maximale Anzahl von OCUs für Ihr Konto konfigurieren, um die Kosten zu kontrollieren.
**Anmerkung**
Sammlungen, die einzigartig sind, AWS KMS keys können nicht OCUs mit anderen Sammlungen geteilt werden.
OpenSearch Serverlose Versuche, die minimal erforderlichen Ressourcen zu verwenden, um wechselnden Workloads Rechnung zu tragen. Die Anzahl der zu einem beliebigen Zeitpunkt OCUs bereitgestellten Dateien kann variieren und ist nicht exakt. Im Laufe der Zeit wird der von OpenSearch Serverless verwendete Algorithmus weiter verbessert, um die Systemnutzung besser zu minimieren.
Vollständige Preisinformationen finden Sie unter [Amazon OpenSearch Service-Preise](https://aws.amazon.com/opensearch-service/pricing/).
## Unterstützt AWS-Regionen
OpenSearch Serverless ist in einer Teilmenge verfügbar AWS-Regionen , in der der OpenSearch Service verfügbar ist. Eine Liste der unterstützten Regionen finden Sie unter [Amazon OpenSearch Service-Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html) in der *Allgemeine AWS-Referenz*.
## Einschränkungen
OpenSearch Serverless hat die folgenden Einschränkungen:
+ Einige OpenSearch API-Operationen werden nicht unterstützt. Siehe [Unterstützte OpenSearch API-Operationen und Berechtigungen](serverless-genref.md#serverless-operations).
+ Einige OpenSearch Plugins werden nicht unterstützt. Siehe [Unterstützte OpenSearch Plug-ins](serverless-genref.md#serverless-plugins).
+ Derzeit gibt es keine Möglichkeit, Ihre Daten automatisch von einer verwalteten OpenSearch Dienstdomäne zu einer serverlosen Sammlung zu migrieren. Sie müssen Ihre Daten von einer Domain zu einer Sammlung neu indizieren.
+ Kontoübergreifender Zugriff auf Sammlungen wird nicht unterstützt. Sie können Sammlungen von anderen Konten nicht in Ihre Verschlüsselungs- oder Datenzugriffsrichtlinien aufnehmen.
+ Benutzerdefinierte OpenSearch Plugins werden nicht unterstützt.
+ Automatisierte Snapshots werden für OpenSearch serverlose Sammlungen unterstützt. Manuelle Snapshots werden nicht unterstützt. Weitere Informationen finden Sie unter [Sammlungen mithilfe von Schnappschüssen sichern](serverless-snapshots.md).
+ Regionsübergreifende Suche und Replikation werden nicht unterstützt.
+ Die Anzahl der Serverless-Ressourcen, die Sie in einem einzigen Konto und einer Region haben können, ist begrenzt. Siehe [OpenSearch Serverlose Kontingente](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html#opensearch-limits-serverless).
+ Das Aktualisierungsintervall für Indizes in Vektorsuchsammlungen beträgt ungefähr 60 Sekunden. Das Aktualisierungsintervall für Indizes in Such- und Zeitreihensammlungen beträgt ungefähr 10 Sekunden.
+ Die Anzahl der Shards, die Anzahl der Intervalle und das Aktualisierungsintervall können nicht geändert werden und werden von Serverless verwaltet. OpenSearch Die Sharding-Strategie basiert auf der Art der Erfassung und dem Datenverkehr. Beispielsweise skaliert eine Zeitreihen-Sammlung primäre Shards auf der Grundlage von Engpässen im Schreibdatenverkehr.
+ Geodatenfunktionen, die in OpenSearch Versionen bis 2.1 verfügbar sind, werden unterstützt.
# Vergleich von OpenSearch Service und Serverless OpenSearch
Bei OpenSearch Serverless unterscheiden sich einige Konzepte und Funktionen von den entsprechenden Funktionen für eine bereitgestellte Service-Domain OpenSearch . Ein wichtiger Unterschied besteht beispielsweise darin, dass OpenSearch Serverless nicht über das Konzept eines Clusters oder Knotens verfügt.
In der folgenden Tabelle wird beschrieben, wie sich wichtige Funktionen und Konzepte in OpenSearch Serverless von den entsprechenden Funktionen in einer bereitgestellten OpenSearch Dienstdomäne unterscheiden.
| Feature | OpenSearch Dienst | OpenSearch Serverlos |
| --- | --- | --- |
| **Domains im Vergleich zu Sammlungen** | Indizes werden in *Domänen* gespeichert, bei denen es sich um vorab bereitgestellte OpenSearch Cluster handelt. Weitere Informationen finden Sie unter [Amazon OpenSearch Service-Domains erstellen und verwalten](createupdatedomains.md). | Indizes werden in *Sammlungen* gespeichert, bei denen es sich um logische Gruppierungen von Indizes handelt, die einen bestimmten Workload oder Anwendungsfall darstellen. Weitere Informationen finden Sie unter [Verwaltung von Amazon OpenSearch Serverless-Sammlungen](serverless-manage.md). |
| **Knotentypen und Kapazitätsverwaltung** | Sie erstellen einen Cluster mit Knotentypen, die Ihren Kosten- und Leistungsspezifikationen entsprechen. Sie müssen Ihren eigenen Speicherbedarf berechnen und einen Instance-Typ für Ihre Domain auswählen. Weitere Informationen finden Sie unter [Dimensionierung von Amazon OpenSearch Service-Domains](sizing-domains.md). | OpenSearch Serverless skaliert automatisch und stellt zusätzliche Recheneinheiten für Ihr Konto auf der Grundlage Ihrer Kapazitätsnutzung bereit. Weitere Informationen finden Sie unter [Verwaltung von Kapazitätsgrenzen für Amazon OpenSearch Serverless](serverless-scaling.md). |
| **Fakturierung** | Sie zahlen für jede Nutzungsstunde einer EC2-Instance und für die kumulierte Größe aller EBS-Speichervolumes, die an Ihre Instances angefügt sind. Weitere Informationen finden Sie unter [Preise für Amazon OpenSearch Service](what-is.md#pricing). | Die Rechenleistung für die Datenerfassung, die Rechenleistung für Suche und Abfrage sowie der in S3 beibehaltene Speicherplatz werden Ihnen in OCU-Stunden in Rechnung gestellt. Weitere Informationen finden Sie unter [Preisgestaltung](serverless-overview.md#serverless-pricing). |
| **Verschlüsselung** | Die Verschlüsselung im Ruhezustand ist für Domains *optional*. Weitere Informationen finden Sie unter [Verschlüsselung von Daten im Ruhezustand für Amazon OpenSearch Service](encryption-at-rest.md). | Die Verschlüsselung im Ruhezustand ist für Sammlungen *erforderlich*. Weitere Informationen finden Sie unter [Verschlüsselung in Amazon OpenSearch Serverless](serverless-encryption.md). |
| **Datenzugriffskontrolle** | Der Zugriff auf die Daten innerhalb von Domains wird durch IAM-Richtlinien und eine [differenzierte Zugriffskontrolle](fgac.md) bestimmt. | Der Zugriff auf Daten innerhalb von Sammlungen wird durch [Datenzugriffsrichtlinien](serverless-data-access.md) bestimmt. |
| Unterstützte Operationen OpenSearch | OpenSearch Der Service unterstützt eine Teilmenge aller OpenSearch API-Operationen. Weitere Informationen finden Sie unter [Unterstützte Vorgänge in Amazon OpenSearch Service](supported-operations.md). | OpenSearch Serverless unterstützt eine andere Teilmenge von OpenSearch API-Vorgängen. Weitere Informationen finden Sie unter [Unterstützte Operationen und Plugins in Amazon OpenSearch Serverless](serverless-genref.md). |
| Anmeldung für Dashboards | Melden Sie sich mit einem Benutzernamen und einem Passwort an. Weitere Informationen finden Sie unter [Als Masterbenutzer auf OpenSearch Dashboards zugreifen](fgac.md#fgac-dashboards). | Wenn Sie in der AWS Konsole angemeldet sind und zu Ihrer Dashboard-URL navigieren, melden Sie sich automatisch an. Weitere Informationen finden Sie unter [Zugreifen auf OpenSearch Dashboards](serverless-dashboards.md). |
| APIs | Interagieren Sie mithilfe der OpenSearch [Service-API-Operationen programmgesteuert mit dem OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/Welcome.html). | [Interagieren Sie programmgesteuert mit OpenSearch Serverless mithilfe der Serverless-API-Operationen. OpenSearch ](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/Welcome.html) |
| Netzwerkzugriff | Die Netzwerkeinstellungen für eine Domain gelten sowohl für den Domain-Endpunkt als auch für den Dashboard-Endpunkt. OpenSearch Der Netzwerkzugriff für beide ist eng gekoppelt. | Die Netzwerkeinstellungen für den Domain-Endpunkt und den OpenSearch Dashboard-Endpunkt sind entkoppelt. Sie können sich dafür entscheiden, den Netzwerkzugriff für Dashboards nicht zu konfigurieren. OpenSearch Weitere Informationen finden Sie unter [Netzwerkzugriff für Amazon OpenSearch Serverless](serverless-network.md). |
| Signieren von Anforderungen | Verwenden Sie die REST-Clients auf OpenSearch hoher und niedriger Ebene, um Anfragen zu signieren. Geben Sie den Service-Namen als `es` an. | Derzeit unterstützt OpenSearch Serverless eine Untergruppe von Clients, die OpenSearch Service unterstützt. Geben Sie beim Signieren von Anfragen den Service-Namen als `aoss` an. Der `x-amz-content-sha256`-Header ist erforderlich. Weitere Informationen finden Sie unter [Signieren von HTTP-Anforderungen mit anderen Clients](serverless-clients.md#serverless-signing). |
| OpenSearch Versionsupgrades | Sie aktualisieren Ihre Domains manuell, sobald neue Versionen von OpenSearch verfügbar sind. Sie sind dafür verantwortlich, dass Ihre Domain die Upgrade-Voraussetzungen erfüllt und dass Sie alle grundlegenden Änderungen vorgenommen haben. | OpenSearch Serverless aktualisiert Ihre Sammlungen automatisch auf neue OpenSearch Versionen. Upgrades werden nicht unbedingt durchgeführt, sobald eine neue Version verfügbar ist. |
| Service-Software-Updates | Sie wenden Service-Software-Updates manuell auf Ihre Domain an, sobald sie verfügbar sind. | OpenSearch Serverless aktualisiert Ihre Sammlungen automatisch, um die neuesten Bugfixes, Funktionen und Leistungsverbesserungen zu nutzen. |
| VPC-Zugriff | Sie können [Ihre Domain innerhalb einer VPC bereitstellen](vpc.md). Sie können auch zusätzliche vom [OpenSearch Service verwaltete VPC-Endpunkte](vpc-interface-endpoints.md) für den Zugriff auf die Domain erstellen. | Sie erstellen einen oder [OpenSearch mehrere serverlos verwaltete VPC-Endpoints](serverless-vpc.md) für Ihr Konto. Anschließend nehmen Sie diese Endpunkte in die [Netzwerkrichtlinien](serverless-network.md) auf. |
| SAML-Authentifizierung | Sie aktivieren die SAML-Authentifizierung auf Domain-Basis. Weitere Informationen finden Sie unter [SAML-Authentifizierung für Dashboards OpenSearch](saml.md). | Sie konfigurieren einen oder mehrere SAML-Anbieter auf Kontoebene und schließen dann den zugehörigen Benutzer und die zugehörige Gruppe in die Datenzugriffsrichtlinien ein. IDs Weitere Informationen finden Sie unter [SAML-Authentifizierung für Amazon Serverless OpenSearch](serverless-saml.md). |
| Transport Layer Security (TLS) | OpenSearch Der Service unterstützt TLS 1.2, es wird jedoch empfohlen, TLS 1.3 zu verwenden. | OpenSearch Serverless unterstützt TLS 1.2, es wird jedoch empfohlen, TLS 1.3 zu verwenden. |
# Tutorial: Erste Schritte mit Amazon OpenSearch Serverless
Dieses Tutorial führt Sie durch die grundlegenden Schritte, um eine Amazon OpenSearch *Serverless-Suchsammlung* schnell zum Laufen zu bringen. Eine Suchsammlung ermöglicht es Ihnen, Anwendungen in Ihren internen Netzwerken und mit dem Internet verbundene Anwendungen wie die Suche nach E-Commerce-Websites und die Inhaltssuche zu unterstützen.
Informationen zur Verwendung einer *Vektorsuchsammlung* finden Sie unter. [Arbeiten mit Vektorsuchsammlungen](serverless-vector-search.md) Ausführlichere Informationen zur Verwendung von Sammlungen finden Sie unter [Verwaltung von Amazon OpenSearch Serverless-Sammlungen](serverless-manage.md) und den anderen Themen in diesem Handbuch.
In diesem Tutorial führen Sie die folgenden Schritte durch:
1. [Konfigurieren von Berechtigungen](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-getting-started.html#serverless-gsg-permissions)
1. [Erstellen einer Sammlung](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-getting-started.html#serverless-gsg-create)
1. [Hochladen und Suchen von Daten](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-getting-started.html#serverless-gsg-index)
1. [Löschen der Sammlung](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-getting-started.html#serverless-gsg-delete)
**Anmerkung**
Wir empfehlen, dass Sie für Ihre nur ASCII-Zeichen verwenden. `IndexName` Wenn Sie für Ihre keine ASCII-Zeichen verwenden`IndexName`, werden die eingegebenen CloudWatch Messwerte `IndexName` in ein URL-codiertes Format für Nicht-ASCII-Zeichen konvertiert.
## Schritt 1: Konfigurieren von Berechtigungen
Um dieses Tutorial abzuschließen und OpenSearch Serverless im Allgemeinen verwenden zu können, müssen Sie über die richtigen IAM-Berechtigungen verfügen. In diesem Tutorial werden Sie eine Sammlung erstellen, Daten hochladen und suchen und die Sammlung anschließend löschen.
Ihr Benutzer oder Ihre Rolle muss über eine angefügte [identitätsbasierte Richtlinie](security-iam-serverless.md#security-iam-serverless-id-based-policies) mit den folgenden Mindestberechtigungen verfügen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aoss:CreateCollection",
"aoss:ListCollections",
"aoss:BatchGetCollection",
"aoss:DeleteCollection",
"aoss:CreateAccessPolicy",
"aoss:ListAccessPolicies",
"aoss:UpdateAccessPolicy",
"aoss:CreateSecurityPolicy",
"aoss:GetSecurityPolicy",
"aoss:UpdateSecurityPolicy",
"iam:ListUsers",
"iam:ListRoles"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Weitere Informationen zu OpenSearch Serverless IAM-Berechtigungen finden Sie unter. [Identity and Access Management für Amazon OpenSearch Serverless](security-iam-serverless.md)
## Schritt 2: Erstellen einer Sammlung
Eine Sammlung ist eine Gruppe von OpenSearch Indizes, die zusammenarbeiten, um eine bestimmte Arbeitslast oder einen bestimmten Anwendungsfall zu unterstützen.
**Um eine OpenSearch serverlose Sammlung zu erstellen**
1. Öffnen Sie die Amazon OpenSearch Service-Konsole zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home ).
1. Wählen Sie im linken Navigationsbereich **Collections** (Sammlungen) und wählen Sie **Create collection** (Sammlung erstellen) aus.
1. Benennen Sie die Sammlung **movies** (Filme).
1. Wählen Sie für den Sammlungstyp **Search** (Suche) aus. Weitere Informationen finden Sie unter [Auswahl eines Sammlungstyps](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-overview.html#serverless-usecase).
1. Wählen Sie **unter Sicherheit** die Option **Standard create** aus.
1. Wählen Sie unter **Verschlüsselung** die Option **Verwenden** aus AWS-eigener Schlüssel. Dies ist der AWS KMS key , den OpenSearch Serverless verwendet, um Ihre Daten zu verschlüsseln.
1. Konfigurieren Sie unter **Network** (Netzwerk) die Netzwerkeinstellungen für die Sammlung.
+ Wählen Sie für den Zugriffstyp **Public** (Öffentlich) aus.
+ Wählen Sie als Ressourcentyp sowohl Zugriff auf ** OpenSearch Endpunkte aktivieren als auch Zugriff auf Dashboards** **aktivieren** aus. OpenSearch Da Sie Daten mithilfe von OpenSearch Dashboards hochladen und suchen, müssen Sie beide aktivieren.
1. Wählen Sie **Weiter** aus.
1. Richten Sie unter **Configure data access** (Datenzugriff konfigurieren) die Zugriffseinstellungen für die Sammlung ein. [Datenzugriffsrichtlinien](serverless-data-access.md) ermöglichen Benutzern und Rollen den Zugriff auf die Daten innerhalb einer Sammlung. In diesem Tutorial erteilen wir einem einzelnen Benutzer die Berechtigungen, die zum Indizieren und Durchsuchen von Daten in der *Filme*-Sammlung erforderlich sind.
Erstellen Sie eine einzelne Regel, die den Zugriff auf die *Filme*-Sammlung ermöglicht. Nennen Sie die Regel **Movies collection access** (Zugriff auf Filme-Sammlung).
1. Wählen Sie **Principals, IAM-Benutzer und -Rollen hinzufügen** **und** wählen Sie den Benutzer oder die Rolle aus, mit der Sie sich bei OpenSearch Dashboards anmelden und Daten indexieren möchten. Wählen Sie **Speichern**.
1. Wählen Sie unter **Index permissions** (Indexberechtigungen) alle Berechtigungen aus.
1. Wählen Sie **Weiter** aus.
1. Wählen Sie für die Zugriffsrichtlinieneinstellungen die Option **Create a new data access policy** (Neue Datenzugriffsrichtlinie erstellen) aus und nennen Sie die Richtlinie **movies** (Filme).
1. Wählen Sie **Weiter** aus.
1. Überprüfen Sie Ihre Sammlungseinstellungen und wählen Sie **Submit** (Senden) aus. Warten Sie einige Minuten, bis der Sammlungsstatus `Active` erreicht ist.
## Schritt 3: Daten hochladen und suchen
Sie können Daten mit [Postman](https://www.postman.com/downloads/) oder cURL in eine OpenSearch serverlose Sammlung hochladen. Der Kürze halber verwenden diese Beispiele **Dev Tools** in der Dashboards-Konsole. OpenSearch
**So indizieren und durchsuchen Sie Daten in der Filme-Sammlung**
1. Wählen Sie im linken Navigationsbereich **Collections** (Sammlungen) und wählen Sie die **movies** (Filme)-Sammlung aus, um ihre Detailseite zu öffnen.
1. Wählen Sie die OpenSearch Dashboard-URL für die Sammlung aus. Die URL nimmt das Format `https://dashboards.{region}.aoss.amazonaws.com/_login/?collectionId={collection-id}` an.
1. Öffnen Sie in OpenSearch Dashboards den linken Navigationsbereich und wählen Sie **Dev** Tools aus.
1. Um einen einzelnen Index mit dem Namen *movies-index* zu erstellen, senden Sie die folgende Anfrage:
```
PUT movies-index
```
![\[OpenSearch Dashboards console showing PUT request for movies-index with JSON response.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/serverless-gsg-create.png)
1. Um ein einzelnes Dokument in *movies-index* zu indizieren, senden Sie die folgende Anfrage:
```
PUT movies-index/_doc/1
{
"title": "Shawshank Redemption",
"genre": "Drama",
"year": 1994
}
```
1. Um Daten in OpenSearch Dashboards zu suchen, müssen Sie mindestens ein Indexmuster konfigurieren. OpenSearch verwendet diese Muster, um zu identifizieren, welche Indizes Sie analysieren möchten. Öffnen Sie den linken Navigationsbereich, wählen Sie **Stack-Verwaltung**, wählen Sie **Indexmuster** und anschließend die Option **Indexmuster erstellen** aus. Geben Sie für dieses Tutorial *Filme* ein.
1. Wählen Sie **Nächster Schritt** aus und klicken Sie auf **Indexmuster erstellen**. Nachdem das Muster erstellt wurde, können Sie die verschiedenen Dokumentfelder anzeigen, z. B. `title` und `genre`.
1. Um mit der Suche nach Ihren Daten zu beginnen, öffnen Sie erneut den linken Navigationsbereich und wählen Sie **Discover** (Entdecken) aus, oder verwenden Sie die [Such-API](https://opensearch.org/docs/latest/api-reference/search/) in Dev Tools.
## Fehlerbehandlung
Beim Ausführen von Index- und Suchvorgängen erhalten Sie möglicherweise die folgenden Fehlerantworten:
+ `HTTP 507`— Zeigt an, dass ein interner Serverfehler aufgetreten ist. Dieser Fehler weist im Allgemeinen darauf hin, dass Ihre OpenSearch Recheneinheiten (OCUs) durch das Volumen oder die Komplexität Ihrer Anfragen überlastet sind. OpenSearch Serverless skaliert zwar automatisch, um die Last zu verwalten, es kann jedoch zu Verzögerungen bei der Bereitstellung zusätzlicher Ressourcen kommen.
Um diesen Fehler zu beheben, implementieren Sie eine exponentielle Backoff-Wiederholungsrichtlinie. Dieser Ansatz reduziert vorübergehend die Anforderungsrate, um die Last effektiv zu verwalten. Weitere Informationen finden Sie unter [Verhalten bei Wiederholungsversuchen](https://docs.aws.amazon.com/sdkref/latest/guide/feature-retry-behavior.html) im Referenzhandbuch *AWS SDKs und im Tools-Referenzhandbuch.*
+ `HTTP 402`— Zeigt an, dass Sie die maximale Kapazitätsgrenze für OpenSearch Recheneinheiten (OCU) erreicht haben. Optimieren Sie Ihren Workload, um die OCU-Nutzung zu reduzieren, oder fordern Sie eine Erhöhung des Kontingents an.
## Schritt 4: Sammlung löschen
Da die *Filme*-Sammlung zu Testzwecken dient, sollten Sie sie löschen, wenn Sie mit dem Experimentieren fertig sind.
**Um eine OpenSearch serverlose Sammlung zu löschen**
1. Gehen Sie zurück zur **Amazon OpenSearch Service-Konsole**.
1. Wählen Sie im linken Navigationsbereich **Collections** (Sammlungen) und anschließend die **movies** (Filme)-Samlung aus.
1. Wählen Sie **Löschen** und bestätigen Sie das Löschen.
## Nächste Schritte
Da Sie nun wissen, wie Sie eine Sammlung erstellen und Daten indizieren, möchten Sie vielleicht einige der folgenden Übungen ausprobieren:
+ Weitere erweiterte Optionen zum Erstellen einer Sammlung finden Sie hier. Weitere Informationen finden Sie unter [Verwaltung von Amazon OpenSearch Serverless-Sammlungen](serverless-manage.md).
+ Erfahren Sie, wie Sie Sicherheitsrichtlinien konfigurieren, um die Sammlungssicherheit in großem Umfang zu verwalten. Weitere Informationen finden Sie unter [Überblick über die Sicherheit in Amazon OpenSearch Serverless](serverless-security.md).
+ Entdecken Sie andere Möglichkeiten, Daten in Sammlungen zu indizieren. Weitere Informationen finden Sie unter [Daten in Amazon OpenSearch Serverless-Sammlungen aufnehmen](serverless-clients.md).
# OpenSearch Serverlose Amazon-Sammlungen
Eine *Sammlung* in Amazon OpenSearch Serverless ist eine logische Gruppierung von einem oder mehreren Indizes, die einen Analyse-Workload darstellen. OpenSearch Serverless verwaltet und optimiert die Sammlung automatisch und erfordert nur minimale manuelle Eingaben.
**Topics**
+ [Verwaltung von Amazon OpenSearch Serverless-Sammlungen](serverless-manage.md)
+ [Arbeiten mit Vektorsuchsammlungen](serverless-vector-search.md)
+ [Verwenden von Datenlebenszyklusrichtlinien mit Amazon OpenSearch Serverless](serverless-lifecycle.md)
+ [Verwenden von AWS SDKs zur Interaktion mit Amazon OpenSearch Serverless](serverless-sdk.md)
+ [Verwenden CloudFormation , um Amazon OpenSearch Serverless-Sammlungen zu erstellen](serverless-cfn.md)
+ [Sammlungen mithilfe von Schnappschüssen sichern](serverless-snapshots.md)
+ [Support für Standardcodecs in Amazon Serverless OpenSearch](serverless-zstd-compression.md)
+ [Speichern Sie Speicherplatz, indem Sie eine abgeleitete Quelle verwenden](serverless-derived-source.md)
# Verwaltung von Amazon OpenSearch Serverless-Sammlungen
Eine *Sammlung* in Amazon OpenSearch Serverless ist eine logische Gruppierung von einem oder mehreren Indizes, die einen Analyse-Workload darstellen. OpenSearch Serverless verwaltet und optimiert die Sammlung automatisch und erfordert nur minimale manuelle Eingaben.
**Topics**
+ [Konfiguration von Berechtigungen für Sammlungen](serverless-collection-permissions.md)
+ [Automatische semantische Anreicherung für Serverless](serverless-semantic-enrichment.md)
+ [Erstellen von Sammlungen](serverless-create.md)
+ [Zugreifen auf OpenSearch Dashboards](serverless-dashboards.md)
+ [Anzeigen von Sammlungen](serverless-list.md)
+ [Löschen von Sammlungen](serverless-delete.md)
# Konfiguration von Berechtigungen für Sammlungen
OpenSearch Serverless verwendet die folgenden AWS Identity and Access Management (IAM-) Berechtigungen zum Erstellen und Verwalten von Sammlungen. Sie können IAM-Bedingungen festlegen, um Benutzer auf bestimmte Sammlungen zu beschränken.
+ `aoss:CreateCollection` – Erstellt Sie eine Sammlung.
+ `aoss:ListCollections` – Listet Sammlungen im aktuellen Konto auf.
+ `aoss:BatchGetCollection` – Ruft Details zu einer oder mehreren Sammlungen ab.
+ `aoss:UpdateCollection` – Ändert eine Sammlung.
+ `aoss:DeleteCollection` – Löscht eine Sammlung.
Das folgende Beispiel für eine identitätsbasierte Zugriffsrichtlinie stellt die Mindestberechtigungen bereit, die ein Benutzer benötigt, um eine einzelne Sammlung mit dem Namen `Logs` zu verwalten:
```
[
{
"Sid":"Allows managing logs collections",
"Effect":"Allow",
"Action":[
"aoss:CreateCollection",
"aoss:ListCollections",
"aoss:BatchGetCollection",
"aoss:UpdateCollection",
"aoss:DeleteCollection",
"aoss:CreateAccessPolicy",
"aoss:CreateSecurityPolicy"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"aoss:collection":"Logs"
}
}
}
]
```
`aoss:CreateAccessPolicy` und `aoss:CreateSecurityPolicy` sind enthalten, da Verschlüsselungs-, Netzwerk- und Datenzugriffsrichtlinien erforderlich sind, damit eine Sammlung ordnungsgemäß funktioniert. Weitere Informationen finden Sie unter [Identity and Access Management für Amazon OpenSearch Serverless](security-iam-serverless.md).
**Anmerkung**
Wenn Sie die erste Sammlung in Ihrem Konto erstellen, benötigen Sie auch die `iam:CreateServiceLinkedRole`-Berechtigung. Weitere Informationen finden Sie unter [Verwenden von dienstverknüpften Rollen zum Erstellen serverloser Sammlungen OpenSearch](serverless-service-linked-roles.md).
# Automatische semantische Anreicherung für Serverless
## Einführung
Die automatische Funktion zur semantischen Anreicherung kann dazu beitragen, die Suchrelevanz gegenüber der lexikalischen Suche um bis zu 20% zu verbessern. Durch die automatische semantische Anreicherung entfällt der undifferenzierte Aufwand, der mit der Verwaltung Ihrer eigenen ML-Modellinfrastruktur (maschinelles Lernen) und der Integration in die Suchmaschine verbunden ist. Die Funktion ist für alle drei serverlosen Erfassungstypen verfügbar: Search, Time Series und Vector.
## Was ist semantische Suche
Herkömmliche Suchmaschinen verlassen sich auf word-to-word Matching (auch lexikalische Suche genannt), um Ergebnisse für Suchanfragen zu finden. Diese Methode eignet sich zwar gut für spezifische Suchanfragen wie Modellnummern von Fernsehgeräten, hat jedoch Probleme mit abstrakteren Suchanfragen. Wenn Sie beispielsweise nach „Strandschuhen“ suchen, werden bei einer lexikalischen Suche lediglich einzelne Wörter wie „Schuhe“, „Strand“, „für“ und „der“ in Katalogartikeln gefunden, sodass möglicherweise relevante Produkte wie „wasserfeste Sandalen“ oder „Surfschuhe“ fehlen, die nicht die genauen Suchbegriffe enthalten.
Die semantische Suche gibt Abfrageergebnisse zurück, die nicht nur die Suche nach Schlüsselwörtern, sondern auch die Absicht und die kontextuelle Bedeutung der Suche des Benutzers berücksichtigen. Wenn ein Benutzer beispielsweise nach „Wie behandelt man Kopfschmerzen“ sucht, gibt ein semantisches Suchsystem möglicherweise die folgenden Ergebnisse zurück:
+ Mittel gegen Migräne
+ Techniken zur Schmerzbehandlung
+ Over-the-counter Schmerzmittel
## Modelldetails und Leistungsbenchmark
Diese Funktion kümmert sich zwar um die technische Komplexität hinter den Kulissen, ohne das zugrundeliegende Modell preiszugeben, aber wir bieten Transparenz durch eine kurze Modellbeschreibung und Benchmark-Ergebnisse, damit Sie fundierte Entscheidungen über die Einführung von Funktionen bei Ihren kritischen Workloads treffen können.
Bei der automatischen semantischen Anreicherung wird ein vom Service verwaltetes, vorab trainiertes Sparse-Modell verwendet, das effektiv funktioniert, ohne dass eine individuelle Feinabstimmung erforderlich ist. Das Modell analysiert die von Ihnen angegebenen Felder und erweitert sie auf der Grundlage von erlernten Assoziationen aus verschiedenen Trainingsdaten zu spärlichen Vektoren. Die erweiterten Begriffe und ihre Signifikanzgewichte werden für einen effizienten Abruf im systemeigenen Lucene-Indexformat gespeichert. Wir haben diesen Prozess für den [Modus „Nur Dokumente“ optimiert, bei dem die Kodierung nur](https://docs.opensearch.org/docs/latest/vector-search/ai-search/neural-sparse-with-pipelines/#step-1a-choose-the-search-mode) während der Datenaufnahme erfolgt. Suchanfragen werden lediglich tokenisiert und nicht nach dem Sparse-Modell verarbeitet, wodurch die Lösung sowohl kostengünstig als auch leistungsstark ist.
Bei unserer Leistungsvalidierung während der Feature-Entwicklung wurde der [MS MARCO-Passage-Retrieval-Datensatz](https://huggingface.co/datasets/BeIR/msmarco) verwendet, der Passagen mit durchschnittlich 334 Zeichen enthielt. Für die Bewertung der Relevanz haben wir den durchschnittlichen Normalized Discounted Cumulative Gain (NDCG) für die ersten 10 Suchergebnisse (ndcg @10) auf dem [BEIR-Benchmark](https://github.com/beir-cellar/beir) für englische Inhalte und den durchschnittlichen NDCG @10 -Wert auf MIRACL für mehrsprachige Inhalte gemessen. [Wir haben die Latenz anhand von Messungen zum 90. Perzentil (p90) auf Kundenseite und anhand von Werten für die Suchantwort mit p90 bewertet.](https://github.com/beir-cellar/beir) Diese Benchmarks bieten grundlegende Leistungsindikatoren sowohl für die Relevanz der Suche als auch für die Antwortzeiten. Hier sind die wichtigsten Benchmark-Zahlen -
+ Englische Sprache — Verbesserung der Relevanz um 20% gegenüber der lexikalischen Suche. Außerdem wurde die Latenz bei der P90-Suche gegenüber der lexikalischen Suche um 7,7% gesenkt (BM25 26 ms und die automatische semantische Anreicherung 24 ms).
+ Mehrsprachig — Verbesserung der Relevanz gegenüber der lexikalischen Suche um 105%, wohingegen die Latenz bei der P90-Suche gegenüber der lexikalischen Suche um 38,4% zunahm (26 ms und die automatische semantische Anreicherung 36 BM25 ms).
Angesichts der Einzigartigkeit der einzelnen Workloads empfehlen wir Ihnen, diese Funktion in Ihrer Entwicklungsumgebung anhand Ihrer eigenen Benchmarking-Kriterien zu bewerten, bevor Sie Entscheidungen zur Implementierung treffen.
## Unterstützte Sprachen
Die Funktion unterstützt Englisch. Darüber hinaus unterstützt das Modell auch Arabisch, Bengali, Chinesisch, Finnisch, Französisch, Hindi, Indonesisch, Japanisch, Koreanisch, Persisch, Russisch, Spanisch, Suaheli und Telugu.
## Richten Sie einen automatischen semantischen Anreicherungsindex für serverlose Sammlungen ein
Das Einrichten eines Indexes mit aktivierter automatischer semantischer Anreicherung für Ihre Textfelder ist einfach. Sie können ihn während der Erstellung eines neuen Indexes über die Konsole und CloudFormation Vorlagen verwalten. APIs Um ihn für einen vorhandenen Index zu aktivieren, müssen Sie den Index mit aktivierter automatischer semantischer Anreicherung für Textfelder neu erstellen.
Konsolenerfahrung: Mit der AWS Konsole können Sie auf einfache Weise einen Index mit Feldern zur automatischen semantischen Anreicherung erstellen. Sobald Sie eine Sammlung ausgewählt haben, finden Sie oben in der Konsole die Schaltfläche Index erstellen. Sobald Sie auf die Schaltfläche „Index erstellen“ klicken, finden Sie Optionen zum Definieren von Feldern für die automatische semantische Anreicherung. In einem Index können Sie Kombinationen aus automatischer semantischer Anreicherung für Englisch und Mehrsprachigkeit sowie lexikalische Felder verwenden.
![\[alt text not found\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/ase-console-exp-serverless.png)
API-Erfahrung — Verwenden Sie den Befehl create-index, um mithilfe der AWS Befehlszeilenschnittstelle (AWS CLI) einen automatischen Index zur semantischen Anreicherung zu erstellen:
```
aws opensearchserverless create-index \
--id [collection_id] \
--index-name [index_name] \
--index-schema [index_body] \
```
**Im folgenden Beispiel für ein Indexschema hat das Feld *title\$1semantic einen Feldtyp, der auf *Text* gesetzt ist, und der Parameter semantic\$1enrichment* ist auf den Status ENABLED gesetzt.** *Das Setzen des Parameters semantic\$1enrichment ermöglicht die automatische *semantische Anreicherung des Felds title\$1semantic*.* ***Sie können das Feld language\$1options verwenden, um entweder Englisch oder Mehrsprachigkeit anzugeben.***
```
aws opensearchserverless create-index \
--id XXXXXXXXX \
--index-name 'product-catalog' \
--index-schema '{
"mappings": {
"properties": {
"product_id": {
"type": "keyword"
},
"title_semantic": {
"type": "text",
"semantic_enrichment": {
"status": "ENABLED",
"language_options": "english"
}
},
"title_non_semantic": {
"type": "text"
}
}
}
}'
```
Verwenden Sie den folgenden Befehl, um den erstellten Index zu beschreiben:
```
aws opensearchserverless get-index \
--id [collection_id] \
--index-name [index_name] \
```
Sie können auch CloudFormation Vorlagen (Type:AWS::OpenSearchServerless::CollectionIndex) verwenden, um eine semantische Suche sowohl während der Sammlungsbereitstellung als auch nach der Erstellung der Sammlung zu erstellen.
## Datenaufnahme und Suche
Sobald Sie einen Index mit aktivierter automatischer semantischer Anreicherung erstellt haben, funktioniert die Funktion während der Datenaufnahme automatisch, ohne dass eine zusätzliche Konfiguration erforderlich ist.
Datenaufnahme: Wenn Sie Dokumente zu Ihrem Index hinzufügen, geht das System automatisch wie folgt vor:
+ Analysiert die Textfelder, die Sie für die semantische Anreicherung vorgesehen haben
+ Generiert semantische Kodierungen mithilfe OpenSearch des vom Service verwalteten Sparse-Modells
+ Speichert diese angereicherten Repräsentationen zusammen mit Ihren Originaldaten
Bei diesem Prozess werden OpenSearch die integrierten ML-Konnektoren und Ingest-Pipelines verwendet, die im Hintergrund automatisch erstellt und verwaltet werden.
Suche: Die Daten zur semantischen Anreicherung sind bereits indexiert, sodass Abfragen effizient ausgeführt werden können, ohne das ML-Modell erneut aufrufen zu müssen. Das bedeutet, dass Sie eine verbesserte Suchrelevanz ohne zusätzlichen Aufwand für die Suchlatenz erhalten.
## Konfiguration von Berechtigungen für die automatische semantische Anreicherung
Bevor Sie einen automatisierten Index für die semantische Anreicherung erstellen, müssen Sie die erforderlichen Berechtigungen konfigurieren. In diesem Abschnitt werden die benötigten Berechtigungen und deren Einrichtung erläutert.
### IAM-Richtlinienberechtigungen
Verwenden Sie die folgende AWS Identity and Access Management (IAM-) Richtlinie, um die erforderlichen Berechtigungen für die Arbeit mit der automatischen semantischen Anreicherung zu gewähren:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AutomaticSemanticEnrichmentPermissions",
"Effect": "Allow",
"Action": [
"aoss:CreateIndex",
"aoss:GetIndex",
"aoss:UpdateIndex",
"aoss:DeleteIndex",
"aoss:APIAccessAll"
],
"Resource": "*"
}
]
}
```
------
**Wichtige Berechtigungen**
+ Die `aoss:*Index` Berechtigungen ermöglichen die Indexverwaltung
+ Die `aoss:APIAccessAll` Erlaubnis ermöglicht OpenSearch API-Operationen
+ Um die Berechtigungen auf eine bestimmte Sammlung zu beschränken, `"Resource": "*"` ersetzen Sie sie durch den ARN der Sammlung
### Konfigurieren Sie Datenzugriffsberechtigungen
Um einen Index für die automatische semantische Anreicherung einzurichten, benötigen Sie entsprechende Datenzugriffsrichtlinien, die Berechtigungen für den Zugriff auf Index-, Pipeline- und Modellerfassungsressourcen gewähren. Weitere Informationen zu Datenzugriffsrichtlinien finden Sie unter. [Datenzugriffskontrolle für Amazon OpenSearch Serverless](serverless-data-access.md) Das Verfahren zur Konfiguration einer Datenzugriffsrichtlinie finden Sie unter[Erstellen von Datenzugriffsrichtlinien (Konsole)](serverless-data-access.md#serverless-data-access-console).
#### Datenzugriffsberechtigungen
```
[
{
"Description": "Create index permission",
"Rules": [
{
"ResourceType": "index",
"Resource": ["index/collection_name/*"],
"Permission": [
"aoss:CreateIndex",
"aoss:DescribeIndex",
"aoss:UpdateIndex",
"aoss:DeleteIndex"
]
}
],
"Principal": [
"arn:aws:iam::account_id:role/role_name"
]
},
{
"Description": "Create pipeline permission",
"Rules": [
{
"ResourceType": "collection",
"Resource": ["collection/collection_name"],
"Permission": [
"aoss:CreateCollectionItems",
"aoss:DescribeCollectionItems"
]
}
],
"Principal": [
"arn:aws:iam::account_id:role/role_name"
]
},
{
"Description": "Create model permission",
"Rules": [
{
"ResourceType": "model",
"Resource": ["model/collection_name/*"],
"Permission": ["aoss:CreateMLResource"]
}
],
"Principal": [
"arn:aws:iam::account_id:role/role_name"
]
},
]
```
#### Zugriffsberechtigungen für das Netzwerk
Damit der Dienst APIs auf private Sammlungen zugreifen kann, müssen Sie Netzwerkrichtlinien konfigurieren, die den erforderlichen Zugriff zwischen der Service-API und der Sammlung zulassen. Weitere Informationen zu Netzwerkrichtlinien finden Sie unter [Netzwerkzugriff für Amazon OpenSearch Serverless](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-network.html).
```
[
{
"Description":"Enable automatic semantic enrichment in a private collection",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/collection_name"
]
}
],
"AllowFromPublic":false,
"SourceServices":[
"aoss.amazonaws.com"
],
}
]
```
**So konfigurieren Sie Netzwerkzugriffsberechtigungen für eine private Sammlung**
1. Melden Sie sich zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home) bei der OpenSearch Servicekonsole an.
1. Wählen Sie in der linken Navigationsleiste *Netzwerkrichtlinien* aus. Führen Sie dann einen der folgenden Schritte aus:
+ Wählen Sie einen vorhandenen Richtliniennamen und klicken Sie auf *Bearbeiten*
+ Wählen Sie *Netzwerkrichtlinie erstellen* und konfigurieren Sie die Richtliniendetails
1. Wählen Sie im Bereich *Zugriffstyp* die Option *Privat (empfohlen)* und anschließend *Privater AWS Dienstzugriff* aus.
1. Wählen Sie im Suchfeld *Service* und dann *aoss.amazonaws.com* aus.
1. Wählen Sie im Bereich *Ressourcentyp* das Feld Zugriff auf Endpunkt *aktivieren* aus. OpenSearch
1. Wählen *Sie für „Sammlung (en) durchsuchen“ oder geben Sie bestimmte Präfixausdrücke* in das Suchfeld „*Sammlungsname*“ ein. Geben Sie dann den Namen der Sammlungen ein, die mit der Netzwerkrichtlinie verknüpft werden sollen, oder wählen Sie ihn aus.
1. Wählen Sie *Erstellen* für eine neue Netzwerkrichtlinie oder *Aktualisieren* für eine bestehende Netzwerkrichtlinie.
## Die Abfrage wird neu geschrieben
Durch die automatische semantische Anreicherung werden Ihre vorhandenen „Match“ -Abfragen automatisch in semantische Suchanfragen umgewandelt, ohne dass Änderungen an der Abfrage erforderlich sind. Wenn eine Übereinstimmungsabfrage Teil einer zusammengesetzten Abfrage ist, durchsucht das System Ihre Abfragestruktur, findet Übereinstimmungsabfragen und ersetzt sie durch neuronale Abfragen mit geringer Dichte. Derzeit unterstützt die Funktion nur das Ersetzen von „Match“ -Abfragen, unabhängig davon, ob es sich um eine eigenständige Abfrage oder um einen Teil einer zusammengesetzten Abfrage handelt. „multi\$1match“ wird nicht unterstützt. Darüber hinaus unterstützt die Funktion alle zusammengesetzten Abfragen, um ihre verschachtelten Match-Abfragen zu ersetzen. Zu den zusammengesetzten Abfragen gehören: bool, boost, constant\$1score, dis\$1max, function\$1score und hybrid.
## Einschränkungen der automatischen semantischen Anreicherung
Die automatische semantische Suche ist am effektivsten, wenn sie auf small-to-medium große Felder angewendet wird, die Inhalte in natürlicher Sprache enthalten, wie Filmtitel, Produktbeschreibungen, Rezensionen und Zusammenfassungen. Die semantische Suche erhöht zwar die Relevanz für die meisten Anwendungsfälle, ist aber für bestimmte Szenarien möglicherweise nicht optimal. Beachten Sie die folgenden Einschränkungen, wenn Sie entscheiden, ob Sie die automatische semantische Anreicherung für Ihren speziellen Anwendungsfall implementieren möchten.
+ Sehr lange Dokumente — Das aktuelle Sparse-Modell verarbeitet nur die ersten 8.192 Tokens jedes Dokuments für Englisch. Bei mehrsprachigen Dokumenten sind es 512 Tokens. Bei längeren Artikeln sollten Sie die Implementierung von Dokumentenabschnitten in Betracht ziehen, um eine vollständige Inhaltsverarbeitung sicherzustellen.
+ Workloads bei der Protokollanalyse — Semantische Anreicherung erhöht die Indexgröße erheblich, was für Protokollanalysen, bei denen eine exakte Übereinstimmung in der Regel ausreicht, unnötig sein könnte. Der zusätzliche semantische Kontext verbessert die Effektivität der Protokollsuche selten ausreichend, um die erhöhten Speicheranforderungen zu rechtfertigen.
+ Die automatische semantische Anreicherung ist nicht mit der Funktion „Abgeleitete Quellen“ kompatibel.
+ Drosselung — Inferenzanfragen zur Indizierung sind derzeit für Serverless auf 100 TPS begrenzt. OpenSearch Dies ist ein weiches Limit. Wenden Sie sich an den AWS Support, um höhere Limits zu erhalten.
## Preisgestaltung
OpenSearch Serverless berechnet die automatische semantische Anreicherung auf der Grundlage der OpenSearch Recheneinheiten (OCUs), die bei der Generierung von spärlichen Vektoren zum Zeitpunkt der Indizierung verbraucht werden. Ihnen wird nur die tatsächliche Nutzung während der Indizierung in Rechnung gestellt. Sie können diesen Verbrauch mithilfe der CloudWatch Amazon-Metrik SemanticSearch OCU überwachen. Spezifische Informationen zu den Limits für Modell-Tokens, zum Volumendurchsatz pro OCU und ein Beispiel für eine Beispielberechnung finden Sie unter [ OpenSearch Servicepreise](https://aws.amazon.com/opensearch-service/pricing/).
# Erstellen von Sammlungen
Sie können die Konsole oder die verwenden AWS CLI , um eine serverlose Sammlung zu erstellen. In diesen Schritten wird beschrieben, wie Sie eine *Suche* oder eine *Zeitreihensammlung* erstellen. Informationen zum Erstellen einer *Vektorsuchsammlung* finden Sie unter[Arbeiten mit Vektorsuchsammlungen](serverless-vector-search.md).
**Topics**
+ [Eine Sammlung erstellen (Konsole)](serverless-create-console.md)
+ [Eine Sammlung erstellen (CLI)](serverless-create-cli.md)
# Eine Sammlung erstellen (Konsole)
Verwenden Sie die Verfahren in diesem Abschnitt, um eine Sammlung mithilfe von zu erstellen AWS-Managementkonsole. In diesen Schritten wird beschrieben, wie Sie eine *Suche* oder eine *Zeitreihensammlung* erstellen. Informationen zum Erstellen einer *Vektorsuchsammlung* finden Sie unter[Arbeiten mit Vektorsuchsammlungen](serverless-vector-search.md).
**Topics**
+ [Sammlungseinstellungen konfigurieren](#serverless-create-console-step-2)
+ [Konfigurieren Sie zusätzliche Suchfelder](#serverless-create-console-step-3)
## Sammlungseinstellungen konfigurieren
Gehen Sie wie folgt vor, um Informationen zu Ihrer Sammlung zu konfigurieren.
**So konfigurieren Sie die Sammlungseinstellungen mit der Konsole**
1. Navigieren Sie zu der Amazon OpenSearch Service-Konsole zu [https://console.aws.amazon.com/aos/Hause/](https://console.aws.amazon.com/aos/home/).
1. Erweitern Sie im linken Navigationsbereich **Serverless** und wählen Sie **Collections** (Sammlungen) aus.
1. Wählen Sie **Create Connection** (Verbindung erstellen) aus.
1. Geben Sie einen Namen und eine Beschreibung für die Sammlung an. Der Name muss die folgenden Kriterien erfüllen:
+ Ist einzigartig für Ihr Konto und AWS-Region
+ Enthält nur Kleinbuchstaben a–z, die Zahlen 0–9 und den Bindestrich (-)
+ Enthält zwischen 3 und 32 Zeichen
1. Auswahl eines Sammlungstyps:
+ **Time series** (Zeitreihen) – Segment der Protokollanalyse, das sich auf die Analyse großer Mengen halbstrukturierter, maschinell generierter Daten konzentriert. Daten werden mindestens 24 Stunden in Hot-Indizes gespeichert, der Rest verbleibt im Warmspeicher.
+ **Search** (Suche) – Volltextsuche, die Anwendungen in Ihren internen Netzwerken und Anwendungen mit Internetzugriff unterstützt. Alle Suchdaten werden im Hot-Speicher gespeichert, um schnelle Antwortzeiten auf Abfragen zu stellen.
**Anmerkung**
Wählen Sie diese Option, wenn Sie die automatische semantische Suche aktivieren, wie unter beschrieben. [Sammlungseinstellungen konfigurieren](#serverless-create-console-step-2)
+ **Vektorsuche** — Semantische Suche nach Vektoreinbettungen, die die Verwaltung von Vektordaten vereinfacht. Unterstützt erweiterte Sucherlebnisse mit maschinellem Lernen (ML) und generative KI-Anwendungen wie Chatbots, persönliche Assistenten und Betrugserkennung.
Weitere Informationen finden Sie unter [Auswahl eines Sammlungstyps](serverless-overview.md#serverless-usecase).
1. Wählen Sie als **Bereitstellungstyp** die Redundanzeinstellung für Ihre Sammlung aus. Standardmäßig verfügt jede Sammlung über Redundanz, was bedeutet, dass die OpenSearch Recheneinheiten für Indexierung und Suche (OCUs) jeweils ihre eigenen Standby-Replikate in einer anderen Availability Zone haben. Zu Entwicklungs- und Testzwecken können Sie die Redundanz deaktivieren, wodurch die Anzahl der Redundanz OCUs in Ihrer Sammlung auf zwei reduziert wird. Weitere Informationen finden Sie unter [Funktionsweise](serverless-overview.md#serverless-process).
1. Wählen Sie aus **Sicherheitsgründen** die Option **Standard create** aus.
1. Wählen Sie für **Verschlüsselung** einen AWS KMS Schlüssel aus, mit dem Sie Ihre Daten verschlüsseln möchten. OpenSearch Serverless benachrichtigt Sie, wenn der von Ihnen eingegebene Sammlungsname einem in einer Verschlüsselungsrichtlinie definierten Muster entspricht. Sie können diese Übereinstimmung beibehalten oder mit eindeutigen Verschlüsselungseinstellungen überschreiben. Weitere Informationen finden Sie unter [Verschlüsselung in Amazon OpenSearch Serverless](serverless-encryption.md).
1. Konfigurieren Sie für **Netzwerkzugriffseinstellungen** den Netzwerkzugriff für die Sammlung.
+ Wählen Sie als **Zugriffstyp** die Option Öffentlich oder Privat aus.
Wenn Sie privat wählen, geben Sie an, welche VPC-Endpoints auf die AWS-Services Sammlung zugreifen können.
+ **VPC-Endpunkte für den Zugriff** — Geben Sie einen oder mehrere VPC-Endpunkte an, über die der Zugriff ermöglicht werden soll. Informationen zum Erstellen eines VPC-Endpunkts finden Sie unter [Zugriff auf Datenebene über AWS PrivateLink](serverless-vpc.md).
+ **AWS-Service privater Zugriff** — Wählen Sie einen oder mehrere unterstützte Dienste aus, auf die Sie zugreifen möchten.
+ Wählen Sie für **Ressourcentyp** aus, ob Benutzer über ihren *OpenSearch*Endpunkt (um API-Aufrufe über cURL, Postman usw. zu tätigen), über den *OpenSearch Dashboards-Endpunkt* (um mit Visualisierungen zu arbeiten und API-Aufrufe über die Konsole zu tätigen) oder beides auf die Sammlung zugreifen können.
**Anmerkung**
AWS-Service Der private Zugriff gilt nur für den Endpunkt, nicht für den OpenSearch Dashboards-Endpunkt. OpenSearch
OpenSearch Serverless benachrichtigt Sie, wenn der von Ihnen eingegebene Sammlungsname einem in einer Netzwerkrichtlinie definierten Muster entspricht. Sie können diese Übereinstimmung beibehalten oder mit benutzerdefinierten Netzwerkeinstellungen überschreiben. Weitere Informationen finden Sie unter [Netzwerkzugriff für Amazon OpenSearch Serverless](serverless-network.md).
1. (Optional) Fügen Sie der Sammlung ein oder mehrere Tags hinzu. Weitere Informationen finden Sie unter [Taggen von Amazon OpenSearch Serverless-Sammlungen](tag-collection.md).
1. Wählen Sie **Weiter** aus.
## Konfigurieren Sie zusätzliche Suchfelder
Die Optionen, die Sie auf Seite zwei des Workflows zum Erstellen einer Sammlung sehen, hängen von der Art der Sammlung ab, die Sie erstellen. In diesem Abschnitt wird beschrieben, wie Sie zusätzliche Suchfelder für jeden Sammlungstyp konfigurieren. In diesem Abschnitt wird auch beschrieben, wie die automatische semantische Anreicherung konfiguriert wird. Überspringen Sie alle Abschnitte, die nicht für Ihren Sammlungstyp gelten.
**Topics**
+ [Konfigurieren Sie die automatische semantische Anreicherung](#serverless-create-console-step-3-semantic-enrichment-fields)
+ [Konfigurieren Sie die Suchfelder für Zeitreihen](#serverless-create-console-step-3-time-series-fields)
+ [Konfigurieren Sie lexikalische Suchfelder](#serverless-create-console-step-3-lexical-fields)
+ [Konfigurieren Sie Vektor-Suchfelder](#serverless-create-console-step-3-vector-search-fields)
### Konfigurieren Sie die automatische semantische Anreicherung
Wenn Sie eine Sammlung erstellen oder bearbeiten, können Sie die automatische semantische Anreicherung konfigurieren, wodurch die Implementierung und die Funktionen der semantischen Suche in Amazon Service vereinfacht werden. OpenSearch Die semantische Suche gibt Abfrageergebnisse zurück, die nicht nur die Zuordnung von Schlüsselwörtern, sondern auch die Absicht und die kontextuelle Bedeutung der Suche des Benutzers berücksichtigen. Weitere Informationen finden Sie unter [Automatische semantische Anreicherung für Serverless](serverless-semantic-enrichment.md).
**Um die automatische semantische Anreicherung zu konfigurieren**
1. Geben Sie im Abschnitt **Indexdetails** für **Indexname** einen Namen an.
1. Wählen Sie im Abschnitt **Felder für automatische semantische Anreicherung** die Option **Semantisches Suchfeld hinzufügen** aus.
1. Geben Sie im **Feld Eingabefeldname für semantische Anreicherung** den Namen eines Felds ein, das Sie anreichern möchten.
1. **Der **Datentyp** ist Text.** Sie können diesen Wert nicht ändern.
1. Wählen Sie als **Sprache** entweder **Englisch** oder **Mehrsprachig** aus.
1. Wählen Sie **Feld hinzufügen**.
1. Wenn Sie mit der Konfiguration der optionalen Felder für Ihre Sammlung fertig sind, wählen Sie **Weiter**. Überprüfen Sie Ihre Änderungen und wählen Sie **Senden**, um die Sammlung zu erstellen.
### Konfigurieren Sie die Suchfelder für Zeitreihen
Die Optionen im Abschnitt **Zeitreihen-Suchfelder** beziehen sich auf Zeitreihendaten und Datenströme. Weitere Informationen zu diesen Themen finden Sie unter[Verwaltung von Zeitreihendaten in Amazon OpenSearch Service mit Datenströmen](data-streams.md).
**So konfigurieren Sie Suchfelder für Zeitreihen**
1. Wählen Sie im Abschnitt **Zeitreihen-Suchfelder** die Option **Zeitreihenfeld hinzufügen** aus.
1. Geben Sie **unter Feldname** einen Namen ein.
1. Wählen Sie für **Datentyp** einen Typ aus der Liste aus.
1. Wählen Sie **Feld hinzufügen**
1. Nachdem Sie die Konfiguration der optionalen Felder für Ihre Sammlung abgeschlossen haben, wählen Sie **Weiter**. Überprüfen Sie Ihre Änderungen und wählen Sie **Senden**, um die Sammlung zu erstellen.
### Konfigurieren Sie lexikalische Suchfelder
Die lexikalische Suche sucht nach einer exakten Übereinstimmung zwischen einer Suchabfrage und indizierten Begriffen oder Schlüsselwörtern.
**Um lexikalische Suchfelder zu konfigurieren**
1. Wählen Sie im Abschnitt **Lexikalische Suchfelder** die Option **Suchfeld hinzufügen** aus.
1. Geben Sie **unter Feldname** einen Namen ein.
1. Wählen Sie für **Datentyp** einen Typ aus der Liste aus.
1. Wählen Sie **Feld hinzufügen**
1. Nachdem Sie die Konfiguration der optionalen Felder für Ihre Sammlung abgeschlossen haben, wählen Sie **Weiter**. Überprüfen Sie Ihre Änderungen und wählen Sie **Senden**, um die Sammlung zu erstellen.
### Konfigurieren Sie Vektor-Suchfelder
**Um Vektor-Suchfelder zu konfigurieren**
1. Wählen Sie im Abschnitt **Vektorfelder** die Option **Vektorfeld hinzufügen** aus.
1. Geben Sie **unter Feldname** einen Namen ein.
1. Wählen Sie für **Engine** einen Typ aus der Liste aus.
1. Geben Sie die Anzahl der Dimensionen ein.
1. Wählen Sie für **Distance Metric** einen Typ aus der Liste aus.
1. Wenn Sie mit der Konfiguration der optionalen Felder für Ihre Sammlung fertig sind, wählen Sie **Weiter**.
1. Überprüfen Sie Ihre Änderungen und wählen Sie **Senden**, um die Sammlung zu erstellen.
# Eine Sammlung erstellen (CLI)
Verwenden Sie die Verfahren in diesem Abschnitt, um eine OpenSearch serverlose Sammlung mit dem AWS CLI zu erstellen.
**Topics**
+ [Bevor Sie beginnen](#serverless-create-cli-before-you-begin)
+ [Erstellen einer Sammlung](#serverless-create-cli-creating)
+ [Eine Sammlung mit einem automatischen Index zur semantischen Anreicherung erstellen](#serverless-create-cli-automatic-semantic-enrichment)
## Bevor Sie beginnen
Bevor Sie eine Sammlung mit dem erstellen AWS CLI, verwenden Sie das folgende Verfahren, um die erforderlichen Richtlinien für die Sammlung zu erstellen.
**Anmerkung**
Wenn Sie in jedem der folgenden Verfahren einen Namen für eine Sammlung angeben, muss der Name die folgenden Kriterien erfüllen:
ist einzigartig für Ihr Konto und AWS-Region
Enthält nur Kleinbuchstaben a–z, die Zahlen 0–9 und den Bindestrich (-)
Enthält zwischen 3 und 32 Zeichen
**Um die erforderlichen Richtlinien für eine Sammlung zu erstellen**
1. Öffnen Sie den folgenden Befehl AWS CLI und führen Sie ihn aus, um eine [Verschlüsselungsrichtlinie](serverless-encryption.md) mit einem Ressourcenmuster zu erstellen, das dem beabsichtigten Namen der Sammlung entspricht.
```
&aws opensearchserverless create-security-policy \
--name policy name \
--type encryption --policy "{\"Rules\":[{\"ResourceType\":\"collection\",\"Resource\":[\"collection\/collection name\"]}],\"AWSOwnedKey\":true}"
```
Wenn Sie beispielsweise Ihre Sammlungs-*Protokollanwendung* benennen möchten, können Sie eine Verschlüsselungsrichtlinie wie die folgende erstellen:
```
&aws opensearchserverless create-security-policy \
--name logs-policy \
--type encryption --policy "{\"Rules\":[{\"ResourceType\":\"collection\",\"Resource\":[\"collection\/logs-application\"]}],\"AWSOwnedKey\":true}"
```
Wenn Sie die Richtlinie für weitere Sammlungen verwenden möchten, können Sie die Regel breiter fassen, wie z. B. `collection/logs*` oder `collection/*`.
1. Führen Sie den folgenden Befehl aus, um die Netzwerkeinstellungen für die Sammlung mithilfe einer [Netzwerkrichtlinie](serverless-network.md) zu konfigurieren. Sie können Netzwerkrichtlinien erstellen, nachdem Sie eine Sammlung erstellt haben. Wir empfehlen jedoch, dies vorher zu tun.
```
&aws opensearchserverless create-security-policy \
--name policy name \
--type network --policy "[{\"Description\":\"description\",\"Rules\":[{\"ResourceType\":\"dashboard\",\"Resource\":[\"collection\/collection name\"]},{\"ResourceType\":\"collection\",\"Resource\":[\"collection\/collection name\"]}],\"AllowFromPublic\":true}]"
```
Unter Verwendung des vorherigen Beispiels für die *Protokollanwendung* könnten Sie die folgende Netzwerkrichtlinie erstellen:
```
&aws opensearchserverless create-security-policy \
--name logs-policy \
--type network --policy "[{\"Description\":\"Public access for logs collection\",\"Rules\":[{\"ResourceType\":\"dashboard\",\"Resource\":[\"collection\/logs-application\"]},{\"ResourceType\":\"collection\",\"Resource\":[\"collection\/logs-application\"]}],\"AllowFromPublic\":true}]"
```
## Erstellen einer Sammlung
Das folgende Verfahren verwendet die [CreateCollection](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateCollection.html)API-Aktion, um eine Sammlung des Typs `SEARCH` oder zu erstellen`TIMESERIES`. Wenn Sie in der Anfrage keinen Sammlungstyp angeben, wird standardmäßig `TIMESERIES` verwendet. Weitere Informationen zu diesen Typen finden Sie unter[Auswahl eines Sammlungstyps](serverless-overview.md#serverless-usecase). Informationen zum Erstellen einer *Vektorsuchsammlung* finden Sie unter[Arbeiten mit Vektorsuchsammlungen](serverless-vector-search.md).
Wenn Ihre Sammlung mit einem AWS-eigener Schlüssel, dem `kmsKeyArn` ist und `auto` nicht mit einem ARN verschlüsselt ist.
**Wichtig**
Nachdem Sie eine Sammlung erstellt haben, können Sie nicht darauf zugreifen, es sei denn, sie entspricht einer Datenzugriffsrichtlinie. Weitere Informationen finden Sie unter [Datenzugriffskontrolle für Amazon OpenSearch Serverless](serverless-data-access.md).
**So erstellen Sie eine Sammlung**
1. Vergewissern Sie sich, dass Sie die unter beschriebenen erforderlichen Richtlinien erstellt haben[Bevor Sie beginnen](#serverless-create-cli-before-you-begin).
1. Führen Sie den folgenden Befehl aus. `type`Geben Sie entweder `SEARCH` oder an`TIMESERIES`.
```
&aws opensearchserverless create-collection --name "collection name" --type collection type --description "description"
```
## Eine Sammlung mit einem automatischen Index zur semantischen Anreicherung erstellen
Gehen Sie wie folgt vor, um eine neue OpenSearch serverlose Sammlung mit einem Index zu erstellen, der für die [automatische](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-semantic-enrichment.html) semantische Anreicherung konfiguriert ist. Das Verfahren verwendet die OpenSearch Serverless [CreateIndex](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateIndex.html)API-Aktion.
**Um eine neue Sammlung mit einem Index zu erstellen, der für die automatische semantische Anreicherung konfiguriert ist**
Führen Sie den folgenden Befehl aus, um die Sammlung und einen Index zu erstellen.
```
&aws opensearchserverless create-index \
--region Region ID \
--id collection name --index-name index name \
--index-schema \
'mapping in json'
```
Ein Beispiel:
```
&aws opensearchserverless create-index \
--region us-east-1 \
--id conversation_history --index-name conversation_history_index \
--index-schema \
'{
"mappings": {
"properties": {
"age": {
"type": "integer"
},
"name": {
"type": "keyword"
},
"user_description": {
"type": "text"
},
"conversation_history": {
"type": "text",
"semantic_enrichment": {
"status": "ENABLED",
// Specifies the sparse tokenizer for processing multi-lingual text
"language_option": "MULTI-LINGUAL",
// If embedding_field is provided, the semantic embedding field will be set to the given name rather than original field name + "_embedding"
"embedding_field": "conversation_history_user_defined"
}
},
"book_title": {
"type": "text",
"semantic_enrichment": {
// No embedding_field is provided, so the semantic embedding field is set to "book_title_embedding"
"status": "ENABLED",
"language_option": "ENGLISH"
}
},
"abstract": {
"type": "text",
"semantic_enrichment": {
// If no language_option is provided, it will be set to English.
// No embedding_field is provided, so the semantic embedding field is set to "abstract_embedding"
"status": "ENABLED"
}
}
}
}
}'
```
# Zugreifen auf OpenSearch Dashboards
Nachdem Sie eine Sammlung mit dem erstellt haben AWS-Managementkonsole, können Sie zur OpenSearch Dashboard-URL der Sammlung navigieren. Sie finden die Dashboard-URL, indem Sie im linken Navigationsbereich **Sammlungen** und dann die Sammlung auswählen, um die zugehörige Detailseite zu öffnen. Die URL nimmt das Format `https://dashboards.us-east-1.aoss.amazonaws.com/_login/?collectionId=07tjusf2h91cunochc` an. Sobald Sie zur URL navigieren, melden Sie sich automatisch bei Dashboards an.
Wenn Sie die OpenSearch Dashboard-URL bereits verfügbar haben, aber nicht auf der sind AWS-Managementkonsole, wird beim Aufrufen der Dashboard-URL über den Browser zur Konsole weitergeleitet. Sobald Sie Ihre AWS Anmeldeinformationen eingegeben haben, melden Sie sich automatisch bei Dashboards an. Informationen zum Zugriff auf Sammlungen für SAML finden Sie unter [Zugreifen auf OpenSearch Dashboards](serverless-saml.md#serverless-saml-dashboards) mit SAML.
Das Timeout der OpenSearch Dashboard-Konsole beträgt eine Stunde und ist nicht konfigurierbar.
**Anmerkung**
Am 10. Mai 2023 OpenSearch wurde ein gemeinsamer globaler Endpunkt für OpenSearch Dashboards eingeführt. Sie können jetzt im Browser mit einer URL, die das Format annimmt, zu OpenSearch Dashboards navigieren. `https://dashboards.us-east-1.aoss.amazonaws.com/_login/?collectionId=07tjusf2h91cunochc` Um die Abwärtskompatibilität zu gewährleisten, werden wir die bestehenden sammlungsspezifischen OpenSearch Dashboard-Endpunkte weiterhin mit diesem Format unterstützen. `https://07tjusf2h91cunochc.us-east-1.aoss.amazonaws.com/_dashboards`
# Anzeigen von Sammlungen
Sie können die vorhandenen Sammlungen in Ihrem AWS-Konto auf der Registerkarte **Sammlungen** der Amazon OpenSearch Service-Konsole einsehen.
Um Sammlungen zusammen mit ihren Sammlungen aufzulisten IDs, senden Sie eine [ListCollections](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_ListCollections.html)Anfrage.
```
&aws opensearchserverless list-collections
```
**Beispielantwort**
```
{
"collectionSummaries":[
{
"arn":"arn:aws:aoss:us-east-1:123456789012:collection/07tjusf2h91cunochc",
"id":"07tjusf2h91cunochc",
"name":"my-collection",
"status":"CREATING"
}
]
}
```
Um die Suchergebnisse einzuschränken, verwenden Sie Sammlungsfilter. Diese Anfrage filtert die Antwort auf Sammlungen im `ACTIVE`-Zustand:
```
&aws opensearchserverless list-collections --collection-filters '{ "status": "ACTIVE" }'
```
Um detailliertere Informationen zu einer oder mehreren Sammlungen, einschließlich des OpenSearch Endpunkts und des OpenSearch Dashboards-Endpunkts, zu erhalten, senden Sie eine [BatchGetCollection](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_BatchGetCollection.html)Anfrage:
```
&aws opensearchserverless batch-get-collection --ids "07tjusf2h91cunochc" "1iu5usc4rame"
```
**Anmerkung**
Sie können `--names` oder `--ids` in die Anfrage aufnehmen, aber nicht beides.
**Beispielantwort**
```
{
"collectionDetails":[
{
"id": "07tjusf2h91cunochc",
"name": "my-collection",
"status": "ACTIVE",
"type": "SEARCH",
"description": "",
"arn": "arn:aws:aoss:us-east-1:123456789012:collection/07tjusf2h91cunochc",
"kmsKeyArn": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"createdDate": 1667446262828,
"lastModifiedDate": 1667446300769,
"collectionEndpoint": "https://07tjusf2h91cunochc.us-east-1.aoss.amazonaws.com",
"dashboardEndpoint": "https://07tjusf2h91cunochc.us-east-1.aoss.amazonaws.com/_dashboards"
},
{
"id": "178ukvtg3i82dvopdid",
"name": "another-collection",
"status": "ACTIVE",
"type": "TIMESERIES",
"description": "",
"arn": "arn:aws:aoss:us-east-1:123456789012:collection/178ukvtg3i82dvopdid",
"kmsKeyArn": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"createdDate": 1667446262828,
"lastModifiedDate": 1667446300769,
"collectionEndpoint": "https://178ukvtg3i82dvopdid.us-east-1.aoss.amazonaws.com",
"dashboardEndpoint": "https://178ukvtg3i82dvopdid.us-east-1.aoss.amazonaws.com/_dashboards"
}
],
"collectionErrorDetails":[]
}
```
# Löschen von Sammlungen
Beim Löschen einer Sammlung werden alle Daten und Indizes in der Sammlung gelöscht. Sie können Sammlungen nicht wiederherstellen, nachdem Sie diese gelöscht haben.
**So löschen Sie eine Sammlung über die Konsole**
1. Wählen Sie im Bereich **Sammlungen** der Amazon OpenSearch Service-Konsole die Sammlung aus, die Sie löschen möchten.
1. Wählen Sie **Löschen** und bestätigen Sie das Löschen.
Um eine Sammlung mit dem zu löschen AWS CLI, senden Sie eine [DeleteCollection](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_DeleteCollection.html)Anfrage:
```
&aws opensearchserverless delete-collection --id 07tjusf2h91cunochc
```
**Beispielantwort**
```
{
"deleteCollectionDetail":{
"id":"07tjusf2h91cunochc",
"name":"my-collection",
"status":"DELETING"
}
}
```
# Arbeiten mit Vektorsuchsammlungen
Der *Sammlungstyp der Vektorsuche* in OpenSearch Serverless bietet eine skalierbare und leistungsstarke Funktion zur Ähnlichkeitssuche. Es macht es Ihnen leicht, moderne, erweiterte Sucherlebnisse für maschinelles Lernen (ML) und Anwendungen für generative künstliche Intelligenz (KI) zu entwickeln, ohne die zugrunde liegende Vektordatenbankinfrastruktur verwalten zu müssen.
Zu den Anwendungsfällen für Vektorsuchsammlungen gehören Bildersuchen, Dokumentensuchen, Musikabruf, Produktempfehlungen, Videosuchen, standortbezogene Suchen, Betrugserkennung und Anomalieerkennung.
Da die Vektor-Engine für OpenSearch Serverless auf der [Suchfunktion k-Nearest Neighbor (k-NN)](https://opensearch.org/docs/latest/search-plugins/knn/index/) basiert OpenSearch, erhalten Sie dieselbe Funktionalität mit der Einfachheit einer serverlosen Umgebung. [Die Engine unterstützt die k-NN-Plug-in-API.](https://opensearch.org/docs/latest/search-plugins/knn/api/) Mit diesen Vorgängen können Sie Volltextsuche, erweiterte Filterung, Aggregationen, Geodatenabfragen, verschachtelte Abfragen zum schnelleren Abrufen von Daten und verbesserte Suchergebnisse nutzen.
Die Vektor-Engine bietet Entfernungsmetriken wie euklidische Entfernung, Kosinusähnlichkeit und Punktproduktähnlichkeit und kann 16.000 Dimensionen aufnehmen. Sie können Felder mit verschiedenen Datentypen für Metadaten wie Zahlen, Boolesche Werte, Datumsangaben, Stichwörter und Geopunkte speichern. Sie können auch Felder mit Text für beschreibende Informationen speichern, um gespeicherten Vektoren mehr Kontext zu verleihen. Die gemeinsame Zuordnung der Datentypen reduziert die Komplexität, erhöht die Wartbarkeit und vermeidet Datenduplizierungen, Probleme mit der Versionskompatibilität und Lizenzprobleme.
**Anmerkung**
Notieren Sie die folgenden Informationen:
Amazon OpenSearch Serverless unterstützt die skalare 16-Bit-Quantisierung von Faiss, mit der Konvertierungen zwischen 32-Bit-Floating- und 16-Bit-Vektoren durchgeführt werden können. [Weitere Informationen finden Sie unter Faiss-16-Bit-Skalarquantisierung.](https://opensearch.org/docs/latest/search-plugins/knn/knn-vector-quantization/#faiss-16-bit-scalar-quantization) Sie können auch binäre Vektoren verwenden, um die Speicherkosten zu senken. Weitere Informationen finden Sie unter [Binäre Vektoren](https://opensearch.org/docs/latest/field-types/supported-field-types/knn-vector#binary-vectors).
Amazon OpenSearch Serverless unterstützt die festplattenbasierte Vektorsuche. Die festplattenbasierte Vektorsuche reduziert die Betriebskosten für Vektor-Workloads in Umgebungen mit wenig Arbeitsspeicher erheblich. Weitere Informationen finden Sie unter [Festplattenbasierte](https://docs.opensearch.org/2.19/vector-search/optimizing-storage/disk-based-vector-search/) Vektorsuche.
## Erste Schritte mit Sammlungen für die Vektorsuche
In diesem Tutorial führen Sie die folgenden Schritte aus, um Vektoreinbettungen in Echtzeit zu speichern, zu suchen und abzurufen:
1. [Konfigurieren von Berechtigungen](#serverless-vector-permissions)
1. [Erstellen einer Sammlung](#serverless-vector-create)
1. [Hochladen und Suchen von Daten](#serverless-vector-index)
1. [Löschen der Sammlung](#serverless-vector-delete)
### Schritt 1: Konfigurieren von Berechtigungen
Um dieses Tutorial abzuschließen (und OpenSearch Serverless im Allgemeinen zu verwenden), benötigen Sie die richtigen AWS Identity and Access Management (IAM-) Berechtigungen. In diesem Tutorial erstellen Sie eine Sammlung, laden Daten hoch, suchen nach Daten und löschen dann die Sammlung.
Ihr Benutzer oder Ihre Rolle muss über eine angefügte [identitätsbasierte Richtlinie](security-iam-serverless.md#security-iam-serverless-id-based-policies) mit den folgenden Mindestberechtigungen verfügen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aoss:CreateCollection",
"aoss:ListCollections",
"aoss:BatchGetCollection",
"aoss:DeleteCollection",
"aoss:CreateAccessPolicy",
"aoss:ListAccessPolicies",
"aoss:UpdateAccessPolicy",
"aoss:CreateSecurityPolicy",
"iam:ListUsers",
"iam:ListRoles"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Weitere Informationen zu OpenSearch serverlosen IAM-Berechtigungen finden Sie unter. [Identity and Access Management für Amazon OpenSearch Serverless](security-iam-serverless.md)
### Schritt 2: Erstellen einer Sammlung
Eine *Sammlung* ist eine Gruppe von OpenSearch Indizes, die zusammenarbeiten, um eine bestimmte Arbeitslast oder einen bestimmten Anwendungsfall zu unterstützen.
**Um eine OpenSearch serverlose Sammlung zu erstellen**
1. Öffnen Sie die Amazon OpenSearch Service-Konsole zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home ).
1. Wählen Sie im linken Navigationsbereich **Collections** (Sammlungen) und wählen Sie **Create collection** (Sammlung erstellen) aus.
1. Nennen Sie das **Sammelgehäuse**.
1. Wählen Sie als Sammlungstyp die Option **Vektorsuche** aus. Weitere Informationen finden Sie unter [Auswahl eines Sammlungstyps](serverless-overview.md#serverless-usecase).
1. Deaktivieren Sie unter **Bereitstellungstyp** die **Option Redundanz aktivieren (aktive Replikate**). Dadurch wird eine Sammlung im Entwicklungs- oder Testmodus erstellt und die Anzahl der OpenSearch Recheneinheiten (OCUs) in Ihrer Sammlung auf zwei reduziert. Wenn Sie in diesem Tutorial eine Produktionsumgebung erstellen möchten, lassen Sie das Kontrollkästchen aktiviert.
1. Wählen Sie unter **Sicherheit** die Option **Einfach erstellen** aus, um Ihre Sicherheitskonfiguration zu optimieren. Alle Daten in der Vector Engine werden bei der Übertragung und im Ruhezustand standardmäßig verschlüsselt. Die Vektor-Engine unterstützt detaillierte IAM-Berechtigungen, sodass Sie definieren können, wer Verschlüsselungen, Netzwerke, Sammlungen und Indizes erstellen, aktualisieren und löschen darf.
1. Wählen Sie **Weiter** aus.
1. Überprüfen Sie Ihre Sammlungseinstellungen und wählen Sie **Submit** (Senden) aus. Warten Sie einige Minuten, bis der Sammlungsstatus `Active` erreicht ist.
### Schritt 3: Daten hochladen und suchen
Ein *Index* ist eine Sammlung von Dokumenten mit einem gemeinsamen Datenschema, das es Ihnen ermöglicht, Ihre Vektoreinbettungen und andere Felder zu speichern, zu suchen und abzurufen. [https://www.postman.com/downloads/](https://www.postman.com/downloads/) In diesem Tutorial werden Dev Tools verwendet.
**Um Daten in der Wohnsammlung zu indizieren und zu suchen**
1. Um einen einzigen Index für Ihre neue Sammlung zu erstellen, senden Sie die folgende Anfrage an die [Dev Tools-Konsole](https://opensearch.org/docs/latest/dashboards/dev-tools/index-dev/). Standardmäßig wird dadurch ein Index mit einer `nmslib` Engine und einer euklidischen Distanz erstellt.
```
PUT housing-index
{
"settings": {
"index.knn": true
},
"mappings": {
"properties": {
"housing-vector": {
"type": "knn_vector",
"dimension": 3
},
"title": {
"type": "text"
},
"price": {
"type": "long"
},
"location": {
"type": "geo_point"
}
}
}
}
```
1. Um ein einzelnes Dokument in den *Housing-Index* zu indexieren, senden Sie die folgende Anfrage:
```
POST housing-index/_doc
{
"housing-vector": [
10,
20,
30
],
"title": "2 bedroom in downtown Seattle",
"price": "2800",
"location": "47.71, 122.00"
}
```
1. Um nach Immobilien zu suchen, die denen in Ihrem Index ähnlich sind, senden Sie die folgende Abfrage:
```
GET housing-index/_search
{
"size": 5,
"query": {
"knn": {
"housing-vector": {
"vector": [
10,
20,
30
],
"k": 5
}
}
}
}
```
### Schritt 4: Sammlung löschen
Da die *Wohnungssammlung* zu Testzwecken dient, sollten Sie sie unbedingt löschen, wenn Sie mit dem Experimentieren fertig sind.
**Um eine OpenSearch serverlose Sammlung zu löschen**
1. Gehen Sie zurück zur **Amazon OpenSearch Service-Konsole**.
1. Wählen Sie im linken Navigationsbereich **Sammlungen** und dann die **Eigenschaftensammlung** aus.
1. Wählen Sie **Löschen** und bestätigen Sie den Löschvorgang.
## Gefilterte Suche
Sie können Filter verwenden, um Ihre semantischen Suchergebnisse zu verfeinern. Um einen Index zu erstellen und eine gefilterte Suche in Ihren Dokumenten durchzuführen, ersetzen [Sie die folgenden Anweisungen anstelle von Daten hochladen und suchen](#serverless-vector-index) aus dem vorherigen Tutorial. Die anderen Schritte bleiben gleich. Weitere Informationen zu Filtern finden Sie unter [k-NN-Suche mit Filtern](https://opensearch.org/docs/latest/search-plugins/knn/filter-search-knn/).
**Um Daten in der Wohnsammlung zu indizieren und zu durchsuchen**
1. Um einen einzigen Index für Ihre Sammlung zu erstellen, senden Sie die folgende Anfrage an die [Dev Tools-Konsole](https://opensearch.org/docs/latest/dashboards/dev-tools/index-dev/):
```
PUT housing-index-filtered
{
"settings": {
"index.knn": true
},
"mappings": {
"properties": {
"housing-vector": {
"type": "knn_vector",
"dimension": 3,
"method": {
"engine": "faiss",
"name": "hnsw"
}
},
"title": {
"type": "text"
},
"price": {
"type": "long"
},
"location": {
"type": "geo_point"
}
}
}
}
```
1. Um ein einzelnes Dokument zu indexieren *housing-index-filtered*, senden Sie die folgende Anfrage:
```
POST housing-index-filtered/_doc
{
"housing-vector": [
10,
20,
30
],
"title": "2 bedroom in downtown Seattle",
"price": "2800",
"location": "47.71, 122.00"
}
```
1. Um nach Ihren Daten nach einer Wohnung in Seattle zu einem bestimmten Preis und in einer bestimmten Entfernung von einem geografischen Punkt zu suchen, senden Sie die folgende Anfrage:
```
GET housing-index-filtered/_search
{
"size": 5,
"query": {
"knn": {
"housing-vector": {
"vector": [
0.1,
0.2,
0.3
],
"k": 5,
"filter": {
"bool": {
"must": [
{
"query_string": {
"query": "Find me 2 bedroom apartment in Seattle under $3000 ",
"fields": [
"title"
]
}
},
{
"range": {
"price": {
"lte": 3000
}
}
},
{
"geo_distance": {
"distance": "100miles",
"location": {
"lat": 48,
"lon": 121
}
}
}
]
}
}
}
}
}
}
```
## Workloads im Milliardenbereich
Vektorsuchsammlungen unterstützen Workloads mit Milliarden von Vektoren. Sie müssen zu Skalierungszwecken keine Neuindizierung durchführen, da Auto Scaling dies für Sie erledigt. Wenn Sie über Millionen von Vektoren (oder mehr) mit einer hohen Anzahl von Dimensionen verfügen und mehr als 200 benötigen OCUs, wenden Sie sich an den [AWS Support](https://aws.amazon.com/premiumsupport/), um die maximale Anzahl an OpenSearch Recheneinheiten (OCUs) für Ihr Konto zu erhöhen.
## Einschränkungen
Für Sammlungen der Vektorsuche gelten die folgenden Einschränkungen:
+ Vektorsuchsammlungen unterstützen die Apache Lucene ANN-Engine nicht.
+ Sammlungen mit Vektorsuche unterstützen nur den HNSW-Algorithmus mit Faiss und nicht IVF und IVFQ.
+ Sammlungen für die Vektorsuche unterstützen die API-Operationen Warmup, Statistik und Modelltraining nicht.
+ Sammlungen für die Vektorsuche unterstützen keine Inline- oder gespeicherten Skripts.
+ Informationen zur Indexanzahl sind in den Sammlungen AWS-Managementkonsole für die Vektorsuche nicht verfügbar.
+ Das Aktualisierungsintervall für Indizes für Vektorsuchsammlungen beträgt 60 Sekunden.
## Nächste Schritte
Da Sie nun wissen, wie Sie eine Vektorsuchsammlung erstellen und Daten indexieren, möchten Sie vielleicht einige der folgenden Übungen ausprobieren:
+ Verwenden Sie den OpenSearch Python-Client, um mit Vektorsuchsammlungen zu arbeiten. Sehen Sie sich dieses Tutorial unter an [GitHub](https://github.com/opensearch-project/opensearch-py/blob/main/guides/plugins/knn.md).
+ Verwenden Sie den OpenSearch Java-Client, um mit Vektorsuchsammlungen zu arbeiten. Sehen Sie sich dieses Tutorial unter an [GitHub](https://github.com/opensearch-project/opensearch-java/blob/main/guides/plugins/knn.md).
+ Für LangChain die Verwendung OpenSearch als Vektorspeicher eingerichtet. LangChain ist ein Open-Source-Framework für die Entwicklung von Anwendungen, die auf Sprachmodellen basieren. Weitere Informationen finden Sie in der [LangChain -Dokumentation](https://python.langchain.com/docs/integrations/vectorstores/opensearch).
# Verwenden von Datenlebenszyklusrichtlinien mit Amazon OpenSearch Serverless
Eine Datenlebenszyklusrichtlinie in Amazon OpenSearch Serverless definiert, wie lange OpenSearch Serverless Daten in einer Zeitreihenerfassung aufbewahrt. Sie können beispielsweise eine Richtlinie festlegen, nach der Protokolldaten 30 Tage lang aufbewahrt werden, bevor OpenSearch Serverless sie löscht.
Sie können für jeden Index innerhalb jeder Zeitreihensammlung in Ihrem eine separate Richtlinie konfigurieren. AWS-Konto OpenSearch Serverless bewahrt Dokumente mindestens für die Dauer auf, die Sie in der Richtlinie angeben. Anschließend werden die Dokumente automatisch nach bestem Wissen und Gewissen gelöscht, in der Regel innerhalb von 48 Stunden oder innerhalb von 10% der Aufbewahrungsfrist, je nachdem, welcher Zeitraum länger ist.
Nur Zeitreihenerfassungen unterstützen Richtlinien für den Datenlebenszyklus. Sammlungen mit Such- und Vektorsuche tun dies nicht.
**Topics**
+ [Richtlinien für den Datenlebenszyklus](#serverless-lifecycle-policies)
+ [Erforderliche Berechtigungen](#serverless-lifecycle-permissions)
+ [Vorrang der Richtlinie](#serverless-lifecycle-precedence)
+ [Richtliniensyntax](#serverless-lifecycle-syntax)
+ [Erstellung von Richtlinien für den Datenlebenszyklus](#serverless-lifecycle-create)
+ [Aktualisierung der Richtlinien für den Datenlebenszyklus](#serverless-lifecycle-update)
+ [Löschen von Datenlebenszyklus-Richtlinien](#serverless-lifecycle-delete)
## Richtlinien für den Datenlebenszyklus
In einer Datenlebenszyklus-Richtlinie geben Sie eine Reihe von Regeln an. Mit der Datenlebenszyklus-Richtlinie können Sie die Aufbewahrungsdauer von Daten verwalten, die Indizes oder Sammlungen zugeordnet sind, die diesen Regeln entsprechen. Diese Regeln definieren den Aufbewahrungszeitraum für Daten in einem Index oder einer Gruppe von Indizes. Jede Regel besteht aus einem Ressourcentyp (`index`), einem Aufbewahrungszeitraum und einer Liste von Ressourcen (Indizes), für die der Aufbewahrungszeitraum gilt.
Sie definieren den Aufbewahrungszeitraum mit einem der folgenden Formate:
+ `"MinIndexRetention": "24h"`— OpenSearch Serverless speichert Indexdaten für den angegebenen Zeitraum in Stunden oder Tagen. Sie können für diesen Zeitraum einen Zeitraum von `24h` bis `3650d` festlegen.
+ `"NoMinIndexRetention": true`— OpenSearch Serverless speichert Indexdaten auf unbestimmte Zeit.
In der folgenden Beispielrichtlinie legt die erste Regel eine Aufbewahrungsfrist von 15 Tagen für alle Indizes innerhalb der Sammlung fest. `marketing` Die zweite Regel legt fest, dass für alle Indexnamen, die `log` in der `finance` Sammlung mit 1 beginnen, keine Aufbewahrungsfrist festgelegt ist und dass sie auf unbestimmte Zeit aufbewahrt werden.
```
{
"lifeCyclePolicyDetail": {
"type": "retention",
"name": "my-policy",
"policyVersion": "MTY4ODI0NTM2OTk1N18x",
"policy": {
"Rules": [
{
"ResourceType":"index",
"Resource":[
"index/marketing/*"
],
"MinIndexRetention": "15d"
},
{
"ResourceType":"index",
"Resource":[
"index/finance/log*"
],
"NoMinIndexRetention": true
}
]
},
"createdDate": 1688245369957,
"lastModifiedDate": 1688245369957
}
}
```
In der folgenden Beispiel-Richtlinienregel speichert OpenSearch Serverless die Daten in allen Indizes für alle Sammlungen innerhalb des Kontos auf unbestimmte Zeit.
```
{
"Rules": [
{
"ResourceType": "index",
"Resource": [
"index/*/*"
]
}
],
"NoMinIndexRetention": true
}
```
## Erforderliche Berechtigungen
Lifecycle-Richtlinien für OpenSearch Serverless verwenden die folgenden AWS Identity and Access Management (IAM-) Berechtigungen. Sie können IAM-Bedingungen angeben, um Benutzer auf Datenlebenszyklus-Richtlinien zu beschränken, die bestimmten Sammlungen und Indizes zugeordnet sind.
+ `aoss:CreateLifecyclePolicy`— Erstellen Sie eine Datenlebenszyklus-Richtlinie.
+ `aoss:ListLifecyclePolicies`— Listet alle Datenlebenszyklus-Richtlinien im aktuellen Konto auf.
+ `aoss:BatchGetLifecyclePolicy`— Zeigen Sie eine Datenlebenszyklus-Richtlinie an, die einem Konto- oder Richtliniennamen zugeordnet ist.
+ `aoss:BatchGetEffectiveLifecyclePolicy`— Eine Datenlebenszyklus-Richtlinie für eine bestimmte Ressource anzeigen (`index`ist die einzige unterstützte Ressource).
+ `aoss:UpdateLifecyclePolicy`— Ändern Sie eine bestimmte Datenlebenszyklus-Richtlinie und ändern Sie deren Aufbewahrungseinstellung oder Ressource.
+ `aoss:DeleteLifecyclePolicy`— Löscht eine Datenlebenszyklus-Richtlinie.
Die folgende identitätsbasierte Zugriffsrichtlinie ermöglicht es einem Benutzer, alle Datenlebenszyklusrichtlinien einzusehen und Richtlinien anhand des Ressourcenmusters zu aktualisieren: `index/application-logs`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aoss:UpdateLifecyclePolicy"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aoss:collection": "application-logs"
}
}
},
{
"Effect": "Allow",
"Action": [
"aoss:ListLifecyclePolicies",
"aoss:BatchGetLifecyclePolicy"
],
"Resource": "*"
}
]
}
```
------
## Vorrang der Richtlinie
Es kann Situationen geben, in denen sich die Richtlinienregeln für den Datenlebenszyklus innerhalb oder zwischen Richtlinien überschneiden. In diesem Fall überschreibt eine Regel mit einem spezifischeren Ressourcennamen oder einem spezifischeren Muster für einen Index eine Regel mit einem allgemeineren Ressourcennamen oder Muster für alle Indizes, die *beiden* Regeln gemeinsam sind.
In der folgenden Richtlinie gelten beispielsweise zwei Regeln für einen Index. `index/sales/logstash` In diesem Fall hat die zweite Regel Vorrang, da sie `index/sales/log*` am längsten entspricht`index/sales/logstash`. Daher legt OpenSearch Serverless keine Aufbewahrungsfrist für den Index fest.
```
{
"Rules":[
{
"ResourceType":"index",
"Resource":[
"index/sales/*",
],
"MinIndexRetention": "15d"
},
{
"ResourceType":"index",
"Resource":[
"index/sales/log*",
],
"NoMinIndexRetention": true
}
]
}
```
## Richtliniensyntax
Geben Sie eine oder mehrere *Regeln* an. Diese Regeln definieren die Datenlebenszykluseinstellungen für Ihre OpenSearch Serverless-Indizes.
Jede Regel enthält die folgenden Elemente. Sie können `NoMinIndexRetention` in jeder Regel entweder `MinIndexRetention` oder angeben, aber nicht beides.
| Element | Description |
| --- | --- |
| Ressourcentyp | Der Ressourcentyp, für den die Regel gilt. Die einzige unterstützte Option für Datenlebenszyklus-Richtlinien istindex. |
| Ressource | Eine Liste von and/or Mustern mit Ressourcennamen. Muster bestehen aus einem Präfix und einem Platzhalter (\$1), sodass die zugehörigen Berechtigungen auf mehrere Ressourcen angewendet werden können. Beispiel, index//. |
| MinIndexRetention | Der Mindestzeitraum, in Tagen (d) oder Stunden (h), für die Aufbewahrung des Dokuments im Index. Die Untergrenze ist 24h und die Obergrenze ist3650d. |
| NoMinIndexRetention | Wenntrue, OpenSearch Serverless speichert Dokumente auf unbestimmte Zeit. |
Im folgenden Beispiel gilt die erste Regel für alle Indizes unter dem `autoparts-inventory` Muster (`index/autoparts-inventory/*`) und erfordert, dass Daten mindestens 20 Tage lang aufbewahrt werden, bevor Aktionen wie Löschen oder Archivieren ausgeführt werden können.
Die zweite Regel zielt auf Indizes ab, die dem `auto*/gear` Muster (`index/auto*/gear`) entsprechen, und legt eine Mindestaufbewahrungsdauer von 24 Stunden fest.
Die dritte Regel gilt speziell für den `tires` Index und hat keine Mindestaufbewahrungsdauer. Das bedeutet, dass Daten in diesem Index sofort oder auf der Grundlage anderer Kriterien gelöscht oder archiviert werden können. Diese Regeln helfen bei der Verwaltung der Aufbewahrung von Indexdaten mit unterschiedlichen Aufbewahrungszeiten oder ohne Aufbewahrungsbeschränkungen.
```
{
"Rules": [
{
"ResourceType": "index",
"Resource": [
"index/autoparts-inventory/*"
],
"MinIndexRetention": "20d"
},
{
"ResourceType": "index",
"Resource": [
"index/auto*/gear"
],
"MinIndexRetention": "24h"
},
{
"ResourceType": "index",
"Resource": [
"index/autoparts-inventory/tires"
],
"NoMinIndexRetention": true
}
]
}
```
## Erstellung von Richtlinien für den Datenlebenszyklus
Um eine Datenlebenszyklus-Richtlinie zu erstellen, definieren Sie Regeln, die die Aufbewahrung und Löschung Ihrer Daten auf der Grundlage bestimmter Kriterien regeln.
### Konsole
**Um eine Datenlebenszyklus-Richtlinie zu erstellen**
1. Melden Sie sich zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home) bei der Amazon OpenSearch Service-Konsole an.
1. Wählen Sie im linken Navigationsbereich **Data Lifecycle Policies** aus.
1. Wählen Sie **Datenlebenszyklus-Richtlinie erstellen** aus.
1. Geben Sie einen aussagekräftigen Namen für die Richtlinie ein.
1. Wählen Sie **unter Datenlebenszyklus** die Option **Hinzufügen** und wählen Sie die Sammlungen und Indizes für die Richtlinie aus.
Wählen Sie zunächst die Sammlungen aus, zu denen die Indizes gehören. Wählen Sie dann entweder den Index aus der Liste aus oder geben Sie ein Indexmuster ein. Um alle Sammlungen als Quellen auszuwählen, geben Sie ein Sternchen (`*`) ein.
1. Für die **Datenaufbewahrung** können Sie entweder wählen, ob die Daten auf unbestimmte Zeit aufbewahrt werden sollen, oder die Option **Unbegrenzt (niemals löschen)** deaktivieren und einen Zeitraum angeben, nach dem OpenSearch Serverless die Daten automatisch aus Amazon S3 löscht.
1. **Wählen Sie **Speichern** und dann Erstellen.**
### AWS CLI
Um eine Datenlebenszyklus-Richtlinie mit dem zu erstellen AWS CLI, verwenden Sie den [create-lifecycle-policy](https://docs.aws.amazon.com/cli/latest/reference/opensearchserverless/create-lifecycle-policy.html)Befehl mit den folgenden Optionen:
+ `--name`— Der Name der Richtlinie.
+ `--type`— Die Art der Richtlinie. Derzeit ist der einzig verfügbare Wert`retention`.
+ `--policy`— Die Datenlebenszyklus-Richtlinie. Dieser Parameter akzeptiert sowohl Inline-Richtlinien als auch JSON-Dateien. Sie müssen Inline-Richtlinien als JSON-Escape-Zeichenfolge codieren. Verwenden Sie das Format`--policy file://my-policy.json`, um die Richtlinie in einer Datei bereitzustellen.
**Example**
```
aws opensearchserverless create-lifecycle-policy \
--name my-policy \
--type retention \
--policy "{\"Rules\":[{\"ResourceType\":\"index\",\"Resource\":[\"index/autoparts-inventory/*\"],\"MinIndexRetention\": \"81d\"},{\"ResourceType\":\"index\",\"Resource\":[\"index/sales/orders*\"],\"NoMinIndexRetention\":true}]}"
```
## Aktualisierung der Richtlinien für den Datenlebenszyklus
Um eine Datenlebenszyklus-Richtlinie zu aktualisieren, können Sie bestehende Regeln ändern, um Änderungen Ihrer Anforderungen an die Aufbewahrung oder Löschung von Daten widerzuspiegeln. Auf diese Weise können Sie Ihre Richtlinien an die Entwicklung Ihrer Datenverwaltungsanforderungen anpassen.
Zwischen der Aktualisierung der Richtlinie und dem Zeitpunkt, zu dem OpenSearch Serverless mit der Durchsetzung der neuen Aufbewahrungsfristen beginnt, kann es zu einer Verzögerung von einigen Minuten kommen.
### Konsole
**Um eine Datenlebenszyklus-Richtlinie zu aktualisieren**
1. Melden Sie sich zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home) bei der Amazon OpenSearch Service-Konsole an.
1. Wählen Sie im linken Navigationsbereich **Data Lifecycle Policies** aus.
1. Wählen Sie die Datenlebenszyklus-Richtlinie aus, die Sie aktualisieren möchten, und klicken Sie dann auf **Bearbeiten**.
1. Ändern Sie die Richtlinie mit dem visuellen Editor oder dem JSON-Editor.
1. Wählen Sie **Speichern**.
### AWS CLI
Verwenden Sie den [update-lifecycle-policy](https://docs.aws.amazon.com/cli/latest/reference/opensearchserverless/update-lifecycle-policy.html)Befehl AWS CLI, um eine Datenlebenszyklus-Richtlinie mithilfe von zu aktualisieren.
Sie müssen den `--policy-version` Parameter in die Anfrage aufnehmen. Sie können die Richtlinienversion mithilfe der [list-lifecycle-policies](https://docs.aws.amazon.com/cli/latest/reference/opensearchserverless/list-lifecycle-policies.html)- oder [batch-get-lifecycle-policy](https://docs.aws.amazon.com/cli/latest/reference/opensearchserverless/batch-get-lifecycle-policy.html)-Befehle abrufen. Wir empfehlen, die neueste Richtlinienversion einzubeziehen, um zu verhindern, dass versehentlich von anderen vorgenommene Änderungen überschrieben werden.
Mit der folgenden Anfrage wird eine Datenlebenszyklus-Richtlinie mit einem neuen JSON-Richtliniendokument aktualisiert.
**Example**
```
aws opensearchserverless update-lifecycle-policy \
--name my-policy \
--type retention \
--policy-version MTY2MzY5MTY1MDA3Ml8x \
--policy file://my-new-policy.json
```
## Löschen von Datenlebenszyklus-Richtlinien
Wenn Sie eine Datenlebenszyklus-Richtlinie löschen, OpenSearch erzwingt Serverless sie nicht mehr für übereinstimmende Indizes.
### Konsole
**Um eine Datenlebenszyklus-Richtlinie zu löschen**
1. Melden Sie sich zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home) bei der Amazon OpenSearch Service-Konsole an.
1. Wählen Sie im linken Navigationsbereich **Data Lifecycle Policies** aus.
1. Wählen Sie die Richtlinie aus, die Sie löschen möchten, wählen Sie dann **Löschen** und bestätigen Sie den Löschvorgang.
### AWS CLI
Verwenden Sie den [delete-lifecycle-policy](https://docs.aws.amazon.com/cli/latest/reference/opensearchserverless/delete-lifecycle-policy.html)Befehl AWS CLI, um eine Datenlebenszyklus-Richtlinie mithilfe von zu löschen.
**Example**
```
aws opensearchserverless delete-lifecycle-policy \
--name my-policy \
--type retention
```
# Verwenden von AWS SDKs zur Interaktion mit Amazon OpenSearch Serverless
Dieser Abschnitt enthält Beispiele für die Verwendung von für AWS SDKs die Interaktion mit Amazon OpenSearch Serverless. Diese Codebeispiele zeigen, wie Sicherheitsrichtlinien und Sammlungen erstellt und Sammlungen abgefragt werden.
**Anmerkung**
Wir sind gerade dabei, diese Codebeispiele zu erstellen. Wenn Sie ein Codebeispiel (Java, Go usw.) beitragen möchten, öffnen Sie bitte eine Pull-Anfrage direkt im [GitHub Repository](https://github.com/awsdocs/amazon-opensearch-service-developer-guide/blob/master/doc_source/serverless-sdk.md).
**Topics**
+ [Python](#serverless-sdk-python)
+ [JavaScript](#serverless-sdk-javascript)
## Python
Das folgende Beispielskript verwendet das [AWS SDK für Python (Boto3)](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/opensearchserverless.html) sowie den [opensearch-py](https://pypi.org/project/opensearch-py/)-Client für Python, um Verschlüsselungs-, Netzwerk- und Datenzugriffsrichtlinien zu erstellen, eine passende Sammlung zu erstellen und einige Beispieldaten zu indizieren.
Führen Sie die folgenden Befehle aus, um die erforderlichen Abhängigkeiten zu installieren:
```
pip install opensearch-py
pip install boto3
pip install botocore
pip install requests-aws4auth
```
Ersetzen Sie innerhalb des Skripts das `Principal`-Element durch den Amazon-Ressourcennamen (ARN) des Benutzers oder der Rolle, die die Anfrage signiert. Optional können Sie auch das `region` ändern.
```
from opensearchpy import OpenSearch, RequestsHttpConnection
from requests_aws4auth import AWS4Auth
import boto3
import botocore
import time
# Build the client using the default credential configuration.
# You can use the CLI and run 'aws configure' to set access key, secret
# key, and default region.
client = boto3.client('opensearchserverless')
service = 'aoss'
region = 'us-east-1'
credentials = boto3.Session().get_credentials()
awsauth = AWS4Auth(credentials.access_key, credentials.secret_key,
region, service, session_token=credentials.token)
def createEncryptionPolicy(client):
"""Creates an encryption policy that matches all collections beginning with tv-"""
try:
response = client.create_security_policy(
description='Encryption policy for TV collections',
name='tv-policy',
policy="""
{
\"Rules\":[
{
\"ResourceType\":\"collection\",
\"Resource\":[
\"collection\/tv-*\"
]
}
],
\"AWSOwnedKey\":true
}
""",
type='encryption'
)
print('\nEncryption policy created:')
print(response)
except botocore.exceptions.ClientError as error:
if error.response['Error']['Code'] == 'ConflictException':
print(
'[ConflictException] The policy name or rules conflict with an existing policy.')
else:
raise error
def createNetworkPolicy(client):
"""Creates a network policy that matches all collections beginning with tv-"""
try:
response = client.create_security_policy(
description='Network policy for TV collections',
name='tv-policy',
policy="""
[{
\"Description\":\"Public access for TV collection\",
\"Rules\":[
{
\"ResourceType\":\"dashboard\",
\"Resource\":[\"collection\/tv-*\"]
},
{
\"ResourceType\":\"collection\",
\"Resource\":[\"collection\/tv-*\"]
}
],
\"AllowFromPublic\":true
}]
""",
type='network'
)
print('\nNetwork policy created:')
print(response)
except botocore.exceptions.ClientError as error:
if error.response['Error']['Code'] == 'ConflictException':
print(
'[ConflictException] A network policy with this name already exists.')
else:
raise error
def createAccessPolicy(client):
"""Creates a data access policy that matches all collections beginning with tv-"""
try:
response = client.create_access_policy(
description='Data access policy for TV collections',
name='tv-policy',
policy="""
[{
\"Rules\":[
{
\"Resource\":[
\"index\/tv-*\/*\"
],
\"Permission\":[
\"aoss:CreateIndex\",
\"aoss:DeleteIndex\",
\"aoss:UpdateIndex\",
\"aoss:DescribeIndex\",
\"aoss:ReadDocument\",
\"aoss:WriteDocument\"
],
\"ResourceType\": \"index\"
},
{
\"Resource\":[
\"collection\/tv-*\"
],
\"Permission\":[
\"aoss:CreateCollectionItems\"
],
\"ResourceType\": \"collection\"
}
],
\"Principal\":[
\"arn:aws:iam::123456789012:role\/Admin\"
]
}]
""",
type='data'
)
print('\nAccess policy created:')
print(response)
except botocore.exceptions.ClientError as error:
if error.response['Error']['Code'] == 'ConflictException':
print(
'[ConflictException] An access policy with this name already exists.')
else:
raise error
def createCollection(client):
"""Creates a collection"""
try:
response = client.create_collection(
name='tv-sitcoms',
type='SEARCH'
)
return(response)
except botocore.exceptions.ClientError as error:
if error.response['Error']['Code'] == 'ConflictException':
print(
'[ConflictException] A collection with this name already exists. Try another name.')
else:
raise error
def waitForCollectionCreation(client):
"""Waits for the collection to become active"""
response = client.batch_get_collection(
names=['tv-sitcoms'])
# Periodically check collection status
while (response['collectionDetails'][0]['status']) == 'CREATING':
print('Creating collection...')
time.sleep(30)
response = client.batch_get_collection(
names=['tv-sitcoms'])
print('\nCollection successfully created:')
print(response["collectionDetails"])
# Extract the collection endpoint from the response
host = (response['collectionDetails'][0]['collectionEndpoint'])
final_host = host.replace("https://", "")
indexData(final_host)
def indexData(host):
"""Create an index and add some sample data"""
# Build the OpenSearch client
client = OpenSearch(
hosts=[{'host': host, 'port': 443}],
http_auth=awsauth,
use_ssl=True,
verify_certs=True,
connection_class=RequestsHttpConnection,
timeout=300
)
# It can take up to a minute for data access rules to be enforced
time.sleep(45)
# Create index
response = client.indices.create('sitcoms-eighties')
print('\nCreating index:')
print(response)
# Add a document to the index.
response = client.index(
index='sitcoms-eighties',
body={
'title': 'Seinfeld',
'creator': 'Larry David',
'year': 1989
},
id='1',
)
print('\nDocument added:')
print(response)
def main():
createEncryptionPolicy(client)
createNetworkPolicy(client)
createAccessPolicy(client)
createCollection(client)
waitForCollectionCreation(client)
if __name__ == "__main__":
main()
```
## JavaScript
Das folgende Beispielskript verwendet das [SDK für JavaScript in Node.js](https://docs.aws.amazon.com/AWSJavaScriptSDK/v3/latest/clients/client-opensearchserverless/) sowie den [opensearch-js-Client](https://www.npmjs.com/package/@opensearch-project/opensearch) für JavaScript, um Verschlüsselungs-, Netzwerk- und Datenzugriffsrichtlinien zu erstellen, eine passende Sammlung zu erstellen, einen Index zu erstellen und einige Beispieldaten zu indizieren.
Führen Sie die folgenden Befehle aus, um die erforderlichen Abhängigkeiten zu installieren:
```
npm i aws-sdk
npm i aws4
npm i @opensearch-project/opensearch
```
Ersetzen Sie innerhalb des Skripts das `Principal`-Element durch den Amazon-Ressourcennamen (ARN) des Benutzers oder der Rolle, die die Anfrage signiert. Optional können Sie auch das `region` ändern.
```
var AWS = require('aws-sdk');
var aws4 = require('aws4');
var {
Client,
Connection
} = require("@opensearch-project/opensearch");
var {
OpenSearchServerlessClient,
CreateSecurityPolicyCommand,
CreateAccessPolicyCommand,
CreateCollectionCommand,
BatchGetCollectionCommand
} = require("@aws-sdk/client-opensearchserverless");
var client = new OpenSearchServerlessClient();
async function execute() {
await createEncryptionPolicy(client)
await createNetworkPolicy(client)
await createAccessPolicy(client)
await createCollection(client)
await waitForCollectionCreation(client)
}
async function createEncryptionPolicy(client) {
// Creates an encryption policy that matches all collections beginning with 'tv-'
try {
var command = new CreateSecurityPolicyCommand({
description: 'Encryption policy for TV collections',
name: 'tv-policy',
type: 'encryption',
policy: " \
{ \
\"Rules\":[ \
{ \
\"ResourceType\":\"collection\", \
\"Resource\":[ \
\"collection\/tv-*\" \
] \
} \
], \
\"AWSOwnedKey\":true \
}"
});
const response = await client.send(command);
console.log("Encryption policy created:");
console.log(response['securityPolicyDetail']);
} catch (error) {
if (error.name === 'ConflictException') {
console.log('[ConflictException] The policy name or rules conflict with an existing policy.');
} else
console.error(error);
};
}
async function createNetworkPolicy(client) {
// Creates a network policy that matches all collections beginning with 'tv-'
try {
var command = new CreateSecurityPolicyCommand({
description: 'Network policy for TV collections',
name: 'tv-policy',
type: 'network',
policy: " \
[{ \
\"Description\":\"Public access for television collection\", \
\"Rules\":[ \
{ \
\"ResourceType\":\"dashboard\", \
\"Resource\":[\"collection\/tv-*\"] \
}, \
{ \
\"ResourceType\":\"collection\", \
\"Resource\":[\"collection\/tv-*\"] \
} \
], \
\"AllowFromPublic\":true \
}]"
});
const response = await client.send(command);
console.log("Network policy created:");
console.log(response['securityPolicyDetail']);
} catch (error) {
if (error.name === 'ConflictException') {
console.log('[ConflictException] A network policy with that name already exists.');
} else
console.error(error);
};
}
async function createAccessPolicy(client) {
// Creates a data access policy that matches all collections beginning with 'tv-'
try {
var command = new CreateAccessPolicyCommand({
description: 'Data access policy for TV collections',
name: 'tv-policy',
type: 'data',
policy: " \
[{ \
\"Rules\":[ \
{ \
\"Resource\":[ \
\"index\/tv-*\/*\" \
], \
\"Permission\":[ \
\"aoss:CreateIndex\", \
\"aoss:DeleteIndex\", \
\"aoss:UpdateIndex\", \
\"aoss:DescribeIndex\", \
\"aoss:ReadDocument\", \
\"aoss:WriteDocument\" \
], \
\"ResourceType\": \"index\" \
}, \
{ \
\"Resource\":[ \
\"collection\/tv-*\" \
], \
\"Permission\":[ \
\"aoss:CreateCollectionItems\" \
], \
\"ResourceType\": \"collection\" \
} \
], \
\"Principal\":[ \
\"arn:aws:iam::123456789012:role\/Admin\" \
] \
}]"
});
const response = await client.send(command);
console.log("Access policy created:");
console.log(response['accessPolicyDetail']);
} catch (error) {
if (error.name === 'ConflictException') {
console.log('[ConflictException] An access policy with that name already exists.');
} else
console.error(error);
};
}
async function createCollection(client) {
// Creates a collection to hold TV sitcoms indexes
try {
var command = new CreateCollectionCommand({
name: 'tv-sitcoms',
type: 'SEARCH'
});
const response = await client.send(command);
return (response)
} catch (error) {
if (error.name === 'ConflictException') {
console.log('[ConflictException] A collection with this name already exists. Try another name.');
} else
console.error(error);
};
}
async function waitForCollectionCreation(client) {
// Waits for the collection to become active
try {
var command = new BatchGetCollectionCommand({
names: ['tv-sitcoms']
});
var response = await client.send(command);
while (response.collectionDetails[0]['status'] == 'CREATING') {
console.log('Creating collection...')
await sleep(30000) // Wait for 30 seconds, then check the status again
function sleep(ms) {
return new Promise((resolve) => {
setTimeout(resolve, ms);
});
}
var response = await client.send(command);
}
console.log('Collection successfully created:');
console.log(response['collectionDetails']);
// Extract the collection endpoint from the response
var host = (response.collectionDetails[0]['collectionEndpoint'])
// Pass collection endpoint to index document request
indexDocument(host)
} catch (error) {
console.error(error);
};
}
async function indexDocument(host) {
var client = new Client({
node: host,
Connection: class extends Connection {
buildRequestObject(params) {
var request = super.buildRequestObject(params)
request.service = 'aoss';
request.region = 'us-east-1'; // e.g. us-east-1
var body = request.body;
request.body = undefined;
delete request.headers['content-length'];
request.headers['x-amz-content-sha256'] = 'UNSIGNED-PAYLOAD';
request = aws4.sign(request, AWS.config.credentials);
request.body = body;
return request
}
}
});
// Create an index
try {
var index_name = "sitcoms-eighties";
var response = await client.indices.create({
index: index_name
});
console.log("Creating index:");
console.log(response.body);
// Add a document to the index
var document = "{ \"title\": \"Seinfeld\", \"creator\": \"Larry David\", \"year\": \"1989\" }\n";
var response = await client.index({
index: index_name,
body: document
});
console.log("Adding document:");
console.log(response.body);
} catch (error) {
console.error(error);
};
}
execute()
```
# Verwenden CloudFormation , um Amazon OpenSearch Serverless-Sammlungen zu erstellen
Sie können CloudFormation damit Amazon OpenSearch Serverless-Ressourcen wie Sammlungen, Sicherheitsrichtlinien und VPC-Endpunkte erstellen. Die umfassende CloudFormation Referenz zu OpenSearch Serverless finden Sie unter [Amazon OpenSearch Serverless](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_OpenSearchServerless.html) im *CloudFormation Benutzerhandbuch*.
Die folgende CloudFormation Beispielvorlage erstellt eine einfache Datenzugriffs-, Netzwerk- und Sicherheitsrichtlinie sowie eine passende Sammlung. Dies ist eine gute Methode, um schnell mit Amazon OpenSearch Serverless loszulegen und die erforderlichen Elemente bereitzustellen, um eine Sammlung zu erstellen und zu verwenden.
**Wichtig**
In diesem Beispiel wird der öffentliche Netzwerkzugriff verwendet, was für Produktionsworkloads nicht empfohlen wird. Wir empfehlen die Verwendung des VPC-Zugriffs, um Ihre Sammlungen zu schützen. Weitere Informationen erhalten Sie unter [AWS::OpenSearchServerless::VpcEndpoint](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-opensearchserverless-vpcendpoint.html) und [Zugriff auf Datenebene über AWS PrivateLink](serverless-vpc.md).
```
AWSTemplateFormatVersion: 2010-09-09
Description: 'Amazon OpenSearch Serverless template to create an IAM user, encryption policy, data access policy and collection'
Resources:
IAMUSer:
Type: 'AWS::IAM::User'
Properties:
UserName: aossadmin
DataAccessPolicy:
Type: 'AWS::OpenSearchServerless::AccessPolicy'
Properties:
Name: quickstart-access-policy
Type: data
Description: Access policy for quickstart collection
Policy: !Sub >-
[{"Description":"Access for cfn user","Rules":[{"ResourceType":"index","Resource":["index/*/*"],"Permission":["aoss:*"]},
{"ResourceType":"collection","Resource":["collection/quickstart"],"Permission":["aoss:*"]}],
"Principal":["arn:aws:iam::${AWS::AccountId}:user/aossadmin"]}]
NetworkPolicy:
Type: 'AWS::OpenSearchServerless::SecurityPolicy'
Properties:
Name: quickstart-network-policy
Type: network
Description: Network policy for quickstart collection
Policy: >-
[{"Rules":[{"ResourceType":"collection","Resource":["collection/quickstart"]}, {"ResourceType":"dashboard","Resource":["collection/quickstart"]}],"AllowFromPublic":true}]
EncryptionPolicy:
Type: 'AWS::OpenSearchServerless::SecurityPolicy'
Properties:
Name: quickstart-security-policy
Type: encryption
Description: Encryption policy for quickstart collection
Policy: >-
{"Rules":[{"ResourceType":"collection","Resource":["collection/quickstart"]}],"AWSOwnedKey":true}
Collection:
Type: 'AWS::OpenSearchServerless::Collection'
Properties:
Name: quickstart
Type: TIMESERIES
Description: Collection to holds timeseries data
DependsOn: EncryptionPolicy
Outputs:
IAMUser:
Value: !Ref IAMUSer
DashboardURL:
Value: !GetAtt Collection.DashboardEndpoint
CollectionARN:
Value: !GetAtt Collection.Arn
```
# Sammlungen mithilfe von Schnappschüssen sichern
Snapshots sind point-in-time Backups Ihrer Amazon OpenSearch Serverless-Sammlungen, die Notfallwiederherstellungsfunktionen bieten. OpenSearch Serverless erstellt und verwaltet automatisch Snapshots Ihrer Sammlungen und gewährleistet so Geschäftskontinuität und Datenschutz. Jeder Snapshot enthält Index-Metadaten (Einstellungen und Zuordnungen für Ihre Indizes), Cluster-Metadaten (Indexvorlagen und Aliase) und Indexdaten (alle Dokumente und Daten, die in Ihren Indizes gespeichert sind).
OpenSearch Serverless bietet automatische stündliche Backups ohne manuelle Konfiguration, ohne Wartungsaufwand, ohne zusätzliche Speicherkosten, schnelle Wiederherstellung nach versehentlichem Datenverlust und die Möglichkeit, bestimmte Indizes aus einem Snapshot wiederherzustellen.
Bevor Sie mit Snapshots arbeiten, sollten Sie sich mit diesen wichtigen Überlegungen vertraut machen. Das Erstellen eines Snapshots nimmt Zeit in Anspruch und erfolgt nicht sofort. Neue Dokumente oder Aktualisierungen während der Snapshot-Erstellung werden nicht in den Snapshot aufgenommen. Sie können Schnappschüsse nur in ihrer ursprünglichen Sammlung und nicht in einer neuen Sammlung wiederherstellen. Nach der Wiederherstellung erhalten Indizes neue, UUIDs die sich von ihren Originalversionen unterscheiden. Bei der Wiederherstellung eines vorhandenen offenen Index in OpenSearch Serverless werden die Daten dieses Indexes überschrieben, sofern kein neuer Indexname oder ein Präfixmuster angegeben wird. Dies unterscheidet sich vom Kernverhalten. OpenSearch Sie können jeweils nur einen Wiederherstellungsvorgang ausführen, und Sie können nicht mehrere Wiederherstellungsvorgänge für dieselbe Sammlung gleichzeitig starten. Der Versuch, Indizes während eines aktiven Wiederherstellungsvorgangs wiederherzustellen, führt dazu, dass der Vorgang fehlschlägt. Während eines Wiederherstellungsvorgangs schlagen Ihre Anfragen an die Indizes fehl.
## Erforderliche Berechtigungen
Um mit Snapshots zu arbeiten, konfigurieren Sie die folgenden Berechtigungen in Ihrer Datenzugriffsrichtlinie. Weitere Informationen zu Datenzugriffsrichtlinien finden Sie unter[Datenzugriffsrichtlinien im Vergleich zu IAM-Richtlinien](serverless-data-access.md#serverless-data-access-vs-iam).
****
| Datenzugriffsrichtlinie | APIs |
| --- | --- |
| aoss: DescribeSnapshot | GET /\$1 -automatisiert cat/snapshots/aossHOLEN SIE SICH \$1/snapshot/aoss-automated/snapshot |
| als Oss: RestoreSnapshot | POST /\$1 /\$1wiederherstellen snapshot/aoss-automated/snapshot |
| aOS: DescribeCollectionItems | Holen Sie sich /\$1cat/recovery |
Sie können Richtlinien mit den folgenden Befehlen konfigurieren: AWS CLI
1. [ create-access-policy](https://docs.aws.amazon.com/cli/latest/reference/opensearchserverless/create-access-policy.html)
1. [ delete-access-policy ](https://docs.aws.amazon.com/cli/latest/reference/opensearchserverless/delete-access-policy.html)
1. [ get-access-policy ](https://docs.aws.amazon.com/cli/latest/reference/opensearchserverless/get-access-policy.html)
1. [ update-access-policy ](https://docs.aws.amazon.com/cli/latest/reference/opensearchserverless/update-access-policy.html)
Hier ist ein Beispiel für einen CLI-Befehl zum Erstellen einer Zugriffsrichtlinie. Ersetzen Sie im Befehl den *example* Inhalt durch Ihre spezifischen Informationen.
```
aws opensearchserverless create-access-policy \
--type data \
--name Example-data-access-policy \
--region aws-region \
--policy '[
{
"Rules": [
{
"Resource": [
"collection/Example-collection"
],
"Permission": [
"aoss:DescribeSnapshot",
"aoss:RestoreSnapshot",
"aoss:DescribeCollectionItems"
],
"ResourceType": "collection"
}
],
"Principal": [
"arn:aws:iam::111122223333:user/UserName"
],
"Description": "Data policy to support snapshot operations."
}
]'
```
## Arbeiten mit Snapshots
Wenn Sie eine neue Sammlung erstellen, erstellt OpenSearch Serverless standardmäßig automatisch jede Stunde Snapshots. Sie müssen selbst keine Aktion durchführen. Jeder Snapshot enthält alle Indizes in der Sammlung. Nachdem OpenSearch Serverless Snapshots erstellt hat, können Sie diese auflisten und die Details des Snapshots mithilfe der folgenden Verfahren überprüfen.
### Schnappschüsse auflisten
Gehen Sie wie folgt vor, um alle Snapshots in einer Sammlung aufzulisten und ihre Details zu überprüfen.
------
#### [ Console ]
1. Öffnen Sie die Amazon OpenSearch Service-Konsole unter [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. Wählen Sie im linken Navigationsbereich **Serverless** und dann **Collections** aus.
1. Wählen Sie den Namen Ihrer Sammlung, um die zugehörige Detailseite zu öffnen.
1. Wählen Sie den Tab **Schnappschüsse**, um alle generierten Schnappschüsse anzuzeigen.
1. Überprüfen Sie die Snapshot-Informationen, einschließlich:
+ **Snapshot-ID** — Eindeutiger Bezeichner für den Snapshot
+ **Status** — Aktueller Status (verfügbar, In Bearbeitung)
+ **Erstellungszeit** — Wann der Snapshot erstellt wurde
------
#### [ AWS CLI ]
+ Verwenden Sie den folgenden Befehl, um alle Snapshots in einer Sammlung aufzulisten:
```
GET /_cat/snapshots/aoss-automated
```
OpenSearch Serverless gibt eine Antwort wie die folgende zurück:
```
id status start_epoch start_time end_epoch end_time duration indexes successful_shards failed_shards total_shards
snapshot-ExampleSnapshotID1 SUCCESS 1737964331 07:52:11 1737964382 07:53:02 50.4s 1
snapshot-ExampleSnapshotID2 SUCCESS 1737967931 08:52:11 1737967979 08:52:59 47.7s 2
snapshot-ExampleSnapshotID3 SUCCESS 1737971531 09:52:11 1737971581 09:53:01 49.1s 3
snapshot-ExampleSnapshotID4 IN_PROGRESS 1737975131 10:52:11 - - 4.8d 3
```
------
### Schnappschuss-Details abrufen
Verwenden Sie die folgenden Verfahren, um detaillierte Informationen zu einem bestimmten Snapshot abzurufen.
------
#### [ Console ]
1. Öffnen Sie die Amazon OpenSearch Service-Konsole unter [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. Wählen Sie im linken Navigationsbereich **Serverless** und dann **Collections** aus.
1. Wählen Sie den Namen Ihrer Sammlung, um die zugehörige Detailseite zu öffnen.
1. Wählen Sie die Registerkarte **Snapshots** aus.
1. Wählen Sie die Snapshot-Job-ID, um detaillierte Informationen zum Snapshot anzuzeigen, einschließlich Metadaten, enthaltener Indizes und Zeitinformationen.
------
#### [ AWS CLI ]
+ Verwenden Sie den folgenden Befehl, um Informationen zu einem Snapshot abzurufen. Ersetzen Sie im Befehl den *example* Inhalt durch Ihre spezifischen Informationen.
```
GET _snapshot/aoss-automated/snapshot/
```
Beispielanforderung:
```
GET _snapshot/aoss-automated/snapshot-ExampleSnapshotID1/
```
Beispielantwort:
```
{
"snapshots": [
{
"snapshot": "snapshot-ExampleSnapshotID1-5e01-4423-9833Example",
"uuid": "Example-5e01-4423-9833-9e9eb757Example",
"version_id": 136327827,
"version": "2.11.0",
"remote_store_index_shallow_copy": true,
"indexes": [
"Example-index-0117"
],
"data_streams": [],
"include_global_state": true,
"metadata": {},
"state": "SUCCESS",
"start_time": "2025-01-27T09:52:11.953Z",
"start_time_in_millis": 1737971531953,
"end_time": "2025-01-27T09:53:01.062Z",
"end_time_in_millis": 1737971581062,
"duration_in_millis": 49109,
"failures": [],
"shards": {
"total": 0,
"failed": 0,
"successful": 0
}
}
]
}
```
------
Die Snapshot-Antwort umfasst mehrere Schlüsselfelder: Sie `id` stellt eine eindeutige Kennung für den Snapshot-Vorgang bereit, `status` gibt den aktuellen Status zurück `SUCCESS` oder `duration` gibt die Zeit an`IN_PROGRESS`, die bis zum Abschluss des Snapshot-Vorgangs benötigt wurde, und `indexes` gibt die Anzahl der im Snapshot enthaltenen Indizes zurück.
## Wiederherstellung aus einem Snapshot
Bei der Wiederherstellung aus einem Snapshot werden Daten aus einer zuvor erstellten Sicherung wiederhergestellt. Dieser Prozess ist entscheidend für die Notfallwiederherstellung und das Datenmanagement in OpenSearch Serverless. Machen Sie sich vor der Wiederherstellung bewusst, dass wiederhergestellte Indizes andere Versionen haben UUIDs als ihre ursprünglichen Versionen. Bei der Wiederherstellung auf einen vorhandenen offenen Index in OpenSearch Serverless werden die Daten dieses Indexes überschrieben, sofern kein neuer Indexname oder ein Präfixmuster angegeben wird, Snapshots können nur in ihrer ursprünglichen Sammlung wiederhergestellt werden (sammlungsübergreifende Wiederherstellung wird nicht unterstützt), und Wiederherstellungsvorgänge wirken sich auf die Clusterleistung aus. Planen Sie daher entsprechend.
Gehen Sie wie folgt vor, um gesicherte Indizes aus einem Snapshot wiederherzustellen.
------
#### [ Console ]
1. Öffnen Sie die Amazon OpenSearch Service-Konsole unter [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. Wählen Sie im linken Navigationsbereich **Serverless** und dann **Collections** aus.
1. Wählen Sie den Namen Ihrer Sammlung, um die zugehörige Detailseite zu öffnen.
1. Wählen Sie den Tab **Schnappschüsse**, um die verfügbaren Schnappschüsse anzuzeigen.
1. Wählen Sie den Snapshot aus, aus dem Sie wiederherstellen möchten, und wählen Sie dann **Aus Snapshot wiederherstellen**.
1. Gehen **Sie im Dialogfeld „Aus Snapshot wiederherstellen**“ wie folgt vor:
+ Überprüfen Sie für **den Snapshot-Namen** die gewählte Snapshot-ID.
+ Wählen Sie für den **Snapshot-Bereich** eine der folgenden Optionen aus:
+ **Alle Indizes in der Sammlung — Stellt** alle Indizes aus dem Snapshot wieder her
+ **Spezifische Indizes — Wählen Sie einzelne Indizes** für die Wiederherstellung aus
+ Wählen Sie **unter Ziel** die Sammlung aus, in der die Wiederherstellung erfolgen soll.
+ (Optional) Konfigurieren Sie die **Einstellungen zum Umbenennen**, um wiederhergestellte Indizes umzubenennen:
+ **Nicht umbenennen** — Behalten Sie die ursprünglichen Indexnamen bei
+ **Präfix zu wiederhergestellten Indexnamen** hinzufügen — Fügen Sie ein Präfix hinzu, um Konflikte zu vermeiden
+ **Mithilfe eines regulären Ausdrucks umbenennen** — Verwenden Sie erweiterte Umbenennungsmuster
+ (Optional) Konfigurieren Sie die **Benachrichtigungseinstellungen** so, dass Sie benachrichtigt werden, wenn die Wiederherstellung abgeschlossen ist oder Fehler auftreten.
1. Wählen Sie **Speichern**, um den Wiederherstellungsvorgang zu starten.
------
#### [ OpenSearch API ]
1. Führen Sie den folgenden Befehl aus, um den entsprechenden Snapshot zu identifizieren.
```
GET /_snapshot/aoss-automated/_all
```
Führen Sie den folgenden Befehl aus, um eine kleinere Liste von Snapshots zu erhalten.
```
GET /_cat/snapshots/aoss-automated
```
1. Führen Sie den folgenden Befehl aus, um die Details des Snapshots vor der Wiederherstellung zu überprüfen. Ersetzen Sie im Befehl den *example* Inhalt durch Ihre spezifischen Informationen.
```
GET _snapshot/aoss-automated/snapshot-ExampleSnapshotID1/
```
1. Führen Sie den folgenden Befehl aus, um die Wiederherstellung von einem bestimmten Snapshot aus durchzuführen.
```
POST /_snapshot/aoss-automated/snapshot-ID/_restore
```
Sie können den Wiederherstellungsvorgang anpassen, indem Sie einen Anforderungstext hinzufügen. Ein Beispiel:
```
POST /_snapshot/aoss-automated/snapshot-ExampleSnapshotID1-5e01-4423-9833Example/_restore
{
"indices": "opensearch-dashboards*,my-index*",
"ignore_unavailable": true,
"include_global_state": false,
"include_aliases": false,
"rename_pattern": "opensearch-dashboards(.+)",
"rename_replacement": "restored-opensearch-dashboards$1"
}
```
1. Führen Sie den folgenden Befehl aus, um den Wiederherstellungsfortschritt anzuzeigen.
```
GET /_cat/recovery
```
------
**Anmerkung**
Wenn Sie einen Snapshot mit einem Befehl wiederherstellen, der einen Anforderungstext enthält, können Sie verschiedene Parameter verwenden, um das Wiederherstellungsverhalten zu steuern. Der `indices` Parameter gibt an, welche Indizes wiederhergestellt werden sollen, und unterstützt Platzhaltermuster. Legt fest`ignore_unavailable`, dass der Wiederherstellungsvorgang auch dann fortgesetzt wird, wenn ein Index im Snapshot fehlt. Wird verwendet`include_global_state`, um zu bestimmen, ob der Clusterstatus wiederhergestellt werden soll, und `include_aliases` um zu steuern, ob zugehörige Aliase wiederhergestellt werden sollen. Die `rename_replacement` Parameter `rename_pattern` und benennen Indizes während des Wiederherstellungsvorgangs um.
# Support für Standardcodecs in Amazon Serverless OpenSearch
Index-Codecs bestimmen, wie die gespeicherten Felder eines Indexes komprimiert und auf der Festplatte und in S3 gespeichert werden. Der Index-Codec wird durch die statische `index.codec` Einstellung gesteuert, die den Komprimierungsalgorithmus angibt. Diese Einstellung wirkt sich sowohl auf die Größe des Index-Shards als auch auf die Leistung des Indexvorgangs aus.
Standardmäßig verwenden Indizes in OpenSearch Serverless den Standardcodec mit dem Komprimierungsalgorithmus. LZ4 OpenSearch Serverless unterstützt `zstd` auch `zstd_no_dict` Codecs mit konfigurierbaren Komprimierungsstufen von 1 bis 6.
**Wichtig**
Da es `index.codec` sich um eine statische Einstellung handelt, kann sie nach der Indexerstellung nicht geändert werden.
Weitere Informationen finden Sie in der Dokumentation zu den [OpenSearch Index-Codecs.](https://opensearch.org/docs/latest/im-plugin/index-codecs/)
## Einen Index mit dem ZSTD-Codec erstellen
Sie können den ZSTD-Codec während der Indexerstellung mit der folgenden Einstellung angeben: `index.codec`
```
PUT /your_index
{
"settings": {
"index.codec": "zstd"
}
}
```
## Kompressionsstufen
ZSTD-Codecs unterstützen über die `index.codec.compression_level` Einstellung optionale Komprimierungsstufen und akzeptieren Ganzzahlen im Bereich [1, 6]. Höhere Komprimierungsstufen führen zu besseren Komprimierungsverhältnissen (kleinerer Speicherplatz), aber zu langsameren Komprimierungs- und Dekomprimierungsgeschwindigkeiten. Die Standardkomprimierungsstufe ist 3.
```
PUT /your_index
{
"settings": {
"index.codec": "zstd",
"index.codec.compression_level": 2
}
}
```
## Leistungs-Benchmarking
Basierend auf Benchmark-Tests mit dem nyc\$1taxi-Datensatz erzielte die STD-Komprimierung bei verschiedenen Kombinationen von`zstd`, und Komprimierungsstufen eine um 26 bis 32% bessere Komprimierung als beim Ausgangswert. `zstd_no_dict`
| Metrik | ZSTD L1 | ZSTD L6 | ZSTD\$1NO\$1DICT L1 | ZSTD\$1NO\$1DICT L6 |
| --- | --- | --- | --- | --- |
| Reduzierung der Indexgröße | 28,10% | 32% | 26,90% | 28,70% |
| Änderung des Indizierungsdurchsatzes | -0,50% | -23,80% | -0,50% | -5,30% |
| Verbesserung der Latenz von Match-All Query p90 | -16,40% | 29,50% | -16,40% | 23,40% |
| Verbesserung der Latenz bei Range Query p90 | 90,90% | 92,40% | -282,90% | 92,50% |
| Entfernungsmenge p90 Verbesserung der Agg-Latenz | 2% | 24,70% | 2% | 13,80% |
Weitere Informationen finden Sie im [AWS OpenSearch Blog](https://aws.amazon.com/blogs/big-data/optimize-storage-costs-in-amazon-opensearch-service-using-zstandard-compression/).
# Speichern Sie Speicherplatz, indem Sie eine abgeleitete Quelle verwenden
Standardmäßig speichert OpenSearch Serverless jedes aufgenommene Dokument in dem `_source` Feld, das den ursprünglichen JSON-Dokumentkörper enthält, und indexiert einzelne Felder für die Suche. Das `_source` Feld ist zwar nicht durchsuchbar, wird aber beibehalten, sodass bei der Ausführung von Abrufanforderungen wie Abrufen und Suchen das vollständige Dokument zurückgegeben werden kann. Wenn die abgeleitete Quelle aktiviert ist, überspringt OpenSearch Serverless das Speichern des `_source` Felds und rekonstruiert es stattdessen dynamisch bei Bedarf, z. B. bei Such-, Get-, Mget-, Reindex- oder Aktualisierungsvorgängen. Durch die Verwendung der Einstellung für abgeleitete Quellen kann der Speicherverbrauch um bis zu 50% reduziert werden.
## Konfiguration
Um die abgeleitete Quelle für Ihren Index zu konfigurieren, erstellen Sie den Index mit der `index.derived_source.enabled` folgenden Einstellung:
```
PUT my-index1
{
"settings": {
"index": {
"derived_source": {
"enabled": true
}
}
}
}
```
## Wichtige Überlegungen
+ Nur bestimmte Feldtypen werden unterstützt. Eine Liste der unterstützten Felder und Einschränkungen finden Sie in der [OpenSearch Dokumentation](https://docs.opensearch.org/latest/mappings/metadata-fields/source/#supported-fields-and-parameters). Wenn Sie einen Index mit einer abgeleiteten Quelle und einem nicht unterstützten Feld erstellen, schlägt die Indexerstellung fehl. Wenn Sie versuchen, ein Dokument mit einem nicht unterstützten Feld in einem Index mit abgeleiteten Quellen aufzunehmen, schlägt die Aufnahme fehl. Verwenden Sie diese Funktion nur, wenn Sie wissen, welche Feldtypen Ihrem Index hinzugefügt werden.
+ Die Einstellung `index.derived_source.enabled` ist eine statische Einstellung. Dies kann nicht geändert werden, nachdem der Index erstellt wurde.
## Einschränkungen bei Abfrageantworten
Wenn die abgeleitete Quelle aktiviert ist, gelten bestimmte Einschränkungen bei der Generierung und Rückgabe von Abfrageantworten.
+ Datumsfelder mit mehreren angegebenen Formaten verwenden immer das erste Format in der Liste für alle angeforderten Dokumente, unabhängig vom ursprünglich aufgenommenen Format.
+ Geopunktwerte werden in einem festen `{"lat": lat_val, "lon": lon_val}` Format zurückgegeben und können an Genauigkeit verlieren.
+ Arrays mit mehreren Werten können sortiert und Schlüsselwortfelder können dedupliziert werden.
[Weitere Einzelheiten finden Sie im Blog. OpenSearch ](https://opensearch.org/blog/save-up-to-2x-on-storage-with-derived-source/)
## Leistungs-Benchmarking
Basierend auf Benchmark-Tests mit dem nyc\$1taxi-Datensatz erzielte die abgeleitete Quelle eine Reduzierung der Indexgröße um 58% gegenüber dem Ausgangswert.
| Metrik | Abgeleitete Quelle |
| --- | --- |
| Reduzierung der Indexgröße | 58,3% |
| Änderung des Indizierungsdurchsatzes | 3,7% |
| Indizierung: Änderung der p90-Latenz | 6,9% |
| Verbesserung der Latenz von Match-All Query p90 | 19% |
| Verbesserung der Latenz bei Range Query p90 | -18,8% |
| Entfernungsmenge p90 Verbesserung der Agg-Latenz | -7,3% |
[Weitere Informationen finden Sie im OpenSearch Blog.](https://opensearch.org/blog/save-up-to-2x-on-storage-with-derived-source/)
# OpenSearch Serverlose Amazon-Sammelgruppen
*Sammlungsgruppen* in Amazon OpenSearch Serverless organisieren mehrere Sammlungen und ermöglichen die gemeinsame Nutzung von Rechenressourcen zwischen Sammlungen mit unterschiedlichen KMS-Schlüsseln. Dieses Modell der gemeinsamen Datenverarbeitung reduziert die Kosten, da keine separaten OpenSearch Recheneinheiten (OCUs) für jeden KMS-Schlüssel erforderlich sind.
Jede OpenSearch serverlose Sammlung, die Sie erstellen, ist durch Verschlüsselung ruhender Daten geschützt, die AWS KMS zum Speichern und Verwalten Ihrer Verschlüsselungsschlüssel verwendet werden. Sammlungen innerhalb derselben Sammlungsgruppe teilen sich Rechenressourcen und OCU-Speicherplatz gemeinsam, auch wenn sie unterschiedliche KMS-Schlüssel für die Verschlüsselung verwenden.
Sammlungsgruppen bieten Isolierung aus Sicherheits- und Leistungsanforderungen. Sie können Sammlungen mit demselben KMS-Schlüssel aus Sicherheitsgründen zu einer einzigen Sammlungsgruppe zusammenfassen oder Sammlungen mit unterschiedlichen KMS-Schlüsseln in derselben Gruppe zur Kostenoptimierung kombinieren. Dank dieser Flexibilität können Sie Sicherheitsanforderungen und Ressourceneffizienz in Einklang bringen.
Wenn Sie einer Sammlungsgruppe eine Sammlung hinzufügen, weist OpenSearch Serverless sie den gemeinsam genutzten Rechenressourcen der Gruppe zu. Das System verwaltet automatisch die Verteilung der Workloads auf diese Ressourcen und gewährleistet gleichzeitig die Sicherheit, indem die Daten jeder Sammlung mit dem dafür vorgesehenen KMS-Schlüssel verschlüsselt werden. Die Zugriffskontrollen gelten weiterhin auf Erfassungsebene, und die gemeinsam genutzten Rechenressourcen greifen bei Bedarf auf mehrere KMS-Schlüssel zu, um die Sammlungen in der Gruppe bereitzustellen.
Sie steuern die Ressourcenzuweisung, indem Sie minimale und maximale OCU-Grenzwerte auf Sammlungsgruppenebene festlegen. Diese Grenzwerte gelten für alle Sammlungen in der Gruppe und helfen Ihnen, die Kosten zu kontrollieren und gleichzeitig eine gleichbleibende Leistung sicherzustellen.
Standardmäßig gibt es ein Servicekontingent (Limit) für die Anzahl der Sammlungen in einer Sammlungsgruppe, die Anzahl der Indizes in einer Sammlung und die Anzahl der OCUs in einer Sammlungsgruppe. Weitere Informationen finden Sie unter [OpenSearch Serverlose](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html#opensearch-limits-serverless) Kontingente.
## Die wichtigsten Konzepte
Sammlungsgruppe
Eine AWS Ressource, die als Container für eine oder mehrere Sammlungen fungiert. Jede Sammlungsgruppe hat eine eindeutige Kennung und kann ihre eigenen Kapazitätsgrenzen und Konfigurationseinstellungen haben.
Gemeinsam genutzte Rechenleistung
Sammlungen innerhalb derselben Sammlungsgruppe teilen sich den gleichen Satz von OCUs, unabhängig von den verwendeten KMS-Schlüsseln. Diese gemeinsame Nutzung reduziert die Kosten, da keine separaten Rechenressourcen für jeden KMS-Schlüssel erforderlich sind.
Kapazitätslimits
Sie können minimale und maximale OCU-Grenzwerte sowohl für Indizierungs- als auch für Suchvorgänge auf Sammlungsgruppenebene festlegen. Diese Grenzwerte tragen zur Kostenkontrolle und zur Sicherstellung einer gleichbleibenden Leistung bei.
# Kapazitätsgrenzen für Sammelgruppen
Sammlungsgruppen bieten eine detaillierte Kontrolle über die Ressourcenzuweisung anhand von OCU-Mindest- und Höchstgrenzen. Diese Grenzwerte gelten für alle Sammlungen innerhalb der Gruppe und funktionieren unabhängig von den Kapazitätseinstellungen auf Kontoebene.
Standardmäßig gibt es ein Dienstkontingent (Limit) für die Anzahl der Sammlungen in einer Sammlungsgruppe, die Anzahl der Indizes in einer Sammlung und die Anzahl der OCUs in einer Sammlungsgruppe. Weitere Informationen finden Sie unter [OpenSearch Serverlose](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html#opensearch-limits-serverless) Kontingente.
## Grundlegendes zu den Kapazitätsgrenzen für Sammlungsgruppen
Sie können minimale und maximale OCU-Grenzwerte sowohl für Indizierungs- als auch für Suchvorgänge auf Sammlungsgruppenebene konfigurieren. Diese Grenzwerte steuern, wie OpenSearch Serverless Ressourcen für Sammlungen in der Gruppe skaliert:
+ **Minimale OCU** — Die Mindestanzahl OCUs, die OpenSearch Serverless für die Sammlungsgruppe verwaltet, um eine konsistente Basisleistung zu gewährleisten.
+ Wenn für die Arbeitslast weniger OCUs als der angegebene Mindestwert erforderlich sind, würde OpenSearch Serverless trotzdem den angegebenen Mindestwert an OCUs beibehalten, und die Abrechnung würde dem gleichen Wert entsprechen.
+ Wenn für die Arbeitslast eine höhere Anzahl von OCUs als der angegebene Mindestwert erforderlich ist, würde OpenSearch Serverless die für die Arbeitslast erforderliche Anzahl an OCUs beibehalten, und die Abrechnung würde die höhere OCU-Auslastung widerspiegeln.
+ **Maximale Anzahl an OCUs** — Die maximale Anzahl an OCUs OCUs, auf die OpenSearch Serverless für die Sammelgruppe hochskaliert werden kann, sodass Sie die Kosten unter Kontrolle halten können.
Die Kapazitätsgrenzen für Sammelgruppen sind von den Beschränkungen auf Kontoebene entkoppelt. Die maximalen OCU-Einstellungen auf Kontoebene gelten nur für Sammlungen, die keiner Sammlungsgruppe zugeordnet sind, während die maximalen OCU-Einstellungen für Sammlungsgruppen für Sammlungen innerhalb dieser bestimmten Gruppe gelten.
## Gültige Kapazitätsgrenzwerte
Bei der Festlegung der minimalen und maximalen OCU-Grenzwerte für eine Sammlungsgruppe können Sie nur Werte aus dem folgenden Satz verwenden: 1, 2, 4, 8, 16 und Vielfache von 16 (z. B. 32, 48, 64, 80, 96) bis zu einem Maximum von 1.696. OCUs
Sowohl die minimalen als auch die maximalen OCU-Grenzwerte sind optional, wenn Sie eine Sammlungsgruppe erstellen. Wenn Sie kein maximales OCU-Limit angeben, verwendet OpenSearch Serverless den Standardwert 96. OCUs
Das minimale OCU-Limit muss kleiner oder gleich dem maximalen OCU-Limit sein.
## Grundlegendes zum Zusammenhang zwischen den OCU-Limits auf Kontoebene und Sammlungsgruppen
Bei der Planung Ihrer OpenSearch serverlosen Kapazität ist es wichtig zu verstehen, wie OCU-Limits auf Kontoebene und OCU-Limits für Sammelgruppen zusammenwirken. Die Summe der maximalen OCU-Einstellungen für alle Sammlungsgruppen plus der maximalen OCU-Einstellung auf Kontoebene muss kleiner oder gleich der Dienstkontingentbegrenzung pro Konto sein. Aktuelle Grenzwerte finden Sie unter [OpenSearch Serverlose](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html#opensearch-limits-serverless) Kontingente.
**Anmerkung**
Die maximalen OCU-Einstellungen auf Kontoebene gelten nur für Sammlungen, die keiner Sammlungsgruppe zugeordnet sind. Sammlungen innerhalb von Sammlungsgruppen unterliegen den jeweiligen Limits für Sammlungsgruppen, nicht den Limits auf Kontoebene.
Diese Einschränkung gilt sowohl für die Indizierung als auch für die Suche unabhängig voneinander. OCUs Wenn Sie beispielsweise Einstellungen und Sammlungsgruppen auf Kontoebene konfigurieren, müssen Sie sicherstellen, dass die Gesamtsumme das Servicekontingentlimit für die Indizierung OCUs und separat das Servicekontingentlimit für die Suche nicht überschreitet. OCUs Darüber hinaus können Sie maximal 300 Sammlungsgruppen pro Konto erstellen.
**Beispiel: Kapazitätsplanung mit Limits auf Kontoebene und Sammelgruppen**
Wenn Sie die maximale Such-OCU auf Kontoebene auf 500 festlegen und das Servicekontingent auf 1.700 begrenzt ist:
+ Und wenn Sie 2 Sammlungsgruppen erstellen, darf die Summe der maximalen OCU für die beiden Sammlungsgruppen nicht mehr als 1.200 (1.700 — 500) betragen
+ Sie könnten für jede Sammlungsgruppe die standardmäßige maximale OCU von 96 belassen (96 \$1 96 \$1 500 = 692), sodass Spielraum für future Wachstum bleibt
+ Oder Sie könnten das Maximum jeder Sammlungsgruppe auf 600 erhöhen (600 \$1 600 \$1 500 = 1.700) und dabei die volle Kapazität nutzen, die das Servicekontingent zulässt
Diese Beziehung ist für die Kapazitätsplanung von entscheidender Bedeutung. Bevor Sie neue Sammlungsgruppen erstellen oder die maximalen OCU-Grenzwerte erhöhen, stellen Sie sicher, dass Ihre gesamte Zuteilung das Servicekontingent nicht überschreitet. Wenn Sie dieses Limit erreichen, müssen Sie entweder die maximalen OCU-Einstellungen für bestehende Sammlungsgruppen oder die maximalen OCU-Einstellungen auf Kontoebene verringern, um Platz für neue Zuweisungen zu schaffen.
## Kapazitätsgrenzen konfigurieren
Sie können Kapazitätsgrenzen festlegen, wenn Sie eine Sammlungsgruppe erstellen oder sie später aktualisieren. Verwenden Sie die [UpdateCollectionGroup](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_UpdateCollectionGroup.html)Befehle [CreateCollectionGroup](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateCollectionGroup.html)oder AWS CLI, um Kapazitätsgrenzen mit dem zu konfigurieren:
```
aws opensearchserverless create-collection-group \
--name my-collection-group \
--capacity-limits maxIndexingCapacityInOCU=32,maxSearchCapacityInOCU=32,minIndexingCapacityInOCU=4,minSearchCapacityInOCU=4
```
So aktualisieren Sie die Kapazitätsgrenzen für eine bestehende Sammlungsgruppe:
```
aws opensearchserverless update-collection-group \
--id abcdef123456 \
--capacity-limits maxIndexingCapacityInOCU=48,maxSearchCapacityInOCU=48,minIndexingCapacityInOCU=8,minSearchCapacityInOCU=8
```
## Überwachung der Kapazität einer Sammelgruppe
OpenSearch Serverless gibt in Intervallen von einer Minute die folgenden Amazon CloudWatch Logs-Metriken aus, um Sie bei der Überwachung der OCU-Auslastung und der Kapazitätsgrenzen auf Erfassungsgruppenebene zu unterstützen:
+ `IndexingOCU`— Die Anzahl der Indizierungen, die OCUs derzeit von der Sammlungsgruppe verwendet werden.
+ `SearchOCU`— Die Anzahl der Suchvorgänge, die OCUs derzeit von der Sammlungsgruppe verwendet werden.
OpenSearch Serverless gibt auch OCU-Metriken auf Kontoebene für Sammlungen aus, die keiner Sammlungsgruppe zugeordnet sind. Sie können diese Metriken zusammenfassen CloudWatch , um die Summe aller Sammlungsgruppen und Sammlungen OCUs auf Kontoebene zu visualisieren.
Konfigurieren Sie Alarme so, dass Sie benachrichtigt werden, wenn Ihre Erfassungsgruppe ihre Kapazitätsgrenzen erreicht, sodass Sie die Einstellungen nach Bedarf anpassen können. Weitere Informationen zu OpenSearch Serverless-Metriken finden Sie unter[Überwachung von Amazon OpenSearch Serverless](serverless-monitoring.md).
## Wie werden Kapazitätsgrenzen durchgesetzt
OpenSearch Serverless setzt Kapazitätsgrenzen für Sammlungsgruppen bei Skalierungsvorgängen durch. Wenn Ihre Sammlungen zusätzliche Ressourcen benötigen, skaliert OpenSearch Serverless bis zum maximalen OCU-Limit. Wenn die Nachfrage sinkt, wird OpenSearch Serverless herunterskaliert, behält aber mindestens das OCU-Mindestlimit bei, um eine gleichbleibende Leistung zu gewährleisten.
Kapazitätsgrenzen werden nur durchgesetzt, wenn die Sammlungsgruppe mindestens eine Sammlung enthält. Leere Sammlungsgruppen verbrauchen OCUs keine Kapazitätsgrenzen und setzen diese auch nicht durch.
Wenn ein Skalierungsvorgang das maximale OCU-Limit überschreiten oder gegen die OCU-Mindestanforderungen verstoßen würde, lehnt OpenSearch Serverless den Vorgang ab, um die Einhaltung Ihrer konfigurierten Grenzwerte aufrechtzuerhalten.
# Verschlüsselung und KMS-Schlüssel in Sammlungsgruppen
Jede OpenSearch serverlose Sammlung, die Sie erstellen, ist durch Verschlüsselung ruhender Daten geschützt, die AWS KMS zum Speichern und Verwalten Ihrer Verschlüsselungsschlüssel verwendet werden. Wenn Sie mit Sammlungsgruppen arbeiten, können Sie den KMS-Schlüssel für Ihre Sammlungen flexibel angeben.
Sie können den mit einer Sammlung verknüpften KMS-Schlüssel auf zwei Arten bereitstellen:
+ **In der CreateCollection Anfrage** — Geben Sie den KMS-Schlüssel direkt an, wenn Sie die Sammlung mithilfe des `encryption-config` Parameters erstellen.
+ **In Sicherheitsrichtlinien** — Definieren Sie die KMS-Schlüsselzuordnung in einer Verschlüsselungssicherheitsrichtlinie.
Wenn Sie an beiden Standorten einen KMS-Schlüssel angeben, hat der in der CreateCollection Anfrage angegebene KMS-Schlüssel Vorrang vor der Konfiguration der Sicherheitsrichtlinie.
Diese Flexibilität vereinfacht die Verwaltung von Sammlungen in großem Umfang, insbesondere wenn Sie mehrere Sammlungen mit eindeutigen KMS-Schlüsseln erstellen müssen. Anstatt Tausende von Verschlüsselungsrichtlinien zu erstellen und zu verwalten, können Sie den KMS-Schlüssel direkt bei der Erstellung der Sammlung angeben.
## Gemeinsame Nutzung OCUs durch verschiedene KMS-Schlüssel
Sammlungsgruppen ermöglichen die gemeinsame Nutzung von Rechenressourcen zwischen Sammlungen mit unterschiedlichen KMS-Schlüsseln. Sammlungen in derselben Sammlungsgruppe teilen sich den OCU-Speicherplatz, unabhängig von ihren Verschlüsselungsschlüsseln. Dieses Modell der gemeinsamen Rechenleistung reduziert die Kosten, da nicht mehr OCUs für jeden KMS-Schlüssel ein separater Schlüssel erforderlich ist.
Sammlungsgruppen sorgen für eine Isolierung aus Sicherheits- und Leistungsanforderungen. Sie können Sammlungen mit demselben KMS-Schlüssel aus Sicherheitsgründen zu einer einzigen Sammlungsgruppe zusammenfassen oder Sammlungen mit unterschiedlichen KMS-Schlüsseln in derselben Gruppe zur Kostenoptimierung kombinieren. Dank dieser Flexibilität können Sie Sicherheitsanforderungen und Ressourceneffizienz in Einklang bringen.
Das System gewährleistet die Sicherheit, indem es die Daten jeder Sammlung mit dem dafür vorgesehenen KMS-Schlüssel verschlüsselt. Die Zugriffskontrollen gelten weiterhin auf Sammlungsebene, und die gemeinsam genutzten Rechenressourcen greifen bei Bedarf auf mehrere KMS-Schlüssel zu, um die Sammlungen in der Gruppe bereitzustellen.
## Erforderliche KMS-Berechtigungen
Wenn Sie in der CreateCollection Anfrage einen KMS-Schlüssel angeben, benötigen Sie die folgenden zusätzlichen Berechtigungen:
+ `kms:DescribeKey`— Ermöglicht OpenSearch Serverless, Informationen über den KMS-Schlüssel abzurufen.
+ `kms:CreateGrant`— Ermöglicht OpenSearch Serverless, eine Genehmigung für den KMS-Schlüssel zu erstellen, um Verschlüsselungsvorgänge zu ermöglichen.
Diese Berechtigungen sind nicht erforderlich, wenn AWS eigene Schlüssel verwendet werden.
# Sammlungsgruppen erstellen
In diesem Thema wird beschrieben, wie Sammelgruppen in Amazon OpenSearch Serverless erstellt, konfiguriert und verwaltet werden. Verwenden Sie Sammelgruppen, um Sammlungen zu organisieren und Rechenressourcen gemeinsam zu nutzen, um die Kosten zu optimieren. Legen Sie minimale und maximale OCU-Grenzwerte auf Ebene der Erfassungsgruppen fest, um Leistung und Ausgaben zu kontrollieren.
## Erstellen Sie eine Sammlungsgruppe
Gehen Sie wie folgt vor, um eine neue Sammlungsgruppe zu erstellen und ihre Einstellungen zu konfigurieren. Erstellen Sie eine Sammlungsgruppe mithilfe der OpenSearch Serverless-Konsole AWS CLI, oder der AWS SDKs . Wenn Sie eine Sammlungsgruppe erstellen, geben Sie Kapazitätsgrenzen und andere Konfigurationsoptionen an.
------
#### [ Console ]
1. Öffnen Sie die Amazon OpenSearch Service-Konsole unter [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. Wählen Sie im linken Navigationsbereich **Serverless** und anschließend **Collection Groups**
1. Wählen Sie **Sammlungsgruppe erstellen aus**.
1. Geben Sie unter **Name der Sammlungsgruppe** einen Namen für Ihre Sammlungsgruppe ein. Der Name muss 3-32 Zeichen lang sein, mit einem Kleinbuchstaben beginnen und nur Kleinbuchstaben, Zahlen und Bindestriche enthalten.
1. (Optional) Geben Sie unter Beschreibung eine **Beschreibung** für Ihre Sammlungsgruppe ein.
1. Konfigurieren Sie im Abschnitt **Kapazitätsverwaltung** die OCU-Grenzwerte:
+ **Maximale Indizierungskapazität** — Die maximale Anzahl von Indizierungen, auf OCUs die Sammlungen in dieser Gruppe skaliert werden können.
+ **Maximale Suchkapazität** — Die maximale Anzahl von Suchvorgängen, auf OCUs die Sammlungen in dieser Gruppe skaliert werden können.
+ **Minimale Indexkapazität** — Die Mindestanzahl von Indizierungen, die für eine konsistente Leistung aufrechterhalten werden OCUs müssen.
+ **Minimale Suchkapazität** — Die Mindestanzahl von Suchvorgängen, die für eine konsistente Leistung aufrechterhalten werden OCUs müssen.
1. (Optional) Fügen Sie im Abschnitt **Stichwörter** hinzu, um Ihre Sammlungsgruppe besser zu organisieren und zu identifizieren.
1. Wählen Sie **Sammlungsgruppe erstellen** aus.
------
#### [ AWS CLI ]
+ Verwenden Sie den [create-collection-group](https://docs.aws.amazon.com/cli/latest/reference/opensearchserverless/create-collection-group.html)Befehl, um eine neue Sammlungsgruppe zu erstellen. Ersetzen Sie im Befehl den *example* Inhalt durch Ihre eigenen spezifischen Informationen.
```
aws opensearchserverless create-collection-group \
--name my-collection-group \
--description "Collection group for production workloads" \
--capacity-limits maxIndexingCapacityInOCU=20,maxSearchCapacityInOCU=20,minIndexingCapacityInOCU=2,minSearchCapacityInOCU=2 \
--tags key=Environment,value=Production key=Team,value=DataEngineering
```
Der Befehl gibt Details zur erstellten Sammlungsgruppe zurück, einschließlich ihrer eindeutigen ID und ihres ARN.
------
## Fügt einer Sammlungsgruppe eine neue Sammlung hinzu
Geben Sie beim Erstellen einer neuen Sammlung den Namen einer vorhandenen Sammlungsgruppe an, der die Sammlung zugeordnet werden soll. Gehen Sie wie folgt vor, um einer Sammlungsgruppe eine neue Sammlung hinzuzufügen.
------
#### [ Console ]
1. Öffnen Sie die Amazon OpenSearch Service-Konsole unter [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. **Wählen Sie im linken Navigationsbereich **Serverless** und dann Collections**
1. Wählen Sie **Create Connection** (Verbindung erstellen) aus.
1. Geben Sie **unter Sammlungsname** einen Namen für Ihre Sammlung ein. Der Name muss 3-28 Zeichen lang sein, mit einem Kleinbuchstaben beginnen und nur Kleinbuchstaben, Zahlen und Bindestriche enthalten.
1. (Optional) Geben Sie unter Beschreibung eine **Beschreibung** für Ihre Sammlung ein.
1. Wählen Sie im Abschnitt **Sammlungsgruppe** die Sammlungsgruppe aus, der die Sammlung zugewiesen werden soll. Eine Sammlung kann jeweils nur zu einer Sammlungsgruppe gehören.
(Optional) Sie können sich auch dafür entscheiden, **eine neue Gruppe zu erstellen**. Dadurch gelangen Sie zum Workflow **Sammlungsgruppe erstellen**. Wenn Sie mit der Erstellung der Sammlungsgruppe fertig sind, kehren Sie zu Schritt 1 dieses Verfahrens zurück, um mit der Erstellung Ihrer neuen Sammlung zu beginnen.
1. Fahren Sie mit dem Arbeitsablauf fort, um die Sammlung zu erstellen.
**Wichtig**
Verlassen Sie den Workflow „**Sammlung erstellen**“ nicht. Dadurch wird die Einrichtung der Sammlung beendet. Die Seite mit den **Sammlungsdetails** wird nach Abschluss der Einrichtung angezeigt.
------
#### [ AWS CLI ]
+ Verwenden Sie den Befehl [create-collection](https://docs.aws.amazon.com/cli/latest/reference/opensearchserverless/create-collection.html), um eine neue Sammlung zu erstellen und sie einer vorhandenen Sammlungsgruppe hinzuzufügen. Ersetzen Sie im Befehl den *example* Inhalt durch Ihre eigenen spezifischen Informationen.
```
aws opensearchserverless create-collection \
--name my-collection \
--type SEARCH \
--collection-group-name my-collection-group \
--description "Collection for search workloads"
```
------
# Amazon OpenSearch Serverless-Sammelgruppen verwalten
Nachdem Sie Amazon OpenSearch Serverless-Sammelgruppen erstellt haben, können Sie deren Einstellungen an Ihre Bedürfnisse anpassen. Verwenden Sie diese Verwaltungsvorgänge, um Kapazitätsgrenzen zu aktualisieren und Details zu Sammelgruppen anzuzeigen. Diese Änderungen helfen Ihnen dabei, die Ressourcenzuweisung zu optimieren und Ihre Sammlungen effizient zu organisieren.
## Sammlungsgruppen anzeigen
Zeigen Sie Ihre OpenSearch serverlosen Sammlungsgruppen an, um ihre Konfigurationen, die zugehörigen Sammlungen und den aktuellen Status zu überprüfen.
------
#### [ Console ]
1. Öffnen Sie die Amazon OpenSearch Service-Konsole unter [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. **Wählen Sie im linken Navigationsbereich **Serverless** und dann Collections**
1. Wählen Sie den **Tab Sammlungsgruppen aus**. Die Sammlungsgruppen Ihres Kontos werden angezeigt.
1. Wählen Sie den **Namen** einer Sammlungsgruppe, um deren Details anzuzeigen.
------
#### [ AWS CLI ]
+ Verwenden Sie den [list-collection-groups](https://docs.aws.amazon.com/cli/latest/reference/opensearchserverless/list-collection-groups.html)Befehl, um alle Sammlungsgruppen in Ihrem Konto aufzulisten. Verwenden Sie den [batch-get-collection-group](https://docs.aws.amazon.com/cli/latest/reference/opensearchserverless/batch-get-collection-group.html)Befehl, um Details zu bestimmten Sammlungsgruppen anzuzeigen. Ersetzen Sie in den folgenden Befehlen den *example* Inhalt durch Ihre eigenen spezifischen Informationen.
Um alle Sammlungsgruppen aufzulisten:
```
aws opensearchserverless list-collection-groups
```
Um Details zu bestimmten Sammlungsgruppen zu erhalten:
```
aws opensearchserverless batch-get-collection-group \
--names my-collection-group another-group
```
------
## Aktualisieren Sie die Einstellungen für Sammlungsgruppen
Aktualisieren Sie die Einstellungen Ihrer OpenSearch serverlosen Sammelgruppe, um Konfigurationen wie Kapazitätsgrenzen und Beschreibung zu ändern.
------
#### [ Console ]
1. Öffnen Sie die Amazon OpenSearch Service-Konsole unter [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. **Wählen Sie im linken Navigationsbereich **Serverless** und dann Collections**
1. Wählen Sie den **Tab Sammlungsgruppen aus**. Die Sammlungsgruppen Ihres Kontos werden angezeigt.
1. Wählen Sie den **Namen** einer Sammlungsgruppe, um deren Details anzuzeigen.
1. Wählen Sie in den **Details zur Sammlungsgruppe** die Option **Bearbeiten** aus.
1. Nehmen Sie die gewünschten Änderungen vor und wählen Sie dann **Speichern**.
------
#### [ AWS CLI ]
+ Verwenden Sie den [update-collection-group](https://docs.aws.amazon.com/cli/latest/reference/opensearchserverless/update-collection-group.html)Befehl, um die Beschreibung und die Kapazitätsgrenzen einer vorhandenen Sammlungsgruppe zu aktualisieren. Ersetzen Sie im folgenden Befehl den *example* Inhalt durch Ihre eigenen Informationen.
```
aws opensearchserverless update-collection-group \
--id abcdef123456 \
--description "Updated description for production workloads" \
--capacity-limits maxIndexingCapacityInOCU=30,maxSearchCapacityInOCU=30,minIndexingCapacityInOCU=4,minSearchCapacityInOCU=4
```
------
Änderungen der Kapazitätsgrenzen werden sofort wirksam und können sich auf das Skalierungsverhalten der Sammlungen in der Gruppe auswirken.
## Sammlungsgruppen löschen
Bevor Sie eine Sammlungsgruppe löschen können, müssen Sie zuerst alle Sammlungen aus der Gruppe entfernen. Sie können keine Sammlungsgruppe löschen, die Sammlungen enthält.
------
#### [ Console ]
1. Öffnen Sie die Amazon OpenSearch Service-Konsole unter [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. **Wählen Sie im linken Navigationsbereich **Serverless** und dann Collections**
1. Wählen Sie den **Tab Sammlungsgruppen aus**. Die Sammlungsgruppen Ihres Kontos werden angezeigt.
1. Wählen Sie den **Namen** der Sammlungsgruppe, die Sie löschen möchten.
**Wichtig**
Entfernen Sie alle Sammlungen aus der Sammlungsgruppe, indem Sie jede Sammlung aktualisieren, um die Sammlungsgruppenzuordnung zu entfernen, oder indem Sie sie in andere Sammlungsgruppen verschieben.
1. Wählen Sie oben auf der Seite **Delete** (Löschen) aus.
1. Bestätigen Sie den Löschvorgang und wählen Sie dann **Löschen**.
------
#### [ AWS CLI ]
+ Verwenden Sie den [delete-collection-group](https://docs.aws.amazon.com/cli/latest/reference/opensearchserverless/delete-collection-group.html)Befehl, um eine Sammlungsgruppe zu löschen.
**Wichtig**
Entfernen Sie alle Sammlungen aus der Sammlungsgruppe, indem Sie jede Sammlung aktualisieren, um die Sammlungsgruppenzuordnung zu entfernen, oder indem Sie sie in andere Sammlungsgruppen verschieben.
Ersetzen Sie im folgenden Befehl den *example* Inhalt durch Ihre eigenen Informationen.
Löschen Sie die leere Sammlungsgruppe:
```
aws opensearchserverless delete-collection-group \
--id abcdef123456
```
------
# Verwaltung von Kapazitätsgrenzen für Amazon OpenSearch Serverless
Mit Amazon OpenSearch Serverless müssen Sie die Kapazität nicht selbst verwalten. OpenSearch Serverless skaliert die Rechenkapazität für Ihr Konto automatisch auf der Grundlage der aktuellen Arbeitslast. Serverlose Rechenkapazität wird in *OpenSearch Recheneinheiten* () OCUs gemessen. Jede OCU ist eine Kombination aus 6 GB Speicher und entsprechender virtueller CPU (vCPU) und erstellt eine Daten-Pipeline zu Amazon S3. Weitere Informationen zur entkoppelten Architektur in OpenSearch Serverless finden Sie unter. [Funktionsweise](serverless-overview.md#serverless-process)
Wenn Sie Ihre erste Sammlung erstellen, instanziiert OpenSearch OCUs Serverless auf der Grundlage Ihrer Redundanzeinstellungen. Standardmäßig sind redundante aktive Replikate aktiviert, wodurch vier OCUs (zwei für die Indizierung und zwei für die Suche) instanziiert werden. Dadurch wird eine hohe Verfügbarkeit mit Standby-Knoten in einer anderen Availability Zone gewährleistet.
Für Entwicklungs- und Testzwecke können Sie die Einstellung **Redundanz aktivieren** für eine Sammlung deaktivieren. Dadurch werden Standby-Replikate entfernt und es werden nur zwei verwendet OCUs (eines für die Indizierung und eines für die Suche).
Diese sind OCUs immer vorhanden, auch wenn keine Indizierungs- oder Suchaktivitäten stattfinden. Alle nachfolgenden Sammlungen können diese gemeinsam nutzen OCUs, mit Ausnahme von Sammlungen mit eindeutigen AWS KMS Schlüsseln, die ihren eigenen Satz von Schlüsseln instanziieren. OCUs Alle Sammlungen, die einer Sammlungsgruppe zugeordnet sind, können denselben Satz von verwenden. OCUs Nur ein Sammlungstyp (Suche, Zeitreihen- oder Vektorsuche) kann in einer einzigen Sammlungsgruppe enthalten sein. Weitere Informationen finden Sie unter [OpenSearch Serverlose Amazon-Sammelgruppen](serverless-collection-groups.md).
OpenSearch Serverless wird automatisch skaliert und erweitert OCUs , wenn Ihre Indexierungs- und Suchnutzung zunimmt. Wenn der Datenverkehr abnimmt, wird die Kapazität wieder auf die für Ihre Datengröße OCUs erforderliche Mindestanzahl herunterskaliert.
Bei Such- und Zeitreihenerfassungen ist die Anzahl der im Leerlauf OCUs erforderlichen Daten proportional zur Datengröße und Indexanzahl. Bei Vektorsammlungen hängen die OCU-Anforderungen vom Arbeitsspeicher (RAM) zum Speichern von Vektorgrafiken und vom Festplattenspeicher zum Speichern von Indizes ab. Wenn sie nicht inaktiv sind, berücksichtigen die OCU-Anforderungen beide Faktoren.
Vektorsammlungen speichern Indexdaten im lokalen OCU-Speicher. OCU-RAM-Grenzwerte werden schneller erreicht als Festplattenlimits, wodurch Vektorsammlungen nach RAM-Speicherplatz eingeschränkt werden.
Bei aktivierter Redundanz wird die OCU-Kapazität auf mindestens 1 OCU (0,5 OCU x 2) für die Indizierung und 1 OCU (0,5 OCU x 2) für die Suche herunterskaliert. Wenn Sie die Redundanz deaktivieren, kann Ihre Sammlung auf 0,5 OCU für die Indizierung und 0,5 OCU für die Suche herunterskaliert werden.
Bei der Skalierung wird auch die Anzahl der Shards berücksichtigt, die für Ihre Sammlung oder Ihren Index benötigt werden. Jede OCU unterstützt eine bestimmte Anzahl von Shards, und die Anzahl der Indizes sollte proportional zur Anzahl der Shards sein. Die Gesamtzahl der OCUs benötigten Basen entspricht dem Maximum Ihrer Daten-, Speicher- und Shard-Anforderungen. Weitere Informationen finden Sie im *AWS Big Data-Blog OpenSearch * [unter kostengünstige Suchfunktionen von Amazon Serverless in beliebiger Größenordnung](https://aws.amazon.com/blogs/big-data/amazon-opensearch-serverless-cost-effective-search-capabilities-at-any-scale/).
Bei Sammlungen von *Such* - und *Vektorsuchen* werden alle Daten in Hot-Indizes gespeichert, um schnelle Antwortzeiten bei Abfragen zu gewährleisten. *Zeitreihenerfassungen* verwenden eine Kombination aus heißem und warmem Speicher, wobei die neuesten Daten im Hot-Storage aufbewahrt werden, um die Antwortzeiten bei Abfragen für Daten, auf die häufiger zugegriffen wird, zu optimieren. Weitere Informationen finden Sie unter [Auswahl eines Sammlungstyps](serverless-overview.md#serverless-usecase).
**Anmerkung**
Eine Vektorsuchsammlung kann nicht OCUs mit *Such* - und *Zeitreihensammlungen* gemeinsam genutzt werden, selbst wenn die Vektorsuchsammlung denselben KMS-Schlüssel wie die *Such* - oder *Zeitreihensammlungen* verwendet. Für Ihre erste Vektorsammlung OCUs wird ein neuer Satz von erstellt. Die Vektorsammlungen werden OCUs von denselben KMS-Schlüsselsammlungen gemeinsam genutzt.
Um die Kapazität Ihrer Sammlungen zu verwalten und die Kosten zu kontrollieren, können Sie die maximale Indexierungs- und Suchkapazität für das aktuelle Konto und die Region insgesamt angeben. OpenSearch Serverless skaliert Ihre Sammlungsressourcen automatisch auf der Grundlage dieser Spezifikationen.
Da die Indizierungs- und Suchkapazität separat skaliert werden, geben Sie für beide Limits auf Kontoebene an:
+ **Maximale Indexkapazität** — OpenSearch Serverless kann die Indexierungskapazität auf bis zu diese Anzahl von erhöhen. OCUs
+ **Maximale Suchkapazität** — OpenSearch Serverless kann die Suchkapazität auf bis zu diese Anzahl von erhöhen. OCUs
**Anmerkung**
Derzeit gelten Kapazitätseinstellungen nur auf Kontoebene. Sie können keine Kapazitätsgrenzen pro Sammlung konfigurieren.
Ihr Ziel sollte es sein, sicherzustellen, dass die maximale Kapazität hoch genug ist, um Spitzen im Workload zu bewältigen. Basierend auf Ihren Einstellungen skaliert OpenSearch Serverless automatisch die Anzahl der Dateien, damit Ihre Sammlungen den Arbeitsaufwand OCUs für Indexierung und Suche verarbeiten können.
**Topics**
+ [Konfigurieren von Kapazitätseinstellungen](#serverless-scaling-configure)
+ [Maximale Kapazitätsgrenzen](#serverless-scaling-limits)
+ [Überwachung der Kapazitätsnutzung](#serverless-scaling-monitoring)
## Konfigurieren von Kapazitätseinstellungen
**Um die Kapazitätseinstellungen in der OpenSearch Serverless-Konsole zu konfigurieren, erweitern Sie **Serverless** im linken Navigationsbereich und wählen Sie Dashboard aus.** Geben Sie unter **Capacity management** (Kapazitätsverwaltung) die maximale Indizierungs- und Suchkapazität an:
![\[Capacity management dashboard showing indexing and search capacity graphs with 10 OCU limits.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/ServerlessCapacity.png)
Um die Kapazität mit dem zu konfigurieren AWS CLI, senden Sie eine [UpdateAccountSettings](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_UpdateAccountSettings.html)Anfrage:
```
aws opensearchserverless update-account-settings \
--capacity-limits '{ "maxIndexingCapacityInOCU": 8,"maxSearchCapacityInOCU": 9 }'
```
## Maximale Kapazitätsgrenzen
Die maximale Gesamtzahl von Indizes, die eine Sammlung enthalten kann, beträgt 1000. Für alle drei Arten von Sammlungen beträgt die standardmäßige maximale OCU-Kapazität 10 für die Indizierung und 10 OCUs OCUs für die Suche. Die für ein Konto zulässige Mindestkapazität ist 1 OCU [0,5 OCU x 2] für die Indexierung und 1 OCU [0,5 OCU x 2] für die Suche. Für alle Sammlungen beträgt die maximal zulässige Kapazität 1.700 für die Indexierung und 1.700 OCUs für die Suche. OCUs Sie können die OCU-Anzahl so konfigurieren, dass sie eine beliebige Zahl zwischen 2 und der maximal zulässigen Kapazität ist, und zwar in Vielfachen von 2.
Jede OCU verfügt über ausreichend kurzlebigen Hot-Speicher für 120 GiB Indexdaten. OpenSearch Serverless unterstützt bis zu 1 TiB an Daten pro Index in *Such* - und *Vektorsuchsammlungen* und 100 TiB an heißen Daten pro Index in einer *Zeitreihensammlung*. Bei Zeitreihen-Sammlungen können Sie immer noch mehr Daten aufnehmen, die dann als warme Daten in S3 gespeichert werden können.
Eine Liste aller Kontingente finden Sie unter [OpenSearch Serverlose](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html#opensearch-limits-serverless) Kontingente.
## Überwachung der Kapazitätsnutzung
Sie können die Metriken `SearchOCU` und die CloudWatch Kennzahlen `IndexingOCU` auf Kontoebene überwachen, um zu verstehen, wie Ihre Sammlungen skalieren. Wir empfehlen Ihnen, Warnungen zu konfigurieren, um sich benachrichtigen zu lassen wenn sich Ihr Konto einem Schwellenwert für kapazitätsbezogene Metriken nähert. So können Sie Ihre Kapazitätseinstellungen entsprechend anpassen.
Sie können diese Metriken auch verwenden, um festzustellen, ob Ihre Einstellungen für die maximale Kapazität angemessen sind oder ob Sie diese anpassen müssen. Analysieren Sie diese Metriken, um Ihre Bemühungen auf die Optimierung der Effizienz Ihrer Sammlungen zu konzentrieren. Weitere Informationen zu den Metriken, an die OpenSearch Serverless sendet, finden Sie CloudWatch unter. [Überwachung von Amazon OpenSearch Serverless](serverless-monitoring.md)
# Daten in Amazon OpenSearch Serverless-Sammlungen aufnehmen
In diesen Abschnitten finden Sie Einzelheiten zu den unterstützten Ingest-Pipelines für die Datenaufnahme in Amazon Serverless Collections. OpenSearch Sie behandeln auch einige der Clients, die Sie für die Interaktion mit den API-Vorgängen verwenden können. OpenSearch Ihre Clients sollten mit OpenSearch 2.x kompatibel sein, um sie in OpenSearch Serverless integrieren zu können.
**Topics**
+ [Erforderliche Mindestberechtigungen](#serverless-ingestion-permissions)
+ [OpenSearch Verschlucken](#serverless-osis-ingestion)
+ [Fluent Bit](#serverless-fluentbit)
+ [Amazon Data Firehose](#serverless-kdf)
+ [Go](#serverless-go)
+ [Java](#serverless-java)
+ [JavaScript](#serverless-javascript)
+ [Logstash](#serverless-logstash)
+ [Python](#serverless-python)
+ [Ruby](#serverless-ruby)
+ [Signieren von HTTP-Anforderungen mit anderen Clients](#serverless-signing)
## Erforderliche Mindestberechtigungen
[Um Daten in eine OpenSearch serverlose Sammlung aufzunehmen, muss dem Principal, der die Daten schreibt, in einer Datenzugriffsrichtlinie die folgenden Mindestberechtigungen zugewiesen werden:](serverless-data-access.md)
```
[
{
"Rules":[
{
"ResourceType":"index",
"Resource":[
"index/target-collection/logs"
],
"Permission":[
"aoss:CreateIndex",
"aoss:WriteDocument",
"aoss:UpdateIndex"
]
}
],
"Principal":[
"arn:aws:iam::123456789012:user/my-user"
]
}
]
```
Die Berechtigungen können umfassender sein, wenn Sie in zusätzliche Indizes schreiben möchten. Anstatt beispielsweise einen einzelnen Zielindex anzugeben, können Sie Zugriff auf alle Indizes (index/ *target-collection* /\$1) oder auf eine Teilmenge von Indizes (index//) gewähren. *target-collection* *logs\$1*
Eine Referenz aller verfügbaren OpenSearch API-Operationen und der zugehörigen Berechtigungen finden Sie unter. [Unterstützte Operationen und Plugins in Amazon OpenSearch Serverless](serverless-genref.md)
## OpenSearch Verschlucken
Anstatt einen Drittanbieter-Client zu verwenden, um Daten direkt an eine OpenSearch serverlose Sammlung zu senden, können Sie Amazon OpenSearch Ingestion verwenden. Sie konfigurieren Ihre Datenproduzenten so, dass sie Daten an OpenSearch Ingestion senden, und Ingestion übermittelt die Daten automatisch an die von Ihnen angegebene Sammlung. Sie können OpenSearch Ingestion auch so konfigurieren, dass Ihre Daten vor der Bereitstellung transformiert werden. Weitere Informationen finden Sie unter [Überblick über Amazon OpenSearch Ingestion](ingestion.md).
Eine OpenSearch Ingestion-Pipeline benötigt die Berechtigung, in eine OpenSearch serverlose Sammlung zu schreiben, die als Senke konfiguriert ist. Zu diesen Berechtigungen gehört die Möglichkeit, die Sammlung zu beschreiben und HTTP-Anfragen an sie zu senden. Anweisungen zur Verwendung von OpenSearch Ingestion zum Hinzufügen von Daten zu einer Sammlung finden Sie unter. [Amazon OpenSearch Ingestion-Pipelines Zugriff auf Sammlungen gewähren](pipeline-collection-access.md)
Informationen zu den ersten Schritten mit OpenSearch Ingestion finden Sie unter. [Tutorial: Daten mit Amazon OpenSearch Ingestion in eine Sammlung aufnehmen](osis-serverless-get-started.md)
## Fluent Bit
Sie können das [Bild AWS für Fluent Bit und das OpenSearch ](https://github.com/aws/aws-for-fluent-bit#public-images) [Ausgabe-Plugin](https://docs.fluentbit.io/manual/pipeline/outputs/opensearch) verwenden, um Daten in serverlose Sammlungen aufzunehmen. OpenSearch
**Anmerkung**
Sie benötigen Version 2.30.0 oder höher des AWS for Fluent Bit-Images, um die Integration mit Serverless durchführen zu können. OpenSearch
**Beispielkonfiguration**:
Dieser Beispielausgabeabschnitt der Konfigurationsdatei zeigt, wie eine OpenSearch serverlose Sammlung als Ziel verwendet wird. Die wichtige Ergänzung ist der `AWS_Service_Name`-Parameter, der `aoss` ist. `Host` ist der Sammlungsendpunkt.
```
[OUTPUT]
Name opensearch
Match *
Host collection-endpoint.us-west-2.aoss.amazonaws.com
Port 443
Index my_index
Trace_Error On
Trace_Output On
AWS_Auth On
AWS_Region
AWS_Service_Name aoss
tls On
Suppress_Type_Name On
```
## Amazon Data Firehose
Firehose unterstützt OpenSearch Serverless als Lieferziel. Anweisungen zum Senden von Daten an OpenSearch Serverless finden Sie unter [Creating a Kinesis Data Firehose Delivery Stream](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html) and [Choose OpenSearch Serverless for Your Destination](https://docs.aws.amazon.com/firehose/latest/dev/create-destination.html#create-destination-opensearch-serverless) im *Amazon Data* Firehose Developer Guide.
Die IAM-Rolle, die Sie Firehose für die Lieferung zur Verfügung stellen, muss in einer Datenzugriffsrichtlinie mit der `aoss:WriteDocument` Mindestberechtigung für die Zielsammlung angegeben werden, und Sie müssen über einen bereits vorhandenen Index verfügen, an den Daten gesendet werden können. Weitere Informationen finden Sie unter [Erforderliche Mindestberechtigungen](#serverless-ingestion-permissions).
Bevor Sie Daten an OpenSearch Serverless senden, müssen Sie möglicherweise Transformationen an den Daten durchführen. Weitere Informationen über die Verwendung von Lambda-Funktionen zur Ausführung dieser Aufgabe finden Sie unter [Amazon Kinesis Data Firehose Datentransformation](https://docs.aws.amazon.com/firehose/latest/dev/data-transformation.html) im selben Handbuch.
## Go
Der folgende Beispielcode verwendet den [opensearch-go-Client für Go](https://github.com/opensearch-project/opensearch-go), um eine sichere Verbindung zur angegebenen OpenSearch Serverless-Sammlung herzustellen und einen einzelnen Index zu erstellen. Sie müssen Werte für `region` und `host` angeben.
```
package main
import (
"context"
"log"
"strings"
"github.com/aws/aws-sdk-go-v2/aws"
"github.com/aws/aws-sdk-go-v2/config"
opensearch "github.com/opensearch-project/opensearch-go/v2"
opensearchapi "github.com/opensearch-project/opensearch-go/v2/opensearchapi"
requestsigner "github.com/opensearch-project/opensearch-go/v2/signer/awsv2"
)
const endpoint = "" // serverless collection endpoint
func main() {
ctx := context.Background()
awsCfg, err := config.LoadDefaultConfig(ctx,
config.WithRegion(""),
config.WithCredentialsProvider(
getCredentialProvider("", "", ""),
),
)
if err != nil {
log.Fatal(err) // don't log.fatal in a production-ready app
}
// create an AWS request Signer and load AWS configuration using default config folder or env vars.
signer, err := requestsigner.NewSignerWithService(awsCfg, "aoss") // "aoss" for Amazon OpenSearch Serverless
if err != nil {
log.Fatal(err) // don't log.fatal in a production-ready app
}
// create an opensearch client and use the request-signer
client, err := opensearch.NewClient(opensearch.Config{
Addresses: []string{endpoint},
Signer: signer,
})
if err != nil {
log.Fatal("client creation err", err)
}
indexName := "go-test-index"
// define index mapping
mapping := strings.NewReader(`{
"settings": {
"index": {
"number_of_shards": 4
}
}
}`)
// create an index
createIndex := opensearchapi.IndicesCreateRequest{
Index: indexName,
Body: mapping,
}
createIndexResponse, err := createIndex.Do(context.Background(), client)
if err != nil {
log.Println("Error ", err.Error())
log.Println("failed to create index ", err)
log.Fatal("create response body read err", err)
}
log.Println(createIndexResponse)
// delete the index
deleteIndex := opensearchapi.IndicesDeleteRequest{
Index: []string{indexName},
}
deleteIndexResponse, err := deleteIndex.Do(context.Background(), client)
if err != nil {
log.Println("failed to delete index ", err)
log.Fatal("delete index response body read err", err)
}
log.Println("deleting index", deleteIndexResponse)
}
func getCredentialProvider(accessKey, secretAccessKey, token string) aws.CredentialsProviderFunc {
return func(ctx context.Context) (aws.Credentials, error) {
c := &aws.Credentials{
AccessKeyID: accessKey,
SecretAccessKey: secretAccessKey,
SessionToken: token,
}
return *c, nil
}
}
```
## Java
Der folgende Beispielcode verwendet den [opensearch-java-Client für Java](https://search.maven.org/artifact/org.opensearch.client/opensearch-java), um eine sichere Verbindung zur angegebenen OpenSearch Serverless-Sammlung herzustellen und einen einzelnen Index zu erstellen. Sie müssen Werte für `region` und `host` angeben.
Der wichtige Unterschied zu OpenSearch *Service-Domains* ist der Dienstname (`aoss`anstelle von). `es`
```
// import OpenSearchClient to establish connection to OpenSearch Serverless collection
import org.opensearch.client.opensearch.OpenSearchClient;
SdkHttpClient httpClient = ApacheHttpClient.builder().build();
// create an opensearch client and use the request-signer
OpenSearchClient client = new OpenSearchClient(
new AwsSdk2Transport(
httpClient,
"...us-west-2.aoss.amazonaws.com", // serverless collection endpoint
"aoss" // signing service name
Region.US_WEST_2, // signing service region
AwsSdk2TransportOptions.builder().build()
)
);
String index = "sample-index";
// create an index
CreateIndexRequest createIndexRequest = new CreateIndexRequest.Builder().index(index).build();
CreateIndexResponse createIndexResponse = client.indices().create(createIndexRequest);
System.out.println("Create index reponse: " + createIndexResponse);
// delete the index
DeleteIndexRequest deleteIndexRequest = new DeleteIndexRequest.Builder().index(index).build();
DeleteIndexResponse deleteIndexResponse = client.indices().delete(deleteIndexRequest);
System.out.println("Delete index reponse: " + deleteIndexResponse);
httpClient.close();
```
Der folgende Beispielcode stellt erneut eine sichere Verbindung her und durchsucht dann einen Index.
```
import org.opensearch.client.opensearch.OpenSearchClient;
SdkHttpClient httpClient = ApacheHttpClient.builder().build();
OpenSearchClient client = new OpenSearchClient(
new AwsSdk2Transport(
httpClient,
"...us-west-2.aoss.amazonaws.com", // serverless collection endpoint
"aoss" // signing service name
Region.US_WEST_2, // signing service region
AwsSdk2TransportOptions.builder().build()
)
);
Response response = client.generic()
.execute(
Requests.builder()
.endpoint("/" + "users" + "/_search?typed_keys=true")
.method("GET")
.json("{"
+ " \"query\": {"
+ " \"match_all\": {}"
+ " }"
+ "}")
.build());
httpClient.close();
```
## JavaScript
Im folgenden Beispielcode wird der [opensearch-js-Client](https://www.npmjs.com/package/@opensearch-project/opensearch) verwendet, JavaScript um eine sichere Verbindung zur angegebenen OpenSearch Serverless-Sammlung herzustellen, einen einzelnen Index zu erstellen, ein Dokument hinzuzufügen und den Index zu löschen. Sie müssen Werte für `node` und `region` angeben.
Der wichtige Unterschied zu OpenSearch *Dienstdomänen* ist der Dienstname (`aoss`anstelle von). `es`
------
#### [ Version 3 ]
In diesem Beispiel wird [Version 3](https://docs.aws.amazon.com/AWSJavaScriptSDK/v3/latest/) des SDK für JavaScript in Node.js verwendet.
```
const { defaultProvider } = require('@aws-sdk/credential-provider-node');
const { Client } = require('@opensearch-project/opensearch');
const { AwsSigv4Signer } = require('@opensearch-project/opensearch/aws');
async function main() {
// create an opensearch client and use the request-signer
const client = new Client({
...AwsSigv4Signer({
region: 'us-west-2',
service: 'aoss',
getCredentials: () => {
const credentialsProvider = defaultProvider();
return credentialsProvider();
},
}),
node: '' # // serverless collection endpoint
});
const index = 'movies';
// create index if it doesn't already exist
if (!(await client.indices.exists({ index })).body) {
console.log((await client.indices.create({ index })).body);
}
// add a document to the index
const document = { foo: 'bar' };
const response = await client.index({
id: '1',
index: index,
body: document,
});
console.log(response.body);
// delete the index
console.log((await client.indices.delete({ index })).body);
}
main();
```
------
#### [ Version 2 ]
In diesem Beispiel wird [Version 2](https://docs.aws.amazon.com/AWSJavaScriptSDK/latest/) des SDK für JavaScript in Node.js verwendet.
```
const AWS = require('aws-sdk');
const { Client } = require('@opensearch-project/opensearch');
const { AwsSigv4Signer } = require('@opensearch-project/opensearch/aws');
async function main() {
// create an opensearch client and use the request-signer
const client = new Client({
...AwsSigv4Signer({
region: 'us-west-2',
service: 'aoss',
getCredentials: () =>
new Promise((resolve, reject) => {
AWS.config.getCredentials((err, credentials) => {
if (err) {
reject(err);
} else {
resolve(credentials);
}
});
}),
}),
node: '' # // serverless collection endpoint
});
const index = 'movies';
// create index if it doesn't already exist
if (!(await client.indices.exists({ index })).body) {
console.log((await client.indices.create({
index
})).body);
}
// add a document to the index
const document = {
foo: 'bar'
};
const response = await client.index({
id: '1',
index: index,
body: document,
});
console.log(response.body);
// delete the index
console.log((await client.indices.delete({ index })).body);
}
main();
```
------
## Logstash
Sie können das [ OpenSearch Logstash-Plugin](https://github.com/opensearch-project/logstash-output-opensearch) verwenden, um Logs in OpenSearch serverlosen Sammlungen zu veröffentlichen.
**Um Logstash zu verwenden, um Daten an Serverless zu senden OpenSearch**
1. Installieren Sie Version *2.0.0 oder höher* des [logstash-output-opensearch](https://github.com/opensearch-project/logstash-output-opensearch)Plugins mit Docker oder Linux.
------
#### [ Docker ]
[Docker hostet die Logstash OSS-Software mit dem vorinstallierten Ausgabe-Plugin: opensearchproject/ OpenSearch -output-plugin. logstash-oss-with-opensearch](https://hub.docker.com/r/opensearchproject/logstash-oss-with-opensearch-output-plugin/tags?page=1&ordering=last_updated&name=8.4.0) Sie können das Image wie jedes andere Image abrufen:
```
docker pull opensearchproject/logstash-oss-with-opensearch-output-plugin:latest
```
------
#### [ Linux ]
[Installieren Sie zunächst die neueste Version von Logstash](https://www.elastic.co/guide/en/logstash/current/installing-logstash.html), falls Sie dies noch nicht getan haben. Installieren Sie anschließend Version 2.0.0 des Ausgabe-Plugins:
```
cd logstash-8.5.0/
bin/logstash-plugin install --version 2.0.0 logstash-output-opensearch
```
Wenn das Plugin bereits installiert ist, aktualisieren Sie es auf die neueste Version:
```
bin/logstash-plugin update logstash-output-opensearch
```
Ab Version 2.0.0 des Plugins verwendet das SDK Version 3. AWS Wenn du eine Logstash-Version vor 8.4.0 verwendest, musst du alle vorinstallierten AWS Plugins entfernen und das Plugin installieren: `logstash-integration-aws`
```
/usr/share/logstash/bin/logstash-plugin remove logstash-input-s3
/usr/share/logstash/bin/logstash-plugin remove logstash-input-sqs
/usr/share/logstash/bin/logstash-plugin remove logstash-output-s3
/usr/share/logstash/bin/logstash-plugin remove logstash-output-sns
/usr/share/logstash/bin/logstash-plugin remove logstash-output-sqs
/usr/share/logstash/bin/logstash-plugin remove logstash-output-cloudwatch
/usr/share/logstash/bin/logstash-plugin install --version 0.1.0.pre logstash-integration-aws
```
------
1. Damit das OpenSearch Ausgabe-Plugin mit OpenSearch Serverless funktioniert, müssen Sie die folgenden Änderungen am Ausgabebereich von logstash.conf vornehmen: `opensearch`
+ Geben Sie `aoss` als `service_name` unter `auth_type` an.
+ Geben Sie Ihren Sammlungsendpunkt für `hosts` an.
+ Fügen Sie die Parameter `default_server_major_version` und `legacy_template` hinzu. Diese Parameter sind erforderlich, damit das Plugin mit Serverless funktioniert. OpenSearch
```
output {
opensearch {
hosts => "collection-endpoint:443"
auth_type => {
...
service_name => 'aoss'
}
default_server_major_version => 2
legacy_template => false
}
}
```
Diese Beispielkonfigurationsdatei verwendet ihre Eingabe aus Dateien in einem S3-Bucket und sendet sie an eine OpenSearch Serverless-Sammlung:
```
input {
s3 {
bucket => "my-s3-bucket"
region => "us-east-1"
}
}
output {
opensearch {
ecs_compatibility => disabled
hosts => "https://my-collection-endpoint.us-east-1.aoss.amazonaws.com:443"
index => my-index
auth_type => {
type => 'aws_iam'
aws_access_key_id => 'your-access-key'
aws_secret_access_key => 'your-secret-key'
region => 'us-east-1'
service_name => 'aoss'
}
default_server_major_version => 2
legacy_template => false
}
}
```
1. Führen Sie dann Logstash mit der neuen Konfiguration aus, um das Plugin zu testen:
```
bin/logstash -f config/test-plugin.conf
```
## Python
Der folgende Beispielcode verwendet den [opensearch-py-Client](https://pypi.org/project/opensearch-py/) für Python, um eine sichere Verbindung zur angegebenen OpenSearch Serverless-Sammlung herzustellen, einen einzelnen Index zu erstellen und diesen Index zu durchsuchen. Sie müssen Werte für `region` und `host` angeben.
Der wichtige Unterschied zu OpenSearch *Dienstdomänen* ist der Dienstname (`aoss`anstelle von). `es`
```
from opensearchpy import OpenSearch, RequestsHttpConnection, AWSV4SignerAuth
import boto3
host = '' # serverless collection endpoint, without https://
region = '' # e.g. us-east-1
service = 'aoss'
credentials = boto3.Session().get_credentials()
auth = AWSV4SignerAuth(credentials, region, service)
# create an opensearch client and use the request-signer
client = OpenSearch(
hosts=[{'host': host, 'port': 443}],
http_auth=auth,
use_ssl=True,
verify_certs=True,
connection_class=RequestsHttpConnection,
pool_maxsize=20,
)
# create an index
index_name = 'books-index'
create_response = client.indices.create(
index_name
)
print('\nCreating index:')
print(create_response)
# index a document
document = {
'title': 'The Green Mile',
'director': 'Stephen King',
'year': '1996'
}
response = client.index(
index = 'books-index',
body = document,
id = '1'
)
# delete the index
delete_response = client.indices.delete(
index_name
)
print('\nDeleting index:')
print(delete_response)
```
## Ruby
Das `opensearch-aws-sigv4` Gem bietet standardmäßig Zugriff auf OpenSearch Serverless und OpenSearch Service. Es hat alle Funktionen des [opensearch-ruby](https://rubygems.org/gems/opensearch-ruby)-Clients, da es von diesem Gem abhängig ist.
Geben Sie bei der Instanziierung des Sigv4-Signers `aoss` als Servicenamen an:
```
require 'opensearch-aws-sigv4'
require 'aws-sigv4'
signer = Aws::Sigv4::Signer.new(service: 'aoss',
region: 'us-west-2',
access_key_id: 'key_id',
secret_access_key: 'secret')
# create an opensearch client and use the request-signer
client = OpenSearch::Aws::Sigv4Client.new(
{ host: 'https://your.amz-opensearch-serverless.endpoint',
log: true },
signer)
# create an index
index = 'prime'
client.indices.create(index: index)
# insert data
client.index(index: index, id: '1', body: { name: 'Amazon Echo',
msrp: '5999',
year: 2011 })
# query the index
client.search(body: { query: { match: { name: 'Echo' } } })
# delete index entry
client.delete(index: index, id: '1')
# delete the index
client.indices.delete(index: index)
```
## Signieren von HTTP-Anforderungen mit anderen Clients
Die folgenden Anforderungen gelten für das [Signieren von Anfragen](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) an OpenSearch serverlose Sammlungen, wenn Sie HTTP-Anfragen mit anderen Clients erstellen.
+ Sie müssen den Service-Namen als `aoss` angeben.
+ Der `x-amz-content-sha256`-Header ist für alle Anforderungen der AWS Signature Version 4 erforderlich. Es stellt einen Hash der Anforderungsnutzlast bereit. Wenn eine Anforderungs-Payload vorhanden ist, setzen Sie den Wert auf den kryptografischen Hash (SHA) des Secure Hash Algorithm (). SHA256 Wenn keine Anforderungsnutzlast vorhanden ist, setzen Sie den Wert auf `e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855`, was der Hash einer leeren Zeichenfolge ist.
**Topics**
+ [Indizierung mit cURL](#serverless-signing-curl)
+ [Indizierung mit Postman](#serverless-signing-postman)
### Indizierung mit cURL
Die folgende Beispielanforderung verwendet die Client URL Request Library (cURL), um ein einzelnes Dokument an einen Index zu senden, der `movies-index` innerhalb einer Sammlung benannt ist:
```
curl -XPOST \
--user "$AWS_ACCESS_KEY_ID":"$AWS_SECRET_ACCESS_KEY" \
--aws-sigv4 "aws:amz:us-east-1:aoss" \
--header "x-amz-content-sha256: $REQUEST_PAYLOAD_SHA_HASH" \
--header "x-amz-security-token: $AWS_SESSION_TOKEN" \
"https://my-collection-endpoint.us-east-1.aoss.amazonaws.com/movies-index/_doc" \
-H "Content-Type: application/json" -d '{"title": "Shawshank Redemption"}'
```
### Indizierung mit Postman
Die folgende Abbildung zeigt, wie Sie mit Postman Anfragen an eine Sammlung senden. Anweisungen zur Authentifizierung finden Sie unter [Workflow zur Authentifizierung mit AWS Signatur](https://learning.postman.com/docs/sending-requests/authorization/aws-signature/) in Postman.
![\[JSON response showing creation of a "movies-index" with successful result and no shards.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/ServerlessPostman.png)
# Machine Learning auf Amazon OpenSearch Serverless konfigurieren
## Maschinelles Lernen
Machine Learning (ML) bietet ML-Funktionen in Form von ML-Algorithmen und Remote-Modellen. Mit Zugriff auf diese Modelle können Sie verschiedene KI-Workflows wie RAG oder semantische Suche ausführen. ML unterstützt das Experimentieren und den produktiven Einsatz generativer KI-Anwendungsfälle unter Verwendung der neuesten extern gehosteten Modelle, die Sie mit Konnektoren konfigurieren können. Nachdem Sie einen Konnektor konfiguriert haben, müssen Sie ihn für ein Modell konfigurieren und ihn dann bereitstellen, um Vorhersagen durchzuführen.
## Konnektoren
Konnektoren erleichtern den Zugriff auf Modelle, die auf ML-Plattformen von Drittanbietern gehostet werden. Sie dienen als Gateway zwischen Ihrem OpenSearch Cluster und einem Remote-Modell. Weitere Informationen finden Sie in der folgenden Dokumentation:
+ [Erstellung von Konnektoren für ML-Plattformen von Drittanbietern](https://docs.opensearch.org/latest/ml-commons-plugin/remote-models/connectors/) auf der *OpenSearch Dokumentationswebsite*
+ [Konnektoren für externe Plattformen](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ml-external-connector.html)
+ [Anschlüsse für AWS-Services](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ml-amazon-connector.html)
**Wichtig**
Wenn Sie eine Vertrauensrichtlinie erstellen, fügen Sie **ml.opensearchservice.amazonaws.com** sie als OpenSearch Serviceprinzip hinzu.
Überspringen Sie die Schritte auf der [Connectors-Seite](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ml-amazon-connector.html), auf der die Konfiguration einer Domäne in der Richtlinie beschrieben wird.
Fügen Sie die `iam:PassRole` Anweisung im Schritt [Berechtigungen konfigurieren](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ml-amazon-connector.html#connector-sagemaker-prereq) hinzu.
Überspringen Sie **den Schritt ML-Rolle** zuordnen in OpenSearch Dashboards. Die Konfiguration der Backend-Rolle ist nicht erforderlich. Dies gilt für [Konnektoren für AWS-Services](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ml-amazon-connector.html) und für [Konnektoren für externe Plattformen](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ml-external-connector.html).
Stellen Sie in Ihrer SigV4-Anfrage an den Sammlungsendpunkt den Dienstnamen auf **aoss** statt **es** auf ein.
## Modelle
Ein Modell ist die Kernfunktionalität, die in verschiedenen KI-Workflows verwendet wird. Im Allgemeinen verknüpfen Sie den Konnektor mit einem Modell, um mithilfe des Konnektors Vorhersagen zu treffen. Sobald sich ein Modell im Bereitstellungsstatus befindet, können Sie eine Vorhersage ausführen. Weitere Informationen finden Sie auf der *OpenSearch Dokumentationswebsite* unter [Registrieren eines Modells, das auf einer Plattform eines Drittanbieters gehostet wird](https://docs.opensearch.org/latest/ml-commons-plugin/api/model-apis/register-model/#register-a-model-hosted-on-a-third-party-platform).
**Anmerkung**
Nicht alle Modellfunktionen werden auf OpenSearch Serverless unterstützt, z. B. lokale Modelle. Weitere Informationen finden Sie unter [Machine Learning APIs und Funktionen werden nicht unterstützt](serverless-machine-learning-unsupported-features.md).
## Berechtigungen für Machine Learning konfigurieren
Im folgenden Abschnitt werden die Zugriffsrichtlinien für Sammlungsdaten beschrieben, die für Machine Learning (ML) erforderlich sind. Ersetzen Sie die *placeholder values* durch Ihre spezifischen Informationen. Weitere Informationen finden Sie unter [Unterstützte Richtlinienberechtigungen](serverless-data-access.md#serverless-data-supported-permissions).
```
{
"Rules": [
{
"Resource": [
"model/collection_name/*"
],
"Permission": [
"aoss:DescribeMLResource",
"aoss:CreateMLResource",
"aoss:UpdateMLResource",
"aoss:DeleteMLResource",
"aoss:ExecuteMLResource"
],
"ResourceType": "model"
}
],
"Principal": [
"arn:aws:iam::account_id:role/role_name"
],
"Description": "ML full access policy for collection_name"
}
```
+ **aoss:Describe MLResource** — Erteilt die Berechtigung zum Suchen und Abfragen von Konnektoren, Modellen und Modellgruppen.
+ **aoss:Create MLResource — Erteilt die Berechtigung zum Erstellen** von Konnektoren, Modellen und Modellgruppen.
+ **aoss:Update MLResource** — Erteilt die Berechtigung zum Aktualisieren von Konnektoren, Modellen und Modellgruppen.
+ **aoss:Delete MLResource — Erteilt die Berechtigung zum Löschen** von Konnektoren, Modellen und Modellgruppen.
+ **aoss:Execute MLResource** — Erteilt die Erlaubnis, Vorhersagen für Modelle durchzuführen.
# Machine Learning APIs und Funktionen werden nicht unterstützt
## Nicht unterstützt APIs
Die folgenden Machine Learning (ML) APIs werden auf Amazon OpenSearch Serverless nicht unterstützt:
+ Funktionalität des lokalen Modells
+ Model Train-API
+ API für den Algorithmus Model Predict
+ Modell Batch Predict API
+ Agenten-API und die entsprechenden Tools
+ MCP-Server APIs
+ Speicher APIs
+ Steuerung APIs
+ Algorithmus-API ausführen
+ ML-Profil-AP
+ ML-Statistik-API
Weitere Informationen zu ML APIs finden Sie unter [ML APIs](https://docs.opensearch.org/latest/ml-commons-plugin/api/index/) auf der *OpenSearch Dokumentationswebsite*.
## Nicht unterstützte Funktionen
Die folgenden ML-Funktionen werden auf Amazon OpenSearch Serverless nicht unterstützt:
+ Agenten und Tools
+ Lokale Modelle
+ Der ML-Inferenzprozessor in Search- und Ingest-Pipelines
+ Ingest-Prozessor für ML Inference
+ Antwortprozessor für die ML-Inferenzsuche
+ Prozessor für ML-Inferenz-Suchanfragen
Weitere Informationen zu diesen Funktionen finden Sie in der folgenden Dokumentation auf der *OpenSearch Dokumentationswebsite*:
+ [Machine Learning](https://docs.opensearch.org/latest/ml-commons-plugin)
+ [ML-Inferenzprozessor](https://docs.opensearch.org/latest/ingest-pipelines/processors/ml-inference/)
+ [Pipelines durchsuchen](https://docs.opensearch.org/latest/search-plugins/search-pipelines/index/)
# Konfiguration der neuronalen Suche und der Hybridsuche auf OpenSearch Serverless
## Neuronale Suche
Amazon OpenSearch Serverless unterstützt die neuronale Suchfunktion für semantische Suchvorgänge in Ihren Daten. Neural Search verwendet Modelle für maschinelles Lernen, um die semantische Bedeutung und den Kontext Ihrer Anfragen zu verstehen, und liefert so relevantere Suchergebnisse als herkömmliche schlüsselwortbasierte Suchen. In diesem Abschnitt wird erklärt, wie Neural Search in OpenSearch Serverless konfiguriert wird, einschließlich der erforderlichen Berechtigungen, der unterstützten Prozessoren und der wichtigsten Unterschiede zur Standardimplementierung. OpenSearch
Mit Neural Search können Sie eine semantische Suche in Ihren Daten durchführen, wobei die semantische Bedeutung berücksichtigt wird, um die Absicht Ihrer Suchanfragen zu verstehen. Diese Funktion wird durch die folgenden Komponenten unterstützt:
+ Pipeline-Prozessor für Texteinbettung, Ingest
+ Neuronale Abfrage
+ Neuronale, spärliche Abfrage
## Hybride Suche
Mit der Hybridsuche können Sie die Suchrelevanz verbessern, indem Sie Schlüsselwort- und semantische Suchfunktionen kombinieren. Um die Hybridsuche zu verwenden, erstellen Sie eine Suchpipeline, die Ihre Suchergebnisse verarbeitet und die Punktzahlen der Dokumente kombiniert. Weitere Informationen finden Sie unter [Such-Pipelines](https://docs.opensearch.org/latest/search-plugins/search-pipelines/index/) auf der *OpenSearch Dokumentationswebsite*. Verwenden Sie die folgenden Komponenten, um die Hybridsuche zu implementieren:
+ Pipeline-Prozessor für die Normalisierung der Suche
**Unterstützte Normalisierungstechniken**
+ `min_max`
+ `l2`
**Unterstützte Kombinationstechniken**
+ `arithmetic_mean`
+ `geometric_mean`
+ `harmonic_mean`
Weitere Informationen zu Normalisierungs- und Kombinationstechniken finden Sie auf der *OpenSearchDokumentationswebsite* unter [Felder für den Anforderungstext](https://docs.opensearch.org/latest/search-plugins/search-pipelines/normalization-processor/#request-body-fields).
+ Hybrid-Abfrage
## Neuronale und hybride Abfragen
OpenSearch Berechnet die Punktzahlen von Dokumenten standardmäßig mithilfe des schlüsselwortbasierten BM25 Okapi-Algorithmus, der sich gut für Suchanfragen eignet, die Schlüsselwörter enthalten. Neural Search bietet neue Abfragetypen für Abfragen in natürlicher Sprache und die Möglichkeit, sowohl die semantische Suche als auch die Stichwortsuche zu kombinieren.
**Example : `neural`**
```
"neural": {
"vector_field": {
"query_text": "query_text",
"query_image": "image_binary",
"model_id": "model_id",
"k": 100
}
}
```
Weitere Informationen finden Sie unter [Neuronale Abfragen](https://docs.opensearch.org/latest/query-dsl/specialized/neural/) auf der *OpenSearch Dokumentationswebsite*.
**Example : `hybrid`**
```
"hybrid": {
"queries": [
array of lexical, neural, or combined queries
]
}
```
Weitere Informationen finden Sie unter [Hybride Abfrage](https://docs.opensearch.org/latest/query-dsl/compound/hybrid/) auf der *OpenSearch Dokumentationswebsite*.
Um semantische Suchkomponenten in Amazon OpenSearch Serverless zu konfigurieren, folgen Sie den Schritten im [Tutorial Neural Search](https://docs.opensearch.org/latest/tutorials/vector-search/neural-search-tutorial/) auf der *OpenSearch Dokumentationswebsite*. Beachten Sie diese wichtigen Unterschiede:
+ OpenSearch Serverless unterstützt nur Remote-Modelle. Sie müssen Konnektoren für remote gehostete Modelle konfigurieren. Sie müssen keine Remote-Modelle bereitstellen oder entfernen. Weitere Informationen finden Sie unter [Erste Schritte mit der semantischen und hybriden Suche](https://docs.opensearch.org/latest/tutorials/vector-search/neural-search-tutorial/) auf der *OpenSearch Dokumentationswebsite*.
+ Rechnen Sie mit einer Latenz von bis zu 15 Sekunden, wenn Sie in Ihrem Vektorindex suchen oder nach kürzlich erstellten Such- und Ingest-Pipelines suchen.
## Konfigurieren von -Berechtigungen
Für die neuronale Suche in OpenSearch Serverless sind die folgenden Berechtigungen erforderlich. Weitere Informationen finden Sie unter [Unterstützte Richtlinienberechtigungen](serverless-data-access.md#serverless-data-supported-permissions).
**Example : Richtlinie zur neuronalen Suche**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "NeuralSearch",
"Effect": "Allow",
"Action": [
"aoss:CreateIndex",
"aoss:CreateCollection",
"aoss:UpdateCollection",
"aoss:DeleteIndex",
"aoss:DeleteCollection"
],
"Resource": "arn:aws:aoss:us-east-1:111122223333:collection/your-collection-name"
}
]
}
```
+ **aoss: \$1Index** — Erzeugt einen Vektorindex, in dem Texteinbettungen gespeichert werden.
+ **aoss: \$1 CollectionItems** — Erstellt Ingest- und Such-Pipelines.
+ **aoss: \$1 MLResource** — Erzeugt und registriert Modelle zur Texteinbettung.
+ **aoss: APIAccess All — Ermöglicht** den Zugriff auf Such OpenSearch APIs - und Aufnahmeoperationen.
Im Folgenden werden die Zugriffsrichtlinien für die Erfassung von Daten beschrieben, die für die neuronale Suche erforderlich sind. Ersetzen Sie die *placeholder values* durch Ihre spezifischen Informationen.
**Example : Datenzugriffsrichtlinie**
```
[
{
"Description": "Create index permission",
"Rules": [
{
"ResourceType": "index",
"Resource": ["index/collection_name/*"],
"Permission": [
"aoss:CreateIndex",
"aoss:DescribeIndex",
"aoss:UpdateIndex",
"aoss:DeleteIndex"
]
}
],
"Principal": [
"arn:aws:iam::account_id:role/role_name"
]
},
{
"Description": "Create pipeline permission",
"Rules": [
{
"ResourceType": "collection",
"Resource": ["collection/collection_name"],
"Permission": [
"aoss:CreateCollectionItems",
"aoss:DescribeCollectionItems",
"aoss:UpdateCollectionItems",
"aoss:DeleteCollectionItems"
]
}
],
"Principal": [
"arn:aws:iam::account_id:role/role_name"
]
},
{
"Description": "Create model permission",
"Rules": [
{
"ResourceType": "model",
"Resource": ["model/collection_name/*"],
"Permission": ["aoss:CreateMLResources"]
}
],
"Principal": [
"arn:aws:iam::account_id:role/role_name"
]
}
]
```
# Workflows auf Amazon OpenSearch Serverless konfigurieren
## Arbeitsabläufe
Workflows unterstützen Bauherren bei der Entwicklung innovativer KI-Anwendungen auf OpenSearch. Der aktuelle Prozess der Nutzung von Angeboten für maschinelles Lernen (ML) OpenSearch, wie z. B. der semantischen Suche, erfordert komplexe Einrichtungs- und Vorverarbeitungsaufgaben sowie ausführliche Benutzerabfragen, die beide zeitaufwändig und fehleranfällig sein können. Workflows sind ein Framework zur Vereinfachung, für das mehrere API-Aufrufe verkettet werden können. OpenSearch
Informationen zur Einrichtung und Verwendung finden Sie auf der [Website unter Automatisieren von Konfigurationen](https://docs.opensearch.org/docs/latest/automating-configurations/index/). *OpenSearch* Wenn Sie Workflows in OpenSearch Serverless verwenden, sollten Sie die folgenden wichtigen Unterschiede berücksichtigen:
+ OpenSearch Serverless verwendet in Workflow-Schritten nur Remote-Modelle. Sie müssen diese Modelle nicht bereitstellen.
+ OpenSearch Serverless unterstützt den Workflow-Schritt „**Re-Index**“ nicht.
+ Wenn Sie nach anderen API-Aufrufen nach **Workflows** und **Workflow-Status** suchen, müssen Sie mit einer Latenz von bis zu 15 Sekunden rechnen, bis Aktualisierungen angezeigt werden.
OpenSearch Serverlose Sammlungen unterstützen Workflows, wenn sie als Datenquelle in Ihrer OpenSearch UI-Anwendung verwendet werden. Weitere Informationen finden Sie unter [Datenquellenzuordnungen verwalten](application-data-sources-and-vpc.md).
## Konfigurieren von -Berechtigungen
Bevor Sie eine Vorlage erstellen und bereitstellen, stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen verfügen. Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren Kontoadministrator. OpenSearch Serverlose Workflows erfordern die folgenden Berechtigungen. Sie können Berechtigungen auf eine bestimmte Sammlung einschränken, indem Sie den ARN für die Sammlungsressource in Ihrer IAM-Richtlinie definieren.
**Example : Workflow-Richtlinie**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "NeuralSearch",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Cognito_identitypoolname/Auth_Role"
]
},
"Action": [
"aoss:CreateIndex",
"aoss:CreateCollection",
"aoss:UpdateCollection",
"aoss:DeleteIndex",
"aoss:DeleteCollection"
],
"Resource": "arn:aws:aoss:us-east-1:111122223333:collection/your-collection-name"
}
]
}
```
+ **aoss: \$1 CollectionItems** — Erteilt die Berechtigung zum Erstellen und Verwalten von Vorlagen sowie zum Bereitstellen von [Such- und Ingestier-Pipelines.](serverless-configure-neural-search.md)
+ **aoss: \$1Index** — Erteilt die Erlaubnis, Indizes mithilfe von API-Operationen zu erstellen und zu löschen. OpenSearch
+ **aoss: \$1 MLResource** — Erteilt die Erlaubnis zur Bereitstellung von Workflow-Schritten, die [Configure Machine Learning](serverless-configure-machine-learning.md) verwenden.
# Überblick über die Sicherheit in Amazon OpenSearch Serverless
Die Sicherheit in Amazon OpenSearch Serverless unterscheidet sich in folgenden Punkten grundlegend von der Sicherheit in Amazon OpenSearch Service:
| Feature | OpenSearch Service | OpenSearch Serverlos |
| --- | --- | --- |
| Datenzugriffskontrolle | Der Datenzugriff wird durch IAM-Richtlinien und eine differenzierte Zugangskontrolle festgelegt. | Der Datenzugriff wird durch Datenzugriffsrichtlinien festgelegt. |
| Verschlüsselung im Ruhezustand | Die Verschlüsselung im Ruhezustand ist für Domains optional. | Die Verschlüsselung im Ruhezustand ist für Sammlungen erforderlich. |
| Einrichtung und Verwaltung der Sicherheit | Sie müssen Netzwerk, Verschlüsselung und Datenzugriff für jede Domain einzeln konfigurieren. | Sie können Sicherheitsrichtlinien verwenden, um Sicherheitseinstellungen für mehrere Sammlungen in großem Umfang zu verwalten. |
Das folgende Diagramm veranschaulicht die Sicherheitskomponenten, aus denen eine funktionale Sammlung besteht. Eine Sammlung muss über einen zugewiesenen Verschlüsselungsschlüssel, Netzwerkzugriffseinstellungen und eine passende Datenzugriffsrichtlinie verfügen, die ihren Ressourcen Berechtigungen gewährt.
![\[Diagram showing encryption, network, data access, and authentication policies for a collection.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/serverless-security.png)
**Topics**
+ [Verschlüsselungsrichtlinien](#serverless-security-encryption)
+ [Netzwerkrichtlinien](#serverless-security-network)
+ [Daten-Zugriffsrichtlinien](#serverless-security-data-access)
+ [IAM und SAML-Authentifizierung](#serverless-security-authentication)
+ [Sicherheit der Infrastruktur](#serverless-infrastructure-security)
+ [Erste Schritte mit der Sicherheit in Amazon OpenSearch Serverless](serverless-tutorials.md)
+ [Identity and Access Management für Amazon OpenSearch Serverless](security-iam-serverless.md)
+ [Verschlüsselung in Amazon OpenSearch Serverless](serverless-encryption.md)
+ [Netzwerkzugriff für Amazon OpenSearch Serverless](serverless-network.md)
+ [FIPS-Konformität bei Amazon Serverless OpenSearch](fips-compliance-opensearch-serverless.md)
+ [Datenzugriffskontrolle für Amazon OpenSearch Serverless](serverless-data-access.md)
+ [Zugriff auf Datenebene über AWS PrivateLink](serverless-vpc.md)
+ [Steuern Sie den Flugzeug-Zugriff über AWS PrivateLink](serverless-vpc-cp.md)
+ [SAML-Authentifizierung für Amazon Serverless OpenSearch](serverless-saml.md)
+ [Konformitätsvalidierung für Amazon OpenSearch Serverless](serverless-compliance-validation.md)
## Verschlüsselungsrichtlinien
[Verschlüsselungsrichtlinien](serverless-encryption.md) definieren, ob Ihre Sammlungen mit einem AWS-eigener Schlüssel oder einem vom Kunden verwalteten Schlüssel verschlüsselt werden. Verschlüsselungsrichtlinien bestehen aus zwei Komponenten: einem **Ressourcenmuster** und einem **Verschlüsselungsschlüssel**. Das Ressourcenmuster legt fest, für welche Sammlung oder Sammlungen die Richtlinie gilt. Der Verschlüsselungsschlüssel legt fest, wie die zugehörigen Sammlungen gesichert werden.
Um eine Richtlinie auf mehrere Sammlungen anzuwenden, fügen Sie der Richtlinienregel ein Platzhalterzeichen (\$1) hinzu. Die folgende Richtlinie gilt beispielsweise für alle Sammlungen, deren Namen mit „logs“ beginnen.
![\[Input field for specifying a prefix term or collection name, with "logs*" entered.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/serverless-security-encryption.png)
Verschlüsselungsrichtlinien optimieren den Prozess der Erstellung und Verwaltung von Sammlungen, insbesondere wenn Sie dies programmgesteuert tun. Sie können eine Sammlung erstellen, indem Sie einen Namen angeben. Ihr wird bei der Erstellung automatisch ein Verschlüsselungsschlüssel zugewiesen.
## Netzwerkrichtlinien
[Netzwerkrichtlinien](serverless-network.md) definieren, ob Ihre Sammlungen privat oder über das Internet von öffentlichen Netzwerken aus zugänglich sind. *Auf private Sammlungen kann über OpenSearch serverlos verwaltete VPC-Endpunkte oder über spezifische Endpunkte AWS-Services wie Amazon Bedrock über privaten Zugriff zugegriffen werden.AWS-Service * Genau wie Verschlüsselungsrichtlinien können auch Netzwerkrichtlinien für mehrere Sammlungen gelten, so dass Sie den Netzwerkzugriff für viele Sammlungen in großem Umfang verwalten können.
Netzwerkrichtlinien bestehen aus zwei Komponenten: einem **Zugriffstyp** und einem **Ressourcentyp**. Der Zugriffstyp kann entweder öffentlich oder privat sein. Der Ressourcentyp bestimmt, ob der von Ihnen gewählte Zugriff für den Sammlungsendpunkt, den OpenSearch Dashboards-Endpunkt oder für beide gilt.
![\[Access type and resource type options for configuring network policies in OpenSearch.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/serverless-security-network.png)
Wenn Sie den VPC-Zugriff innerhalb einer Netzwerkrichtlinie konfigurieren möchten, müssen Sie zunächst einen oder [OpenSearch mehrere serverlos verwaltete VPC-Endpoints erstellen.](serverless-vpc.md) Mit diesen Endpunkten können Sie wie in Ihrer VPC auf OpenSearch Serverless zugreifen, ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder eine Verbindung verwenden zu müssen. Direct Connect
Der private Zugriff auf AWS-Services kann nur für den Endpunkt der Sammlung gelten, nicht für den OpenSearch Endpunkt der OpenSearch Dashboards. AWS-Services kann kein Zugriff auf OpenSearch Dashboards gewährt werden.
## Daten-Zugriffsrichtlinien
[Datenzugriffsrichtlinien](serverless-data-access.md) definieren, wie Ihre Benutzer auf die Daten in Ihren Sammlungen zugreifen. Datenzugriffsrichtlinien unterstützen Sie bei der Verwaltung von Sammlungen in großem Umfang, indem sie automatisch Zugriffsberechtigungen für Sammlungen und Indizes zuweisen, die einem bestimmten Muster übereinstimmen. Mehrere Richtlinien können für eine einzelne Ressource gelten.
Datenzugriffsrichtlinien bestehen aus einer Reihe von Regeln mit jeweils drei Komponenten: einem **Ressourcentyp**, **gewährte Ressourcen** und einer Reihe von **Berechtigungen**. Der Ressourcentyp kann eine Sammlung oder ein Index sein. Bei den gewährten Ressourcen kann es sich um collection/index Namen oder Muster mit einem Platzhalter (\$1) handeln. Die Liste der Berechtigungen gibt an, auf welche [OpenSearch API-Operationen](serverless-genref.md#serverless-operations) die Richtlinie Zugriff gewährt. Darüber hinaus enthält die Richtlinie eine Liste von **Prinzipalen**, die die IAM-Rollen, -Benutzer und SAML-Identitäten angeben, denen Zugriff gewährt werden soll.
![\[Selected principals and granted resources with permissions for collection and index access.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/serverless-data-access.png)
Weitere Informationen zum Format einer Datenzugriffsrichtlinie finden Sie in der [Richtliniensyntax](serverless-data-access.md#serverless-data-access-syntax).
Bevor Sie eine Datenzugriffsrichtlinie erstellen, müssen Sie über eine oder mehrere IAM-Rollen oder -Benutzer oder SAML-Identitäten verfügen, auf die Sie in der Richtlinie Zugriff gewähren können. Einzelheiten finden Sie im nächsten Abschnitt.
**Anmerkung**
Wenn Sie für Ihre Sammlung vom öffentlichen zum privaten Zugriff wechseln, wird die Registerkarte „Indizes“ in der OpenSearch Serverless Collection Console entfernt.
## IAM und SAML-Authentifizierung
IAM-Prinzipale und SAML-Identitäten sind eine der Bausteine einer Datenzugriffsrichtlinie. Innerhalb der `principal`-Anweisung einer Zugriffsrichtlinie können Sie IAM-Rollen, IAM-Benutzer und SAML-Identitäten angeben. Diesen Prinzipalen werden dann die Berechtigungen gewährt, die Sie in den zugeordneten Richtlinienregeln angeben.
```
[
{
"Rules":[
{
"ResourceType":"index",
"Resource":[
"index/marketing/orders*"
],
"Permission":[
"aoss:*"
]
}
],
"Principal":[
"arn:aws:iam::123456789012:user/Dale",
"arn:aws:iam::123456789012:role/RegulatoryCompliance",
"saml/123456789012/myprovider/user/Annie"
]
}
]
```
Sie konfigurieren die SAML-Authentifizierung direkt in Serverless. OpenSearch Weitere Informationen finden Sie unter [SAML-Authentifizierung für Amazon Serverless OpenSearch](serverless-saml.md).
## Sicherheit der Infrastruktur
Amazon OpenSearch Serverless ist durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Amazon OpenSearch Serverless zuzugreifen. Clients müssen Transport Layer Security (TLS) unterstützen. Wir benötigen TLS 1.2 und empfehlen TLS 1.3. Eine Liste der unterstützten Verschlüsselungen für TLS 1.3 finden Sie unter [TLS-Protokolle und Chiffren](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-tls-listener.html#tls-protocols-ciphers) in der Elastic Load Balancing Balancing-Dokumentation.
Darüber hinaus müssen Sie Anfragen mit einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel signieren, der einem IAM-Prinzipal zugeordnet ist. Alternativ können Sie mit [AWS -Security-Token-Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) temporäre Sicherheitsanmeldeinformationen erstellen, um die Anforderungen zu signieren.
# Erste Schritte mit der Sicherheit in Amazon OpenSearch Serverless
Die folgenden Tutorials helfen Ihnen bei den ersten Schritten mit Amazon OpenSearch Serverless. In beiden Tutorials werden die gleichen grundlegenden Schritte ausgeführt, aber eines verwendet die Konsole, während das andere die AWS CLI verwendet.
Beachten Sie, dass die Anwendungsfälle in diesen Tutorials vereinfacht sind. Die Netzwerk- und Sicherheitsrichtlinien sind relativ offen. Bei Produktions-Workloads empfehlen wir, robustere Sicherheitsfunktionen wie SAML-Authentifizierung, VPC-Zugriff und restriktive Datenzugriffsrichtlinien zu konfigurieren.
**Topics**
+ [Tutorial: Erste Schritte mit der Sicherheit in Amazon OpenSearch Serverless (Konsole)](gsg-serverless.md)
+ [Tutorial: Erste Schritte mit der Sicherheit in Amazon OpenSearch Serverless (CLI)](gsg-serverless-cli.md)
# Tutorial: Erste Schritte mit der Sicherheit in Amazon OpenSearch Serverless (Konsole)
Dieses Tutorial führt Sie durch die grundlegenden Schritte zur Erstellung und Verwaltung von Sicherheitsrichtlinien mithilfe der Amazon OpenSearch Serverless-Konsole.
In diesem Tutorial führen Sie die folgenden Schritte aus:
1. [Konfigurieren von Berechtigungen](#gsgpermissions)
1. [Erstellen einer Verschlüsselungsrichtlinie](#gsg-encryption)
1. [Eine Netzwerkrichtlinie erstellen](#gsg-network)
1. [Konfigurieren einer Datenzugriffsrichtlinie](#gsg-data-access)
1. [Erstellen einer Sammlung](#gsgcreate-collection)
1. [Hochladen und Suchen von Daten](#gsgindex-collection)
Dieses Tutorial führt Sie durch die Einrichtung einer Sammlung mithilfe von. AWS-Managementkonsole Dieselben Schritte mit dem AWS CLI finden Sie unter[Tutorial: Erste Schritte mit der Sicherheit in Amazon OpenSearch Serverless (CLI)](gsg-serverless-cli.md).
## Schritt 1: Konfigurieren von Berechtigungen
**Anmerkung**
Sie können diesen Schritt überspringen, wenn Sie bereits eine umfassendere identitätsbasierte Richtlinie verwenden, z. B. `Action":"aoss:*"` oder `Action":"*"`. In Produktionsumgebungen empfehlen wir jedoch, dem Prinzipal der geringsten Berechtigung zu folgen und nur die für die Ausführung einer Aufgabe erforderlichen Mindestberechtigungen zuzuweisen.
Um dieses Tutorial und OpenSearch Serverless im Allgemeinen verwenden zu können, müssen Sie über die richtigen IAM-Berechtigungen verfügen. Ihr Benutzer oder Ihre Rolle muss über eine angefügte [identitätsbasierte Richtlinie](security-iam-serverless.md#security-iam-serverless-id-based-policies) mit den folgenden Mindestberechtigungen verfügen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aoss:ListCollections",
"aoss:BatchGetCollection",
"aoss:CreateCollection",
"aoss:CreateSecurityPolicy",
"aoss:GetSecurityPolicy",
"aoss:ListSecurityPolicies",
"aoss:CreateAccessPolicy",
"aoss:GetAccessPolicy",
"aoss:ListAccessPolicies"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Eine vollständige Liste der OpenSearch Serverless-Berechtigungen finden Sie unter[Identity and Access Management für Amazon OpenSearch Serverless](security-iam-serverless.md).
## Schritt 2: Erstellen einer Verschlüsselungsrichtlinie
[Verschlüsselungsrichtlinien](serverless-encryption.md) geben den AWS KMS Schlüssel an, den OpenSearch Serverless zum Verschlüsseln der Sammlung verwendet. Sie können Sammlungen mit einem Von AWS verwalteter Schlüssel oder einem anderen Schlüssel verschlüsseln. Der Einfachheit halber verschlüsseln wir in diesem Tutorial unsere Sammlung mit einem Von AWS verwalteter Schlüssel.
**So erstellen Sie eine Verschlüsselungsrichtlinie**
1. Öffnen Sie die Amazon OpenSearch Service-Konsole zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home ).
1. Erweitern Sie im linken Navigationsbereich **Serverless** und wählen Sie **Encryption policies** (Verschlüsselungsrichtlinien).
1. Wählen Sie **Create encryption policy** (Verschlüsselungsrichtlinie erstellen).
1. Benennen Sie die Richtlinie **books-policy** (Bücher-Richtlinie). Geben Sie als Beschreibung **Encryption policy for books collection** (Verschlüsselungsrichtlinie für die Bücher-Sammlung) ein.
1. Geben Sie unter **Resources** (Ressourcen) den Namen **books** (Bücher) ein, den Sie Ihrer Sammlung geben werden. Wenn Sie die Richtlinie weiter fassen möchten, können Sie ein Sternchen (`books*`) einfügen, damit die Richtlinie für alle Sammlungen gilt, die mit dem Wort „Bücher“ beginnen.
1. Lassen Sie für **Verschlüsselung** die Option ** AWS Eigenen Schlüssel verwenden** aktiviert.
1. Wählen Sie **Erstellen** aus.
## Schritt 3: Erstellen Sie eine Netzwerkrichtlinie
[Netzwerkrichtlinien](serverless-network.md) bestimmen, ob Ihre Sammlung über das Internet von öffentlichen Netzwerken aus zugänglich ist oder ob der Zugriff über OpenSearch serverlos verwaltete VPC-Endpunkte erfolgen muss. In diesem Tutorial konfigurieren wir den öffentlichen Zugriff.
**So erstellen Sie eine Netzwerkrichtlinie**
1. Wählen Sie im linken Navigationsbereich **Network policies** (Netzwerkrichtlinien) und dann **Create network policy** (Netzwerkrichtlinie erstellen) aus.
1. Benennen Sie die Richtlinie **books-policy** (Bücher-Richtlinie). Geben Sie als Beschreibung **Network policy for books collection** (Netzwerkrichtlinie für Bücher-Sammlung) ein.
1. Benennen Sie unter **Rule 1** (Regel 1) die Regel **Public access for books collection** (Öffentlicher Zugriff für Bücher-Sammlung).
1. Der Einfachheit halber konfigurieren wir in diesem Tutorial den öffentlichen Zugriff für die *Bücher*-Sammlung. Wählen Sie für den Zugriffstyp **Public** (Öffentlich) aus.
1. Wir werden über Dashboards auf die Sammlung zugreifen. OpenSearch Dazu müssen Sie den Netzwerkzugriff für Dashboards *und* den OpenSearch Endpunkt konfigurieren, da Dashboards sonst nicht funktionieren.
Aktivieren Sie für den Ressourcentyp sowohl **Zugriff auf OpenSearch Endpunkte als auch Zugriff** **auf** Dashboards. OpenSearch
1. Geben Sie in beiden Eingabefeldern **Collection Name = books** (Sammlungsname = Bücher) ein. Diese Einstellung schränkt die Richtlinie so ein, dass sie nur für eine einzelne Sammlung gilt (`books`). Ihre Regel sollte folgendermaßen aussehen:
![\[Search interface showing two input fields for collection or prefix term selection, both set to "books".\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/serverless-tutorial-network.png)
1. Wählen Sie **Erstellen** aus.
## Schritt 4: Erstellen Sie eine Datenzugriffsrichtlinie
Ihre Sammlungsdaten sind erst dann zugänglich, wenn Sie den Zugriff auf die Daten konfigurieren. [Datenzugriffsrichtlinien](serverless-data-access.md) sind von der identitätsbasierten IAM-Richtlinie, die Sie in Schritt 1 konfiguriert haben, getrennt. Diese ermöglichen den Benutzern den Zugriff auf die tatsächlichen Daten innerhalb einer Sammlung.
In diesem Tutorial gewähren wir einem einzelnen Benutzer die Berechtigungen, die zum Indizieren von Daten in der *Bücher*-Sammlung erforderlich sind.
**So erstellen Sie eine Datenzugriffsrichtlinie**
1. Wählen Sie im linken Navigationsbereich **Data access policies** (Datenzugriffsrichtlinien) und anschließend **Create access policy** (Zugriffsrichtlinie erstellen) aus.
1. Benennen Sie die Richtlinie **books-policy** (Bücher-Richtlinie). Geben Sie als Beschreibung **Data access policy for books collection** (Datenzugriffsrichtlinie für die Bücher-Sammlung) ein.
1. Wählen Sie **JSON** als Methode zur Richtliniendefinition aus und fügen Sie die folgende Richtlinie in den JSON-Editor ein.
Ersetzen Sie den Haupt-ARN durch den ARN des Kontos, mit dem Sie sich bei OpenSearch Dashboards anmelden und Daten indexieren.
```
[
{
"Rules":[
{
"ResourceType":"index",
"Resource":[
"index/books/*"
],
"Permission":[
"aoss:CreateIndex",
"aoss:DescribeIndex",
"aoss:ReadDocument",
"aoss:WriteDocument",
"aoss:UpdateIndex",
"aoss:DeleteIndex"
]
}
],
"Principal":[
"arn:aws:iam::123456789012:user/my-user"
]
}
]
```
Diese Richtlinie gewährt einem einzelnen Benutzer die Mindestberechtigungen, die erforderlich sind, um einen Index in der *Bücher*-Sammlung zu erstellen, einige Daten zu indizieren und danach zu suchen.
1. Wählen Sie **Erstellen** aus.
## Schritt 5: Erstellen Sie eine Sammlung
Nachdem Sie die Verschlüsselungs- und Netzwerkrichtlinien konfiguriert haben, können Sie eine passende Sammlung erstellen und die Sicherheitseinstellungen werden automatisch darauf angewendet.
**Um eine OpenSearch serverlose Sammlung zu erstellen**
1. Wählen Sie im linken Navigationsbereich **Collections** (Sammlungen) und wählen Sie **Create collection** (Sammlung erstellen) aus.
1. Benennen Sie die Sammlung **books** (Bücher).
1. Wählen Sie als Sammlungstyp **Search** (Suchen) aus.
1. Unter **Verschlüsselung** informiert Sie OpenSearch Serverless darüber, dass der Name der Sammlung der `books-policy` Verschlüsselungsrichtlinie entspricht.
1. Unter **Netzwerkzugriffseinstellungen** informiert Sie OpenSearch Serverless darüber, dass der Name der Sammlung der `books-policy` Netzwerkrichtlinie entspricht.
1. Wählen Sie **Weiter** aus.
1. Unter **Optionen für Datenzugriffsrichtlinien** informiert Sie OpenSearch Serverless darüber, dass der Name der Sammlung der `books-policy` Datenzugriffsrichtlinie entspricht.
1. Wählen Sie **Weiter** aus.
1. Überprüfen Sie die Sammlungskonfiguration und wählen Sie **Submit** (Senden) aus. Die Initialisierung von Sammlungen dauert in der Regel weniger als eine Minute.
## Schritt 6: Hochladen und Suchen von Daten
Sie können Daten mit Postman oder Curl in eine OpenSearch serverlose Sammlung hochladen. Der Kürze halber verwenden diese Beispiele **Dev Tools** in der Dashboards-Konsole. OpenSearch
**So indizieren und suchen Sie Daten in einer Sammlung**
1. Wählen Sie im linken Navigationsbereich **Collections** (Sammlungen) und dann die **Bücher**-Sammlung aus, um die Detailseite zu öffnen.
1. Wählen Sie die OpenSearch Dashboard-URL für die Sammlung aus. Die URL nimmt das Format `https://collection-id.us-east-1.aoss.amazonaws.com/_dashboards` an.
1. Melden Sie sich mit den [AWS Zugriffs- und Geheimschlüsseln](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-appendix-sign-up.html) für den Principal, die Sie in Ihrer Datenzugriffsrichtlinie angegeben haben, bei OpenSearch Dashboards an.
1. Öffnen Sie in OpenSearch Dashboards das linke Navigationsmenü und wählen Sie **Dev** Tools aus.
1. Führen Sie den folgenden Befehl aus, um einen einzelnen Index mit dem Namen *books-index* zu erstellen:
```
PUT books-index
```
![\[OpenSearch Dashboards console showing PUT request for books-index with JSON response.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/serverless-createindex.png)
1. Führen Sie den folgenden Befehl aus, um ein einzelnes Dokument in *books-index* zu indizieren:
```
PUT books-index/_doc/1
{
"title": "The Shining",
"author": "Stephen King",
"year": 1977
}
```
1. Um Daten in OpenSearch Dashboards zu suchen, müssen Sie mindestens ein Indexmuster konfigurieren. OpenSearch verwendet diese Muster, um zu identifizieren, welche Indizes Sie analysieren möchten. Öffnen Sie das Dashboards-Hauptmenü, wählen Sie **Stack-Management**, wählen Sie **Indexmuster** und dann **Indexmuster erstellen**. Geben Sie für dieses Tutorial *books-index* ein.
1. Wählen Sie **Nächster Schritt** aus und klicken Sie auf **Indexmuster erstellen**. Nachdem das Muster erstellt wurde, können Sie die verschiedenen Dokumentfelder anzeigen, z. B. `author` und `title`.
1. Um mit der Suche nach Ihren Daten zu beginnen, öffnen Sie erneut das Hauptmenü und wählen Sie **Discover** (Erkunden) oder verwenden Sie die [Such-API](https://opensearch.org/docs/latest/opensearch/rest-api/search/).
# Tutorial: Erste Schritte mit der Sicherheit in Amazon OpenSearch Serverless (CLI)
Dieses Tutorial führt Sie durch die im [Tutorial Erste Schritte der Konsole](gsg-serverless.md) zum Thema Sicherheit beschriebenen Schritte, verwendet jedoch die Servicekonsole AWS CLI und nicht die OpenSearch Service-Konsole.
In diesem Tutorial führen Sie die folgenden Schritte durch:
1. Erstellen Sie eine IAM-Berechtigungsrichtlinie
1. Ordnen Sie die IAM-Richtlinie einer IAM-Rolle zu
1. Eine Verschlüsselungsrichtlinie erstellen
1. Eine Netzwerkrichtlinie erstellen
1. Eine Sammlung erstellen
1. Konfigurieren einer Datenzugriffsrichtlinie
1. Rufen Sie den Sammlungsendpunkt ab
1. Laden Sie Daten auf Ihre Verbindung hoch
1. Suchen Sie nach Daten in Ihrer Sammlung
Das Ziel dieses Tutorials besteht darin, eine einzelne OpenSearch serverlose Sammlung mit relativ einfachen Verschlüsselungs-, Netzwerk- und Datenzugriffseinstellungen einzurichten. Beispielsweise konfigurieren wir den öffentlichen Netzwerkzugriff, eine Von AWS verwalteter Schlüssel für die Verschlüsselung und eine vereinfachte Datenzugriffsrichtlinie, die einem einzelnen Benutzer nur minimale Berechtigungen gewährt.
Erwägen Sie in einem Produktionsumgebung die Implementierung einer robusteren Konfiguration, einschließlich SAML-Authentifizierung, eines benutzerdefinierten Verschlüsselungsschlüssels und VPC-Zugriff.
**Um mit Sicherheitsrichtlinien in OpenSearch Serverless zu beginnen**
1.
**Anmerkung**
Sie können diesen Schritt überspringen, wenn Sie bereits eine umfassendere identitätsbasierte Richtlinie verwenden, z. B. `Action":"aoss:*"` oder `Action":"*"`. In Produktionsumgebungen empfehlen wir jedoch, dem Prinzipal der geringsten Berechtigung zu folgen und nur die für die Ausführung einer Aufgabe erforderlichen Mindestberechtigungen zuzuweisen.
Erstellen Sie zunächst eine AWS Identity and Access Management Richtlinie mit den erforderlichen Mindestberechtigungen, um die Schritte in diesem Tutorial auszuführen. Wir werden die Richtlinie `TutorialPolicy` nennen:
```
aws iam create-policy \
--policy-name TutorialPolicy \
--policy-document "{\"Version\": \"2012-10-17\",\"Statement\": [{\"Action\": [\"aoss:ListCollections\",\"aoss:BatchGetCollection\",\"aoss:CreateCollection\",\"aoss:CreateSecurityPolicy\",\"aoss:GetSecurityPolicy\",\"aoss:ListSecurityPolicies\",\"aoss:CreateAccessPolicy\",\"aoss:GetAccessPolicy\",\"aoss:ListAccessPolicies\"],\"Effect\": \"Allow\",\"Resource\": \"*\"}]}"
```
**Beispielantwort**
```
{
"Policy": {
"PolicyName": "TutorialPolicy",
"PolicyId": "ANPAW6WRAECKG6QJWUV7U",
"Arn": "arn:aws:iam::123456789012:policy/TutorialPolicy",
"Path": "/",
"DefaultVersionId": "v1",
"AttachmentCount": 0,
"PermissionsBoundaryUsageCount": 0,
"IsAttachable": true,
"CreateDate": "2022-10-16T20:57:18+00:00",
"UpdateDate": "2022-10-16T20:57:18+00:00"
}
}
```
1. Fügen Sie `TutorialPolicy` der IAM-Rolle an, die die Daten in der Sammlung indizieren und durchsuchen wird. Wir benennen den Benutzer `TutorialRole`:
```
aws iam attach-role-policy \
--role-name TutorialRole \
--policy-arn arn:aws:iam::123456789012:policy/TutorialPolicy
```
1. Bevor Sie eine Sammlung erstellen, müssen Sie eine [Verschlüsselungsrichtlinie](serverless-encryption.md) erstellen, die ein AWS-eigener Schlüssel der in einem späteren Schritt erstellten *Bücher*-Sammlung zuweist.
Senden Sie die folgende Anfrage, um eine Verschlüsselungsrichtlinie für die *Bücher*-Sammlung zu erstellen:
```
aws opensearchserverless create-security-policy \
--name books-policy \
--type encryption --policy "{\"Rules\":[{\"ResourceType\":\"collection\",\"Resource\":[\"collection\/books\"]}],\"AWSOwnedKey\":true}"
```
**Beispielantwort**
```
{
"securityPolicyDetail": {
"type": "encryption",
"name": "books-policy",
"policyVersion": "MTY2OTI0MDAwNTk5MF8x",
"policy": {
"Rules": [
{
"Resource": [
"collection/books"
],
"ResourceType": "collection"
}
],
"AWSOwnedKey": true
},
"createdDate": 1669240005990,
"lastModifiedDate": 1669240005990
}
}
```
1. Erstellen Sie eine [Netzwerkrichtlinie](serverless-network.md), die öffentlichen Zugriff auf die *Bücher*-Sammlung gewährt:
```
aws opensearchserverless create-security-policy --name books-policy --type network \
--policy "[{\"Description\":\"Public access for books collection\",\"Rules\":[{\"ResourceType\":\"dashboard\",\"Resource\":[\"collection\/books\"]},{\"ResourceType\":\"collection\",\"Resource\":[\"collection\/books\"]}],\"AllowFromPublic\":true}]"
```
**Beispielantwort**
```
{
"securityPolicyDetail": {
"type": "network",
"name": "books-policy",
"policyVersion": "MTY2OTI0MDI1Njk1NV8x",
"policy": [
{
"Rules": [
{
"Resource": [
"collection/books"
],
"ResourceType": "dashboard"
},
{
"Resource": [
"collection/books"
],
"ResourceType": "collection"
}
],
"AllowFromPublic": true,
"Description": "Public access for books collection"
}
],
"createdDate": 1669240256955,
"lastModifiedDate": 1669240256955
}
}
```
1. Erstellen Sie die *Bücher*-Sammlung:
```
aws opensearchserverless create-collection --name books --type SEARCH
```
**Beispielantwort**
```
{
"createCollectionDetail": {
"id": "8kw362bpwg4gx9b2f6e0",
"name": "books",
"status": "CREATING",
"type": "SEARCH",
"arn": "arn:aws:aoss:us-east-1:123456789012:collection/8kw362bpwg4gx9b2f6e0",
"kmsKeyArn": "auto",
"createdDate": 1669240325037,
"lastModifiedDate": 1669240325037
}
}
```
1. Erstellen Sie eine [Datenzugriffsrichtlinie](serverless-data-access.md), die die Mindestberechtigungen zum Indizieren und Suchen von Daten in der *Bücher*-Sammlung bereitstellt. Ersetzen Sie den Prinzipal-ARN durch den ARN von `TutorialRole` aus Schritt 1:
```
aws opensearchserverless create-access-policy \
--name books-policy \
--type data \
--policy "[{\"Rules\":[{\"ResourceType\":\"index\",\"Resource\":[\"index\/books\/books-index\"],\"Permission\":[\"aoss:CreateIndex\",\"aoss:DescribeIndex\",\"aoss:ReadDocument\",\"aoss:WriteDocument\",\"aoss:UpdateIndex\",\"aoss:DeleteIndex\"]}],\"Principal\":[\"arn:aws:iam::123456789012:role\/TutorialRole\"]}]"
```
**Beispielantwort**
```
{
"accessPolicyDetail": {
"type": "data",
"name": "books-policy",
"policyVersion": "MTY2OTI0MDM5NDY1M18x",
"policy": [
{
"Rules": [
{
"Resource": [
"index/books/books-index"
],
"Permission": [
"aoss:CreateIndex",
"aoss:DescribeIndex",
"aoss:ReadDocument",
"aoss:WriteDocument",
"aoss:UpdateDocument",
"aoss:DeleteDocument"
],
"ResourceType": "index"
}
],
"Principal": [
"arn:aws:iam::123456789012:role/TutorialRole"
]
}
],
"createdDate": 1669240394653,
"lastModifiedDate": 1669240394653
}
}
```
`TutorialRole` sollte nun in der Lage sein, Dokumente in der *Bücher*-Sammlung zu indizieren und zu durchsuchen.
1. Um Aufrufe an die OpenSearch API zu tätigen, benötigen Sie den Sammlungsendpunkt. Senden Sie die folgende Anfrage, um den `collectionEndpoint`-Parameter abzurufen:
```
aws opensearchserverless batch-get-collection --names books
```
**Beispielantwort**
```
{
"collectionDetails": [
{
"id": "8kw362bpwg4gx9b2f6e0",
"name": "books",
"status": "ACTIVE",
"type": "SEARCH",
"description": "",
"arn": "arn:aws:aoss:us-east-1:123456789012:collection/8kw362bpwg4gx9b2f6e0",
"createdDate": 1665765327107,
"collectionEndpoint": "https://8kw362bpwg4gx9b2f6e0.us-east-1.aoss.amazonaws.com",
"dashboardEndpoint": "https://8kw362bpwg4gx9b2f6e0.us-east-1.aoss.amazonaws.com/_dashboards"
}
],
"collectionErrorDetails": []
}
```
**Anmerkung**
Sie können den Sammlungsendpunkt erst sehen, wenn sich der Sammlungsstatus zu `ACTIVE` ändert. Möglicherweise müssen Sie mehrere Aufrufe durchführen, um den Status zu überprüfen, bis die Sammlung erfolgreich erstellt wurde.
1. Verwenden Sie ein HTTP-Tool wie [Postman](https://www.getpostman.com/) oder curl, um Daten in der *Bücher*-Sammlung zu indizieren. Wir erstellen einen Index mit dem Namen *books-index* und fügen ein einzelnes Dokument hinzu.
Senden Sie die folgende Anforderung mit den Anmeldeinformationen für `TutorialRole` an den Sammlungsendpunkt, den Sie im vorherigen Schritt abgerufen haben.
```
PUT https://8kw362bpwg4gx9b2f6e0.us-east-1.aoss.amazonaws.com/books-index/_doc/1
{
"title": "The Shining",
"author": "Stephen King",
"year": 1977
}
```
**Beispielantwort**
```
{
"_index" : "books-index",
"_id" : "1",
"_version" : 1,
"result" : "created",
"_shards" : {
"total" : 0,
"successful" : 0,
"failed" : 0
},
"_seq_no" : 0,
"_primary_term" : 0
}
```
1. Verwenden Sie die [Such-API](https://opensearch.org/docs/latest/opensearch/rest-api/search/), um mit der Suche nach Daten in Ihrer Sammlung zu beginnen. Die folgende Abfrage führt eine einfache Suche durch:
```
GET https://8kw362bpwg4gx9b2f6e0.us-east-1.aoss.amazonaws.com/books-index/_search
```
**Beispielantwort**
```
{
"took": 405,
"timed_out": false,
"_shards": {
"total": 6,
"successful": 6,
"skipped": 0,
"failed": 0
},
"hits": {
"total": {
"value": 2,
"relation": "eq"
},
"max_score": 1.0,
"hits": [
{
"_index": "books-index:0::3xJq14MBUaOS0wL26UU9:0",
"_id": "F_bt4oMBLle5pYmm5q4T",
"_score": 1.0,
"_source": {
"title": "The Shining",
"author": "Stephen King",
"year": 1977
}
}
]
}
}
```
# Identity and Access Management für Amazon OpenSearch Serverless
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu kontrollieren. AWS IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um serverlose Ressourcen zu verwenden OpenSearch . IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Identitätsbasierte Richtlinien für Serverless OpenSearch](#security-iam-serverless-id-based-policies)
+ [Richtlinienaktionen für Serverless OpenSearch](#security-iam-serverless-id-based-policies-actions)
+ [Richtlinienressourcen für Serverless OpenSearch](#security-iam-serverless-id-based-policies-resources)
+ [Schlüssel für Richtlinienbedingungen für Amazon OpenSearch Serverless](#security_iam_serverless-conditionkeys)
+ [ABAC mit Serverless OpenSearch](#security_iam_serverless-with-iam-tags)
+ [Temporäre Anmeldeinformationen mit Serverless verwenden OpenSearch](#security_iam_serverless-tempcreds)
+ [Mit Diensten verknüpfte Rollen für Serverless OpenSearch](#security_iam_serverless-slr)
+ [Weitere Richtlinientypen](#security_iam_access-manage-other-policies)
+ [Beispiele für identitätsbasierte Richtlinien für Serverless OpenSearch](#security_iam_serverless_id-based-policy-examples)
+ [IAM Identity Center-Unterstützung für Amazon Serverless OpenSearch](serverless-iam-identity-center.md)
## Identitätsbasierte Richtlinien für Serverless OpenSearch
**Unterstützt Richtlinien auf Identitätsbasis:** Ja
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Beispiele für identitätsbasierte Richtlinien für Serverless OpenSearch
Beispiele für identitätsbasierte Richtlinien OpenSearch ohne Server finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Serverless OpenSearch](#security_iam_serverless_id-based-policy-examples)
## Richtlinienaktionen für Serverless OpenSearch
**Unterstützt Richtlinienaktionen:** Ja
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Richtlinienaktionen haben normalerweise denselben Namen wie der zugehörige AWS API-Vorgang. Es gibt einige Ausnahmen, z. B. *Aktionen, die nur mit Genehmigung durchgeführt werden können* und für die es keinen passenden API-Vorgang gibt. Es gibt auch einige Operationen, die mehrere Aktionen in einer Richtlinie erfordern. Diese zusätzlichen Aktionen werden als *abhängige Aktionen* bezeichnet.
Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Bei Richtlinienaktionen in OpenSearch Serverless wird vor der Aktion das folgende Präfix verwendet:
```
aoss
```
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:
```
"Action": [
"aoss:action1",
"aoss:action2"
]
```
Sie können mehrere Aktionen mit Platzhalterzeichen (\$1) angeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Describe` beginnen, einschließlich der folgenden Aktion:
```
"Action": "aoss:List*"
```
Beispiele für identitätsbasierte OpenSearch Richtlinien ohne Server finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Serverless OpenSearch](#security_iam_id-based-policy-examples)
## Richtlinienressourcen für Serverless OpenSearch
**Unterstützt Richtlinienressourcen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
## Schlüssel für Richtlinienbedingungen für Amazon OpenSearch Serverless
**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Neben der attributebasierten Zugriffskontrolle (ABAC) unterstützt OpenSearch Serverless die folgenden Bedingungsschlüssel:
+ `aoss:collection`
+ `aoss:CollectionId`
+ `aoss:index`
Sie können diese Bedingungsschlüssel auch beim Bereitstellen von Berechtigungen für Zugriffsrichtlinien und Sicherheitsrichtlinien verwenden. Beispiel:
```
[
{
"Effect":"Allow",
"Action":[
"aoss:CreateAccessPolicy",
"aoss:CreateSecurityPolicy"
],
"Resource":"*",
"Condition":{
"StringLike":{
"aoss:collection":"log"
}
}
}
]
```
In diesem Beispiel gilt die Bedingung für Richtlinien, die *Regeln* enthalten, die mit einem Sammlungsnamen oder -muster übereinstimmen. Die Bedingungen haben das folgende Verhalten:
+ `StringEquals` – Gilt für Richtlinien mit Regeln, die die *exakte* Ressourcenzeichenfolge „log“ (d. h. `collection/log`) enthalten.
+ `StringLike` – Gilt für Richtlinien mit Regeln, die eine Ressourcenzeichenfolge enthalten, die die Zeichenfolge „log“ *enthält* (d. h. `collection/log`, aber auch `collection/logs-application` oder `collection/applogs123`).
**Anmerkung**
Bedingungsschlüssel für *Sammlungen* gelten nicht auf der Indexebene. In der obigen Richtlinie würde die Bedingung beispielsweise nicht auf eine Zugriffs- oder Sicherheitsrichtlinie gelten, die die Ressourcenzeichenfolge `index/logs-application/*` enthält.
Eine Liste der OpenSearch Serverless-Bedingungsschlüssel finden Sie unter [Bedingungsschlüssel für Amazon OpenSearch Serverless](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchserverless.html#amazonopensearchserverless-policy-keys) in der *Service Authorization Reference*. Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Von Amazon OpenSearch Serverless definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchserverless.html#amazonopensearchserverless-actions-as-permissions).
## ABAC mit Serverless OpenSearch
**Unterstützt ABAC (Tags in Richtlinien):** Ja
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, die Operationen zulassen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.
Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.
Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.
*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.
Weitere Informationen zum Taggen OpenSearch serverloser Ressourcen finden Sie unter. [Taggen von Amazon OpenSearch Serverless-Sammlungen](tag-collection.md)
## Temporäre Anmeldeinformationen mit Serverless verwenden OpenSearch
**Unterstützt temporäre Anmeldeinformationen:** Ja
Temporäre Anmeldeinformationen ermöglichen kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie einen Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
## Mit Diensten verknüpfte Rollen für Serverless OpenSearch
**Unterstützt serviceverknüpfte Rollen:** Ja
Eine dienstverknüpfte Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Einzelheiten zum Erstellen und Verwalten OpenSearch serverloser dienstbezogener Rollen finden Sie unter. [Verwenden von dienstverknüpften Rollen zum Erstellen serverloser Sammlungen OpenSearch](serverless-service-linked-roles.md)
## Weitere Richtlinientypen
AWS unterstützt zusätzliche, weniger verbreitete Richtlinientypen. Mit diesen Richtlinientypen können Sie die maximalen Berechtigungen festlegen, die Ihnen durch die gängigeren Richtlinientypen gewährt werden.
+ **Dienststeuerungsrichtlinien (SCPs)** — SCPs sind JSON-Richtlinien, die die maximalen Berechtigungen für eine Organisation oder Organisationseinheit (OU) festlegen AWS Organizations. AWS Organizations ist ein Dienst zur Gruppierung und zentralen Verwaltung mehrerer AWS Konten, die Ihrem Unternehmen gehören. Wenn Sie alle Funktionen in einer Organisation aktivieren, können Sie Richtlinien zur Servicesteuerung (SCPs) auf einige oder alle Ihre Konten anwenden. Das SCP schränkt die Berechtigungen für Entitäten in Mitgliedskonten ein, einschließlich der einzelnen AWS Root-Benutzer. Weitere Informationen zu Organizations und SCPs finden Sie unter [Richtlinien zur Servicesteuerung](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations Benutzerhandbuch*.
+ **Ressourcenkontrollrichtlinien (RCPs)** — RCPs sind JSON-Richtlinien, mit denen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten festlegen können, ohne die IAM-Richtlinien aktualisieren zu müssen, die jeder Ressource zugeordnet sind, deren Eigentümer Sie sind. Das RCP schränkt die Berechtigungen für Ressourcen in Mitgliedskonten ein und kann sich auf die effektiven Berechtigungen für Identitäten auswirken, einschließlich des Root-Benutzers des AWS Kontos, unabhängig davon, ob diese zu Ihrer Organisation gehören. Weitere Informationen zu Organizations sowie RCPs eine Liste der unterstützten AWS RCPs Dienste finden Sie unter [Resource Control Policies (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) im *AWS Organizations Benutzerhandbuch*.
## Beispiele für identitätsbasierte Richtlinien für Serverless OpenSearch
Standardmäßig sind Benutzer und Rollen nicht berechtigt, serverlose Ressourcen zu erstellen oder zu ändern OpenSearch . Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.
Einzelheiten zu den von Amazon OpenSearch Serverless definierten Aktionen und Ressourcentypen, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon OpenSearch Serverless](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchserverless.html) in der *Service Authorization* Reference.
**Topics**
+ [Bewährte Methoden für Richtlinien](#security_iam_serverless-policy-best-practices)
+ [Serverless in der Konsole verwenden OpenSearch](#security_iam_serverless_id-based-policy-examples-console)
+ [Verwaltung serverloser Sammlungen OpenSearch](#security_iam_id-based-policy-examples-collection-admin)
+ [Serverlose Sammlungen anzeigen OpenSearch](#security_iam_id-based-policy-examples-view-collections)
+ [OpenSearch API-Operationen verwenden](#security_iam_id-based-policy-examples-data-plane)
+ [ABAC für API-Operationen OpenSearch](#security_iam_id-based-policy-examples-data-plane-abac)
### Bewährte Methoden für Richtlinien
Identitätsbasierte Richtlinien sind sehr leistungsfähig. Sie bestimmen, ob jemand OpenSearch serverlose Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
Identitätsbasierte Richtlinien legen fest, ob jemand OpenSearch serverlose Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
### Serverless in der Konsole verwenden OpenSearch
Um über die OpenSearch Servicekonsole auf OpenSearch Serverless zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den OpenSearch Serverless-Ressourcen in Ihrem AWS Konto aufzulisten und einzusehen. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (wie IAM-Rollen) mit dieser Richtlinie.
Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die Sie ausführen möchten.
Die folgende Richtlinie ermöglicht einem Benutzer den Zugriff auf OpenSearch Serverless innerhalb der OpenSearch Servicekonsole:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Resource": "*",
"Effect": "Allow",
"Action": [
"aoss:ListCollections",
"aoss:BatchGetCollection",
"aoss:ListAccessPolicies",
"aoss:ListSecurityConfigs",
"aoss:ListSecurityPolicies",
"aoss:ListTagsForResource",
"aoss:ListVpcEndpoints",
"aoss:GetAccessPolicy",
"aoss:GetAccountSettings",
"aoss:GetSecurityConfig",
"aoss:GetSecurityPolicy"
]
}
]
}
```
------
### Verwaltung serverloser Sammlungen OpenSearch
Diese Richtlinie ist ein Beispiel für eine „Sammlungsadministrator“ -Richtlinie, die es einem Benutzer ermöglicht, Amazon OpenSearch Serverless-Sammlungen zu verwalten und zu verwalten. Der Benutzer kann Sammlungen erstellen, anzeigen und löschen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Resource": "arn:aws:aoss:us-east-1:111122223333:collection/*",
"Action": [
"aoss:CreateCollection",
"aoss:DeleteCollection",
"aoss:UpdateCollection"
],
"Effect": "Allow"
},
{
"Resource": "*",
"Action": [
"aoss:BatchGetCollection",
"aoss:ListCollections",
"aoss:CreateAccessPolicy",
"aoss:CreateSecurityPolicy"
],
"Effect": "Allow"
}
]
}
```
------
### Serverlose Sammlungen anzeigen OpenSearch
Diese Beispielrichtlinie ermöglicht es einem Benutzer, Details für alle Amazon OpenSearch Serverless-Sammlungen in seinem Konto einzusehen. Der Benutzer kann die Sammlungen oder die zugeordneten Sicherheitsrichtlinien nicht ändern.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Resource": "*",
"Action": [
"aoss:ListAccessPolicies",
"aoss:ListCollections",
"aoss:ListSecurityPolicies",
"aoss:ListTagsForResource",
"aoss:BatchGetCollection"
],
"Effect": "Allow"
}
]
}
```
------
### OpenSearch API-Operationen verwenden
API-Operationen auf Datenebene bestehen aus den Funktionen, die Sie in OpenSearch Serverless verwenden, um Echtzeitwerte aus dem Dienst abzuleiten. API-Operationen auf der Kontrollebene bestehen aus den Funktionen, mit denen Sie die Umgebung einrichten.
Um über den Browser auf Amazon OpenSearch Serverless Data Plane APIs und OpenSearch Dashboards zuzugreifen, müssen Sie zwei IAM-Berechtigungen für Sammelressourcen hinzufügen. Diese Berechtigungen sind und. `aoss:APIAccessAll` `aoss:DashboardsAccessAll`
**Anmerkung**
Ab dem 10. Mai 2023 benötigt OpenSearch Serverless diese beiden neuen IAM-Berechtigungen für Sammlungsressourcen. Die `aoss:APIAccessAll` Berechtigung ermöglicht den Zugriff auf die Datenebene, und die `aoss:DashboardsAccessAll` Berechtigung ermöglicht OpenSearch Dashboards vom Browser aus. Wenn die beiden neuen IAM-Berechtigungen nicht hinzugefügt werden, wird ein 403-Fehler angezeigt.
Diese Beispielrichtlinie ermöglicht es einem Benutzer, auf die Datenebene APIs für eine bestimmte Sammlung in seinem Konto zuzugreifen und auf OpenSearch Dashboards für alle Sammlungen in seinem Konto zuzugreifen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aoss:APIAccessAll",
"Resource": "arn:aws:aoss:us-east-1:111122223333:collection/collection-id"
},
{
"Effect": "Allow",
"Action": "aoss:DashboardsAccessAll",
"Resource": "arn:aws:aoss:us-east-1:111122223333:dashboards/default"
}
]
}
```
------
Beides `aoss:APIAccessAll` und `aoss:DashboardsAccessAll` gewährt volle IAM-Berechtigungen für die Sammlungsressourcen, während die Dashboard-Berechtigung auch Zugriff auf Dashboards gewährt OpenSearch . Jede Berechtigung funktioniert unabhängig voneinander, sodass eine ausdrückliche Verweigerung `aoss:APIAccessAll` nicht den `aoss:DashboardsAccessAll` Zugriff auf die Ressourcen, einschließlich der Entwicklungstools, blockiert. Das Gleiche gilt für die Option „Ablehnen`aoss:DashboardsAccessAll`“. OpenSearch Serverless unterstützt die folgenden globalen Bedingungsschlüssel:
+ `aws:CalledVia`
+ `aws:CalledViaAWSService`
+ `aws:CalledViaFirst`
+ `aws:CalledViaLast`
+ `aws:CurrentTime`
+ `aws:EpochTime`
+ `aws:PrincipalAccount`
+ `aws:PrincipalArn`
+ `aws:PrincipallsAWSService`
+ `aws:PrincipalOrgID`
+ `aws:PrincipalOrgPaths`
+ `aws:PrincipalType`
+ `aws:PrincipalServiceName`
+ `aws:PrincipalServiceNamesList`
+ `aws:ResourceAccount`
+ `aws:ResourceOrgID`
+ `aws:ResourceOrgPaths`
+ `aws:RequestedRegion`
+ `aws:ResourceTag`
+ `aws:SourceIp`
+ `aws:SourceVpce`
+ `aws:SourceVpc`
+ `aws:userid`
+ `aws:username`
+ `aws:VpcSourceIp`
Im Folgenden finden Sie ein Beispiel für die Verwendung `aws:SourceIp` im Bedingungsblock in der IAM-Richtlinie Ihres Prinzipals für Aufrufe auf Datenebene:
```
"Condition": {
"IpAddress": {
"aws:SourceIp": "203.0.113.0"
}
}
```
Im Folgenden finden Sie ein Beispiel für die Verwendung `aws:SourceVpc` im Bedingungsblock in der IAM-Richtlinie Ihres Prinzipals für Datenebenenanrufe:
```
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-0fdd2445d8EXAMPLE"
}
}
```
Darüber hinaus wird Unterstützung für die folgenden OpenSearch serverlosen Schlüssel angeboten:
+ `aoss:CollectionId`
+ `aoss:collection`
Im Folgenden finden Sie ein Beispiel für die Verwendung `aoss:collection` im Bedingungsblock in der IAM-Richtlinie Ihres Prinzipals für Aufrufe auf Datenebene:
```
"Condition": {
"StringLike": {
"aoss:collection": "log-*"
}
}
```
### ABAC für API-Operationen OpenSearch
Mit identitätsbasierten Richtlinien können Sie Tags verwenden, um den Zugriff auf die Amazon OpenSearch Serverless-Datenebene zu kontrollieren. APIs Die folgende Richtlinie ist ein Beispiel dafür, dass verbundene Principals auf die Datenebene zugreifen können, APIs wenn die Sammlung über das Tag verfügt: `team:devops`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aoss:APIAccessAll",
"Resource": "arn:aws:aoss:us-east-1:111122223333:collection/collection-id",
"Condition": {
"StringEquals": {
"aws:ResourceTag/team": "devops"
}
}
}
]
}
```
------
Die folgende Richtlinie ist ein Beispiel dafür, verbundenen Prinzipalen den Zugriff auf Datenebene APIs und Dashboards zu verweigern, wenn die Sammlung über das Tag verfügt: `environment:production`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"aoss:APIAccessAll",
"aoss:DashboardsAccessAll"
],
"Resource": "arn:aws:aoss:us-east-1:111122223333:collection/collection-id"
}
]
}
```
------
Amazon OpenSearch Serverless unterstützt `RequestTag` keine `TagKeys` globalen Bedingungsschlüssel für die Datenebene APIs.
# IAM Identity Center-Unterstützung für Amazon Serverless OpenSearch
## IAM Identity Center-Unterstützung für Amazon Serverless OpenSearch
Sie können IAM Identity Center-Prinzipale (Benutzer und Gruppen) verwenden, um über Amazon Applications auf Amazon OpenSearch Serverless-Daten zuzugreifen. OpenSearch Um die IAM Identity Center-Unterstützung für Amazon OpenSearch Serverless zu aktivieren, müssen Sie die Verwendung von IAM Identity Center aktivieren. Weitere Informationen dazu finden Sie unter [Was ist IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) Identity Center?
**Anmerkung**
Um mithilfe von IAM Identity Center-Benutzern oder -Gruppen auf Amazon OpenSearch Serverless-Sammlungen zuzugreifen, müssen Sie die OpenSearch UI-Funktion (Anwendungen) verwenden. Direkter Zugriff auf OpenSearch Serverless Dashboards mit IAM Identity Center-Anmeldeinformationen wird nicht unterstützt. Weitere Informationen finden Sie unter [Erste Schritte mit der OpenSearch Benutzeroberfläche](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/application.html).
Nachdem die IAM Identity Center-Instance erstellt wurde, muss der Administrator des Kundenkontos eine IAM Identity Center-Anwendung für den Amazon OpenSearch Serverless-Service erstellen. [Dies kann durch Aufrufen von: erfolgen. CreateSecurityConfig](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateSecurityConfig.html) Der Administrator des Kundenkontos kann angeben, welche Attribute für die Autorisierung der Anfrage verwendet werden. Die verwendeten Standardattribute sind und `UserId` `GroupId.`
Die IAM Identity Center-Integration für Amazon OpenSearch Serverless verwendet die folgenden AWS IAM Identity Center (IAM) -Berechtigungen:
+ `aoss:CreateSecurityConfig`— Erstellen Sie einen IAM Identity Center-Anbieter
+ `aoss:ListSecurityConfig`— Listet alle IAM Identity Center-Anbieter im aktuellen Konto auf.
+ `aoss:GetSecurityConfig`— IAM Identity Center-Anbieterinformationen anzeigen.
+ `aoss:UpdateSecurityConfig`— Ändern Sie eine bestimmte IAM Identity Center-Konfiguration
+ `aoss:DeleteSecurityConfig`— Löscht einen IAM Identity Center-Anbieter.
Die folgende identitätsbasierte Zugriffsrichtlinie kann zur Verwaltung aller IAM Identity Center-Konfigurationen verwendet werden:
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"aoss:CreateSecurityConfig",
"aoss:DeleteSecurityConfig",
"aoss:GetSecurityConfig",
"aoss:UpdateSecurityConfig",
"aoss:ListSecurityConfigs"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
**Anmerkung**
Das `Resource` Element muss ein Platzhalter sein.
## Einen IAM Identity Center-Anbieter (Konsole) erstellen
Sie können einen IAM Identity Center-Anbieter erstellen, um die Authentifizierung mit OpenSearch der Anwendung zu ermöglichen. Gehen Sie wie folgt vor, um die IAM Identity Center-Authentifizierung für OpenSearch Dashboards zu aktivieren:
1. Melden Sie sich bei der [Amazon OpenSearch Service-Konsole](https://console.aws.amazon.com/aos/home.) an.
1. Erweitern Sie im linken Navigationsbereich den Bereich **Serverless** und wählen Sie **Authentifizierung** aus.
1. Wählen Sie **IAM Identity Center-Authentifizierung**.
1. **Wählen Sie Bearbeiten**
1. Markieren Sie das Kästchen neben Mit IAM Identity Center authentifizieren.
1. Wählen Sie den **Benutzer- und Gruppenattributschlüssel** aus dem Dropdownmenü aus. Benutzerattribute werden verwendet, um Benutzer auf der Grundlage von `UserName``UserId`, und zu autorisieren. `Email` Gruppenattribute werden verwendet, um Benutzer auf `GroupName` der Grundlage von und zu authentifizieren. `GroupId`
1. Wählen Sie die **IAM Identity Center-Instanz** aus.
1. **Wählen Sie Speichern**
## Der IAM Identity Center-Anbieter wird erstellt ()AWS CLI
Verwenden Sie den folgenden Befehl, um einen IAM Identity Center-Anbieter mithilfe von AWS Command Line Interface (AWS CLI) zu erstellen:
```
aws opensearchserverless create-security-config \
--region us-east-2 \
--name "iamidentitycenter-config" \
--description "description" \
--type "iamidentitycenter" \
--iam-identity-center-options '{
"instanceArn": "arn:aws:sso:::instance/ssoins-99199c99e99ee999",
"userAttribute": "UserName",
"groupAttribute": "GroupId"
}'
```
Nachdem ein IAM Identity Center aktiviert wurde, können Kunden nur **Benutzer- und Gruppenattribute** ändern.
```
aws opensearchserverless update-security-config \
--region us-east-1 \
--id \
--config-version \
--iam-identity-center-options-updates '{
"userAttribute": "UserId",
"groupAttribute": "GroupId"
}'
```
Verwenden Sie den folgenden Befehl, um den IAM Identity Center-Anbieter mithilfe von anzuzeigen: AWS Command Line Interface
```
aws opensearchserverless list-security-configs --type iamidentitycenter
```
## Löschen eines IAM Identity Center-Anbieters
IAM Identity Center bietet zwei Instanzen von Anbietern, eine für Ihr Organisationskonto und eine für Ihr Mitgliedskonto. Wenn Sie Ihre IAM Identity Center-Instanz ändern müssen, müssen Sie Ihre Sicherheitskonfiguration über die `DeleteSecurityConfig` API löschen und mithilfe der neuen IAM Identity Center-Instanz eine neue Sicherheitskonfiguration erstellen. Der folgende Befehl kann verwendet werden, um einen IAM Identity Center-Anbieter zu löschen:
```
aws opensearchserverless delete-security-config \
--region us-east-1 \
--id
```
## Gewähren Sie dem IAM Identity Center Zugriff auf Sammlungsdaten
Nachdem Ihr IAM Identity Center-Anbieter aktiviert wurde, können Sie die Zugriffsrichtlinie für Sammlungsdaten so aktualisieren, dass sie IAM Identity Center-Prinzipale einbezieht. Die IAM Identity Center-Prinzipale müssen im folgenden Format aktualisiert werden:
```
[
{
"Rules":[
...
],
"Principal":[
"iamidentitycenter//user/",
"iamidentitycenter//group/"
]
}
]
```
**Anmerkung**
Amazon OpenSearch Serverless unterstützt nur eine IAM Identity Center-Instance für alle Kundensammlungen und kann bis zu 100 Gruppen für einen einzelnen Benutzer unterstützen. Wenn Sie versuchen, mehr als die zulässige Anzahl von Instances zu verwenden, kommt es zu Inkonsistenzen bei der Autorisierungsverarbeitung Ihrer Datenzugriffsrichtlinie und Sie erhalten eine `403` Fehlermeldung.
Sie können Zugriff auf Sammlungen, Indizes oder beides gewähren. Wenn Sie möchten, dass verschiedene Benutzer unterschiedliche Berechtigungen haben, müssen Sie mehrere Regeln erstellen. Eine Liste der verfügbaren Berechtigungen finden Sie unter [Identity and Access Management in Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html). Informationen zum Formatieren einer Zugriffsrichtlinie finden Sie unter [SAML-Identitäten Zugriff auf Sammlungsdaten gewähren](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-saml.html#serverless-saml-policies).
# Verschlüsselung in Amazon OpenSearch Serverless
## Verschlüsselung im Ruhezustand
Jede Amazon OpenSearch Serverless-Sammlung, die Sie erstellen, ist durch Verschlüsselung ruhender Daten geschützt. Diese Sicherheitsfunktion verhindert unbefugten Zugriff auf Ihre Daten. Encryption at Rest verwendet AWS Key Management Service (AWS KMS), um Ihre Verschlüsselungsschlüssel zu speichern und zu verwalten. Es verwendet den Advanced-Encryption-Standard-Algorithmus mit 256-Bit-Schlüsseln (AES-256) zur Durchführung der Verschlüsselung.
**Topics**
+ [Verschlüsselungsrichtlinien](#serverless-encryption-policies)
+ [Überlegungen](#serverless-encryption-considerations)
+ [Erforderliche Berechtigungen](#serverless-encryption-permissions)
+ [Schlüsselrichtlinie für einen kundenseitig verwalteten Schlüssel](#serverless-customer-cmk-policy)
+ [So verwendet Serverless Grants in OpenSearch AWS KMS](#serverless-encryption-grants)
+ [Erstellen von Verschlüsselungsrichtlinien (Konsole)](#serverless-encryption-console)
+ [Erstellen von Verschlüsselungsrichtlinien (AWS CLI)](#serverless-encryption-cli)
+ [Anzeigen von Verschlüsselungsrichtlinien](#serverless-encryption-list)
+ [Aktualisieren von Verschlüsselungsrichtlinien](#serverless-encryption-update)
+ [Aktualisieren von Verschlüsselungsrichtlinien](#serverless-encryption-delete)
### Verschlüsselungsrichtlinien
Mit Verschlüsselungsrichtlinien können Sie viele Sammlungen in großem Umfang verwalten. Dazu weisen Sie neu erstellten Sammlungen, die einem bestimmten Namen oder Muster entsprechen, automatisch einen Verschlüsselungsschlüssel zu.
Wenn Sie eine Verschlüsselungsrichtlinie erstellen, können Sie entweder ein *Präfix* angeben, bei dem es sich um eine auf Platzhaltern basierende Abgleichregel wie `MyCollection*` handelt, oder einen einzelnen Sammlungsnamen eingeben. Wenn Sie dann eine Sammlung erstellen, die mit diesem Namen oder Präfixmuster übereinstimmt, werden ihr automatisch die Richtlinie und der entsprechende KMS-Schlüssel zugewiesen.
Beim Erstellen einer Sammlung können Sie einen AWS KMS Schlüssel auf zwei Arten angeben: über Sicherheitsrichtlinien oder direkt in der `CreateCollection` Anfrage. Wenn Sie im Rahmen der `CreateCollection` Anfrage einen AWS KMS Schlüssel angeben, hat dieser Vorrang vor allen entsprechenden Sicherheitsrichtlinien. Mit diesem Ansatz haben Sie die Flexibilität, richtlinienbasierte Verschlüsselungseinstellungen für bestimmte Sammlungen bei Bedarf außer Kraft zu setzen.
![\[Encryption policy creation process with rules and collection matching to KMS key.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/serverless-encryption.png)
Verschlüsselungsrichtlinien unterstützen die folgenden Elemente:
+ `Rules` – eine oder mehrere Regeln für den Sammlungsabgleich, jeweils mit den folgenden Unterelementen:
+ `ResourceType` – Derzeit ist die einzige Option „Sammlung“. Verschlüsselungsrichtlinien gelten nur für Sammlungsressourcen.
+ `Resource` – Ein oder mehrere Sammlungsnamen oder Muster, auf die die Richtlinie angewendet wird, im Format `collection/`.
+ `AWSOwnedKey` – Ob ein AWS-eigener Schlüssel verwendet werden soll.
+ `KmsARN` – Wenn Sie `AWSOwnedKey` auf „falsch“ festlegen, geben Sie den Amazon-Ressourcennamen (ARN) des KMS-Schlüssels an, mit dem die zugehörigen Sammlungen verschlüsselt werden sollen. Wenn Sie diesen Parameter angeben, ignoriert OpenSearch Serverless den Parameter. `AWSOwnedKey`
Die folgende Beispielrichtlinie weist jeder zukünftigen Sammlung mit dem Namen `autopartsinventory` sowie Sammlungen, die mit dem Begriff „Vertrieb“ beginnen, einen vom Kunden verwalteten Schlüssel zu:
```
{
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/autopartsinventory",
"collection/sales*"
]
}
],
"AWSOwnedKey":false,
"KmsARN":"arn:aws:kms:us-east-1:123456789012:key/93fd6da4-a317-4c17-bfe9-382b5d988b36"
}
```
Selbst wenn eine Richtlinie mit einem Sammlungsnamen übereinstimmt, können Sie diese automatische Zuweisung während der Sammlungserstellung außer Kraft setzen, wenn das Ressourcenmuster einen Platzhalter (\$1) enthält. Wenn Sie die automatische Schlüsselzuweisung außer Kraft setzen möchten, erstellt OpenSearch Serverless für Sie eine Verschlüsselungsrichtlinie mit dem Namen **auto-< *collection-name* >** und fügt sie der Sammlung hinzu. Die Richtlinie gilt zunächst nur für eine einzelne Sammlung, Sie können sie jedoch ändern, um weitere Sammlungen einzubeziehen.
Wenn Sie Richtlinienregeln so ändern, dass sie nicht mehr mit einer Sammlung übereinstimmen, wird die Zuweisung des zugeordneten KMS-Schlüssels zu dieser Sammlung nicht aufgehoben. Die Sammlung bleibt immer mit ihrem ursprünglichen Verschlüsselungsschlüssel verschlüsselt. Wenn Sie den Verschlüsselungsschlüssel für eine Sammlung ändern möchten, müssen Sie die Sammlung neu erstellen.
Wenn Regeln aus mehreren Richtlinien mit einer Sammlung übereinstimmen, wird die spezifischere Regel verwendet. Wenn beispielsweise eine Richtlinie eine Regel für `collection/log*` und eine andere für `collection/logSpecial` enthält, wird der Verschlüsselungsschlüssel für die zweite Richtlinie verwendet, da dieser spezifischer ist.
Sie können in einer Richtlinie keinen Namen oder ein Präfix verwenden, wenn es bereits in einer anderen Richtlinie vorhanden ist. OpenSearch Serverless zeigt einen Fehler an, wenn Sie versuchen, identische Ressourcenmuster in verschiedenen Verschlüsselungsrichtlinien zu konfigurieren.
### Überlegungen
Berücksichtigen Sie Folgendes, wenn Sie die Verschlüsselung für Ihre Sammlungen konfigurieren:
+ Die Verschlüsselung im Ruhezustand ist für alle Serverless-Sammlungen *erforderlich*.
+ Sie haben die Möglichkeit, einen vom Kunden verwalteten Schlüssel oder ein AWS-eigener Schlüssel zu verwenden. Wenn Sie sich für einen vom Kunden verwalteten Schlüssel entscheiden, empfehlen wir Ihnen, die [automatische Schlüsselrotation](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) zu aktivieren.
+ Sie können den Verschlüsselungsschlüssel für eine Sammlung nicht ändern, nachdem die Sammlung erstellt wurde. Wählen Sie sorgfältig aus, welche Sie verwenden AWS KMS möchten, wenn Sie zum ersten Mal eine Sammlung einrichten.
+ Eine Sammlung kann nur mit einer einzigen Verschlüsselungsrichtlinie übereinstimmen.
+ Sammlungen mit eindeutigen KMS-Schlüsseln können OpenSearch Recheneinheiten (OCUs) nicht mit anderen Sammlungen gemeinsam nutzen. Jede Sammlung mit einem eindeutigen Schlüssel benötigt ihre eigenen OCUs 4.
+ Wenn Sie den KMS-Schlüssel in einer Verschlüsselungsrichtlinie aktualisieren, hat die Änderung keine Auswirkungen auf bestehende übereinstimmende Sammlungen mit bereits zugewiesenen KMS-Schlüsseln.
+ OpenSearch Serverless überprüft die Benutzerberechtigungen für vom Kunden verwaltete Schlüssel nicht explizit. Wenn ein Benutzer über die Berechtigung verfügt, über eine Datenzugriffsrichtlinie auf eine Sammlung zuzugreifen, kann er die mit dem zugehörigen Schlüssel verschlüsselten Daten aufnehmen und abfragen.
### Erforderliche Berechtigungen
Die Verschlüsselung im Ruhezustand für OpenSearch Serverless verwendet die folgenden AWS Identity and Access Management (IAM-) Berechtigungen. Sie können IAM-Bedingungen festlegen, um Benutzer auf bestimmte Sammlungen zu beschränken.
+ `aoss:CreateSecurityPolicy` – Erstellt eine Verschlüsselungsrichtlinie.
+ `aoss:ListSecurityPolicies` – Listet alle Verschlüsselungsrichtlinien und Sammlungen auf, denen diese angefügt sind.
+ `aoss:GetSecurityPolicy` – Zeigt Details zu einer bestimmten Verschlüsselungsrichtlinie an.
+ `aoss:UpdateSecurityPolicy` – Erstellt eine Verschlüsselungsrichtlinie.
+ `aoss:DeleteSecurityPolicy` – Löscht eine Verschlüsselungsrichtlinie.
Das folgende Beispiel für eine identitätsbasierte Zugriffsrichtlinie stellt die Mindestberechtigungen bereit, die ein Benutzer zum Verwalten von Verschlüsselungsrichtlinien mit dem Ressourcenmuster `collection/application-logs` benötigt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"aoss:CreateSecurityPolicy",
"aoss:UpdateSecurityPolicy",
"aoss:DeleteSecurityPolicy",
"aoss:GetSecurityPolicy"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"aoss:collection":"application-logs"
}
}
},
{
"Effect":"Allow",
"Action":[
"aoss:ListSecurityPolicies"
],
"Resource":"*"
}
]
}
```
------
### Schlüsselrichtlinie für einen kundenseitig verwalteten Schlüssel
Wenn Sie einen vom [Kunden verwalteten Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) zum Schutz einer Sammlung auswählen, erhält OpenSearch Serverless die Erlaubnis, den KMS-Schlüssel im Namen des Prinzipals zu verwenden, der die Auswahl trifft. Dieser Prinzipal, ein Benutzer oder eine Rolle, muss über die für OpenSearch Serverless erforderlichen Berechtigungen für den KMS-Schlüssel verfügen. Sie können diese Berechtigungen in einer [Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) oder einer [IAM-Richtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) bereitstellen.
OpenSearch Serverless führt während Wartungsvorgängen wie Autoscaling `GenerateDataKey` und Softwareupdates `Decrypt` KMS-API-Aufrufe durch und ruft diese auf. Möglicherweise beobachten Sie diese Aufrufe außerhalb Ihrer typischen Datenverkehrsmuster. Diese Anrufe sind Teil des normalen Dienstbetriebs und weisen nicht auf aktiven Benutzerverkehr hin.
OpenSearch Serverless löst eine aus, `KMSKeyInaccessibleException` wenn es nicht auf den KMS-Schlüssel zugreifen kann, der Ihre Daten im Ruhezustand verschlüsselt. Dies passiert, wenn Sie den KMS-Schlüssel deaktivieren oder löschen oder die Genehmigungen widerrufen, die OpenSearch Serverless die Verwendung des Schlüssels gestatten.
OpenSearch Serverless benötigt mindestens die folgenden Berechtigungen für einen vom Kunden verwalteten Schlüssel:
+ [km: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)
+ [km: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)
Beispiel:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "kms:DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Dale"
},
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "aoss.us-east-1.amazonaws.com"
}
}
},
{
"Action": "kms:CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Dale"
},
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "aoss.us-east-1.amazonaws.com"
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"GenerateDataKey"
]
},
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
}
]
}
```
------
OpenSearch Serverless erstellt einen Grant mit den Berechtigungen [kms: GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) und [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html).
Weitere Informationen finden Sie unter [Verwenden von Schlüsselrichtlinien in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) im *Entwicklerhandbuch für AWS Key Management Service *.
### So verwendet Serverless Grants in OpenSearch AWS KMS
OpenSearch Für Serverless ist ein [Zuschuss](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) erforderlich, um einen vom Kunden verwalteten Schlüssel verwenden zu können.
Wenn Sie in Ihrem Konto eine Verschlüsselungsrichtlinie mit einem neuen Schlüssel erstellen, erstellt OpenSearch Serverless in Ihrem Namen einen Zuschuss, indem es eine [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)Anfrage an sendet. AWS KMS Grants in AWS KMS werden verwendet, um OpenSearch serverlosen Zugriff auf einen KMS-Schlüssel in einem Kundenkonto zu gewähren.
OpenSearch Serverless setzt voraus, dass der Zuschuss Ihren vom Kunden verwalteten Schlüssel für die folgenden internen Operationen verwenden kann:
+ Senden Sie [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Anfragen an, AWS KMS um zu überprüfen, ob die angegebene symmetrische, vom Kunden verwaltete Schlüssel-ID gültig ist.
+ Senden Sie [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)Anfragen an den KMS-Schlüssel, um Datenschlüssel zu erstellen, mit denen Objekte verschlüsselt werden können.
+ Senden Sie [Entschlüsselungsanforderungen](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) an AWS KMS , um die verschlüsselten Datenschlüssel zu entschlüsseln, sodass sie zum Verschlüsseln Ihrer Daten verwendet werden können.
Sie können den Zugriff auf die Genehmigung jederzeit widerrufen oder den Zugriff des Services auf den vom Kunden verwalteten Schlüssel entfernen. Wenn Sie dies tun, kann OpenSearch Serverless auf keine der mit dem vom Kunden verwalteten Schlüssel verschlüsselten Daten zugreifen. Dies wirkt sich auf alle Vorgänge aus, die von diesen Daten abhängig sind, was zu `AccessDeniedException` Fehlern und Ausfällen in den asynchronen Workflows führt.
OpenSearch Serverless zieht Zuschüsse in einem asynchronen Workflow zurück, wenn ein bestimmter vom Kunden verwalteter Schlüssel keinen Sicherheitsrichtlinien oder Sammlungen zugeordnet ist.
### Erstellen von Verschlüsselungsrichtlinien (Konsole)
In einer Verschlüsselungsrichtlinie geben Sie einen KMS-Schlüssel und eine Reihe von Erfassungsmustern an, auf die die Richtlinie angewendet wird. Allen neuen Sammlungen, die mit einem der in der Richtlinie definierten Muster übereinstimmen, wird beim Erstellen der Sammlung der entsprechende KMS-Schlüssel zugewiesen. Wir empfehlen Ihnen, Verschlüsselungsrichtlinien zu erstellen, *bevor* Sie mit dem Erstellen von Sammlungen beginnen.
**Um eine Richtlinie für serverlose Verschlüsselung zu erstellen OpenSearch**
1. Öffnen Sie die Amazon OpenSearch Service-Konsole zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home).
1. Erweitern Sie im linken Navigationsbereich **Serverless** und wählen Sie **Encryption policies** (Verschlüsselungsrichtlinien) aus.
1. Wählen Sie **Create encryption policy** (Verschlüsselungsrichtlinie erstellen).
1. Geben Sie einen Namen und eine Beschreibung für die Richtlinie an.
1. Geben Sie unter **Resources** (Ressourcen) ein oder mehrere Ressourcenmuster für diese Verschlüsselungsrichtlinie ein. Alle neu erstellten Sammlungen im aktuellen AWS-Konto und in der aktuellen Region, die mit einem der Muster übereinstimmen, werden dieser Richtlinie automatisch zugewiesen. Wenn Sie beispielsweise `ApplicationLogs` (ohne Platzhalter) eingeben und später eine Sammlung mit diesem Namen erstellen, werden die Richtlinie und der entsprechende KMS-Schlüssel dieser Sammlung zugewiesen.
Sie können auch ein Präfix wie `Logs*` angeben, das die Richtlinie allen neuen Sammlungen zuweist, deren Namen mit `Logs` beginnen. Durch die Verwendung von Platzhaltern können Sie die Verschlüsselungseinstellungen für mehrere Sammlungen in großem Umfang verwalten.
1. Wählen Sie unter **Encryption** (Verschlüsselung) einen zu verwendenden KMS-Schlüssel aus.
1. Wählen Sie **Erstellen** aus.
#### Nächster Schritt: Erstellen von Sammlungen
Nachdem Sie eine oder mehrere Verschlüsselungsrichtlinien konfiguriert haben, können Sie mit der Erstellung von Sammlungen beginnen, die den in diesen Richtlinien definierten Regeln entsprechen. Detaillierte Anweisungen finden Sie unter [Erstellen von Sammlungen](serverless-create.md).
Im Schritt **Verschlüsselungen** bei der Erstellung der Sammlung informiert Sie OpenSearch Serverless darüber, dass der von Ihnen eingegebene Name dem in einer Verschlüsselungsrichtlinie definierten Muster entspricht, und weist der Sammlung automatisch den entsprechenden KMS-Schlüssel zu. Wenn das Ressourcenmuster einen Platzhalter (\$1) enthält, können Sie die Übereinstimmung überschreiben und Ihren eigenen Schlüssel auswählen.
### Erstellen von Verschlüsselungsrichtlinien (AWS CLI)
Um mithilfe der OpenSearch serverlosen API-Operationen eine Verschlüsselungsrichtlinie zu erstellen, geben Sie Ressourcenmuster und einen Verschlüsselungsschlüssel im JSON-Format an. Die [CreateSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateSecurityPolicy.html)Anfrage akzeptiert sowohl Inline-Richtlinien als auch JSON-Dateien.
Verschlüsselungsrichtlinien haben folgendes Format. Diese Beispieldatei `my-policy.json` stimmt mit jeder zukünftigen Sammlung mit dem Namen `autopartsinventory` überein, ebenso wie mit allen Sammlungen, deren Namen mit `sales` beginnen.
```
{
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/autopartsinventory",
"collection/sales*"
]
}
],
"AWSOwnedKey":false,
"KmsARN":"arn:aws:kms:us-east-1:123456789012:key/93fd6da4-a317-4c17-bfe9-382b5d988b36"
}
```
Um einen Service-eigenen Schlüssel zu verwenden, legen Sie `AWSOwnedKey` auf `true` fest:
```
{
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/autopartsinventory",
"collection/sales*"
]
}
],
"AWSOwnedKey":true
}
```
Die folgende Anfrage erstellt die Verschlüsselungsrichtlinie:
```
aws opensearchserverless create-security-policy \
--name sales-inventory \
--type encryption \
--policy file://my-policy.json
```
Verwenden Sie dann den [CreateCollection](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateCollection.html)API-Vorgang, um eine oder mehrere Sammlungen zu erstellen, die einem der Ressourcenmuster entsprechen.
### Anzeigen von Verschlüsselungsrichtlinien
Bevor Sie eine Sammlung erstellen, möchten Sie möglicherweise eine Vorschau der vorhandenen Verschlüsselungsrichtlinien in Ihrem Konto anzeigen, um zu sehen, welche ein Ressourcenmuster hat, das mit dem Namen Ihrer Sammlung übereinstimmt. In der folgenden [ListSecurityPolicies](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_ListSecurityPolicies.html)Anfrage werden alle Verschlüsselungsrichtlinien in Ihrem Konto aufgeführt:
```
aws opensearchserverless list-security-policies --type encryption
```
Die Anfrage gibt Informationen über alle konfigurierten Verschlüsselungsrichtlinien zurück. Verwenden Sie den Inhalt des `policy`-Elements, um die Musterregeln anzuzeigen, die in der Richtlinie definiert sind:
```
{
"securityPolicyDetails": [
{
"createdDate": 1663693217826,
"description": "Sample encryption policy",
"lastModifiedDate": 1663693217826,
"name": "my-policy",
"policy": "{\"Rules\":[{\"ResourceType\":\"collection\",\"Resource\":[\"collection/autopartsinventory\",\"collection/sales*\"]}],\"AWSOwnedKey\":true}",
"policyVersion": "MTY2MzY5MzIxNzgyNl8x",
"type": "encryption"
}
]
}
```
Verwenden Sie den [GetSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetSecurityPolicy.html)Befehl, um detaillierte Informationen zu einer bestimmten Richtlinie, einschließlich des KMS-Schlüssels, anzuzeigen.
### Aktualisieren von Verschlüsselungsrichtlinien
Wenn Sie den KMS-Schlüssel in einer Verschlüsselungsrichtlinie aktualisieren, gilt die Änderung nur für neu erstellte Sammlungen, die mit dem konfigurierten Namen oder Muster übereinstimmen. Bestehende Sammlungen, denen bereits KMS-Schlüssel zugewiesen sind, sind davon nicht betroffen.
Dasselbe gilt für Regeln zum Richtlinienabgleich. Wenn Sie eine Regel hinzufügen, ändern oder löschen, gilt die Änderung nur für neu erstellte Sammlungen. Vorhandene Sammlungen verlieren ihren zugewiesenen KMS-Schlüssel nicht, wenn Sie die Regeln einer Richtlinie so ändern, dass sie nicht mehr mit dem Namen einer Sammlung übereinstimmen.
Um eine Verschlüsselungsrichtlinie in der OpenSearch Serverless-Konsole zu aktualisieren, wählen Sie **Verschlüsselungsrichtlinien**, wählen Sie die zu ändernde Richtlinie aus und klicken Sie auf **Bearbeiten**. Nehmen Sie Ihre Änderungen vor und wählen Sie **Save** (Speichern).
Verwenden Sie den Vorgang, um eine Verschlüsselungsrichtlinie mithilfe der OpenSearch Serverless API zu aktualisieren. [UpdateSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_UpdateSecurityPolicy.html) Die folgende Anfrage aktualisiert eine Verschlüsselungsrichtlinie mit einem neuen Richtlinien-JSON-Dokument:
```
aws opensearchserverless update-security-policy \
--name sales-inventory \
--type encryption \
--policy-version 2 \
--policy file://my-new-policy.json
```
### Aktualisieren von Verschlüsselungsrichtlinien
Wenn Sie eine Verschlüsselungsrichtlinie löschen, sind alle Sammlungen, die derzeit den in der Richtlinie definierten KMS-Schlüssel verwenden, nicht betroffen. **Um eine Richtlinie in der OpenSearch Serverless-Konsole zu löschen, wählen Sie die Richtlinie aus und klicken Sie auf Löschen.**
Sie können auch den [DeleteSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_DeleteSecurityPolicy.html)Vorgang verwenden:
```
aws opensearchserverless delete-security-policy --name my-policy --type encryption
```
## Verschlüsselung während der Übertragung
In OpenSearch Serverless werden alle Pfade in einer Sammlung während der Übertragung mithilfe von Transport Layer Security 1.2 (TLS) mit einer dem Industriestandard entsprechenden AES-256-Verschlüsselung verschlüsselt. Der Zugriff auf alle Dashboards APIs und Dashboards für Opensearch erfolgt ebenfalls über TLS 1.2. TLS ist eine Reihe von branchenüblichen kryptografischen Protokollen, die zur Verschlüsselung von Informationen verwendet werden, die über das Netzwerk ausgetauscht werden.
# Netzwerkzugriff für Amazon OpenSearch Serverless
Die Netzwerkeinstellungen für eine Amazon OpenSearch Serverless-Sammlung bestimmen, ob auf die Sammlung über das Internet von öffentlichen Netzwerken aus zugegriffen werden kann oder ob privat darauf zugegriffen werden muss.
Der private Zugriff kann für eine oder beide der folgenden Bedingungen gelten:
+ OpenSearch Serverlos verwaltete VPC-Endpunkte
+ Unterstützt AWS-Services wie Amazon Bedrock
Sie können den Netzwerkzugriff für den Endpunkt einer Sammlung und den entsprechenden *OpenSearchOpenSearch **Dashboard-Endpunkt* separat konfigurieren.
Der Netzwerkzugriff ist der Isolationsmechanismus, mit dem Sie den Zugriff aus verschiedenen Quellnetzwerken ermöglichen können. Wenn beispielsweise der OpenSearch Dashboard-Endpunkt einer Sammlung öffentlich zugänglich ist, der OpenSearch API-Endpunkt jedoch nicht, kann ein Benutzer nur über Dashboards auf die Sammlungsdaten zugreifen, wenn er von einem öffentlichen Netzwerk aus eine Verbindung herstellt. Wenn sie versuchen, sie OpenSearch APIs direkt von einem öffentlichen Netzwerk aus anzurufen, werden sie blockiert. Die Netzwerkeinstellungen können für solche Permutationen von Quelle zu Ressource-Typ verwendet werden. Amazon OpenSearch Serverless unterstützt sowohl IPv6 Konnektivität als IPv4 auch.
**Topics**
+ [Netzwerkrichtlinien](#serverless-network-policies)
+ [Überlegungen](#serverless-network-considerations)
+ [Für die Konfiguration von Netzwerkrichtlinien sind Berechtigungen erforderlich](#serverless-network-permissions)
+ [Vorrang der Richtlinie](#serverless-network-precedence)
+ [Erstellen von Netzwerkrichtlinien (Konsole)](#serverless-network-console)
+ [Erstellen von Netzwerkrichtlinien (AWS CLI)](#serverless-network-cli)
+ [Anzeigen von Netzwerkrichtlinien](#serverless-network-list)
+ [Aktualisieren von Netzwerkrichtlinien](#serverless-network-update)
+ [Löschen von Netzwerkrichtlinien](#serverless-network-delete)
## Netzwerkrichtlinien
Mit Netzwerkrichtlinien können Sie viele Sammlungen in großem Umfang verwalten, indem Sie Sammlungen, die den in der Richtlinie definierten Regeln entsprechen, automatisch Netzwerkzugriffseinstellungen zuweisen.
In einer Netzwerkrichtlinie legen Sie eine Reihe von *Regeln* fest. Diese Regeln definieren Zugriffsberechtigungen für Sammelendpunkte und OpenSearch Dashboard-Endpunkte. Jede Regel besteht aus einem Zugriffstyp (öffentlich oder privat) und einem Ressourcentyp (Sammlungs- und/oder OpenSearch Dashboard-Endpunkt). Für jeden Ressourcentyp (`collection` and `dashboard`) legen Sie eine Reihe von Regeln fest, die definieren, für welche Sammlungen die Richtlinie gilt.
In dieser Beispielrichtlinie spezifiziert die erste Regel den VPC-Endpunktzugriff sowohl auf den Sammlungsendpunkt als auch auf den Dashboards-Endpunkt für alle Sammlungen, die mit dem Begriff beginnen. `marketing*` Es spezifiziert auch den Zugriff auf Amazon Bedrock.
**Anmerkung**
Der private Zugriff auf AWS-Services z. B. Amazon Bedrock gilt *nur* für den Endpunkt der Sammlung, nicht für den OpenSearch Endpunkt der OpenSearch Dashboards. Selbst wenn dies der Fall `ResourceType` ist`dashboard`, AWS-Services kann kein Zugriff auf Dashboards gewährt werden. OpenSearch
Die zweite Regel legt den öffentlichen Zugriff auf die `finance`-Sammlung fest, jedoch nur für den Sammlungsendpunkt (kein Zugriff auf Dashboards).
```
[
{
"Description":"Marketing access",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/marketing*"
]
},
{
"ResourceType":"dashboard",
"Resource":[
"collection/marketing*"
]
}
],
"AllowFromPublic":false,
"SourceVPCEs":[
"vpce-050f79086ee71ac05"
],
"SourceServices":[
"bedrock.amazonaws.com"
],
},
{
"Description":"Sales access",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/finance"
]
}
],
"AllowFromPublic":true
}
]
```
Diese Richtlinie gewährt der Öffentlichkeit nur Zugriff auf OpenSearch Dashboards für Sammlungen, die mit „Finanzen“ beginnen. Alle Versuche, direkt auf die OpenSearch API zuzugreifen, schlagen fehl.
```
[
{
"Description": "Dashboards access",
"Rules": [
{
"ResourceType": "dashboard",
"Resource": [
"collection/finance*"
]
}
],
"AllowFromPublic": true
}
]
```
Netzwerkrichtlinien können sowohl für bestehende Sammlungen als auch für zukünftige Sammlungen gelten. Sie können beispielsweise eine Sammlung erstellen und dann eine Netzwerkrichtlinie mit einer Regel erstellen, die dem Sammlungsnamen entspricht. Vor dem Erstellen von Sammlungen müssen Sie keine Netzwerkrichtlinien erstellen.
## Überlegungen
Berücksichtigen Sie Folgendes, wenn Sie den Netzwerkzugriff für Ihre Sammlungen konfigurieren:
+ Wenn Sie den VPC-Endpunktzugriff für eine Sammlung konfigurieren möchten, müssen Sie zunächst mindestens einen [OpenSearch serverlos verwalteten VPC-Endpunkt erstellen.](serverless-vpc.md)
+ Der private Zugriff auf gilt AWS-Services nur für den Endpunkt der Sammlung, nicht für den OpenSearch Dashboard-Endpunkt. OpenSearch Selbst wenn dies der Fall `ResourceType` ist`dashboard`, AWS-Services kann kein Zugriff auf OpenSearch Dashboards gewährt werden.
+ Wenn eine Sammlung von öffentlichen Netzwerken aus zugänglich ist, ist sie auch von allen OpenSearch serverlos verwalteten VPC-Endpunkten und allen zugänglich. AWS-Services
+ Für eine einzelne Sammlung können mehrere Netzwerkrichtlinien gelten. Weitere Informationen finden Sie unter [Vorrang der Richtlinie](#serverless-network-precedence).
## Für die Konfiguration von Netzwerkrichtlinien sind Berechtigungen erforderlich
Der Netzwerkzugriff für OpenSearch Serverless verwendet die folgenden AWS Identity and Access Management (IAM-) Berechtigungen. Sie können IAM-Bedingungen festlegen, um Benutzer auf Netzwerkrichtlinien zu beschränken, die bestimmten Sammlungen zugeordnet sind.
+ `aoss:CreateSecurityPolicy` – Erstellt eine Netzwerkzugriffsrichtlinie.
+ `aoss:ListSecurityPolicies` – Listet alle Netzwerkrichtlinien im aktuellen Konto auf.
+ `aoss:GetSecurityPolicy` – Zeigt die Spezifikation einer Netzwerkzugriffsrichtlinie an.
+ `aoss:UpdateSecurityPolicy` – Ändert eine bestimmte Netzwerkzugriffsrichtlinie und ändert die VPC-ID oder die Bezeichnung für den öffentlichen Zugriff.
+ `aoss:DeleteSecurityPolicy` – Löscht eine Netzwerkzugriffsrichtlinie (nachdem sie von allen Sammlungen getrennt wurde).
Die folgende identitätsbasierte Zugriffsrichtlinie ermöglicht es einem Benutzer, alle Netzwerkrichtlinien anzuzeigen und Richtlinien mit dem Ressourcenmuster `collection/application-logs` zu aktualisieren:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aoss:UpdateSecurityPolicy"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aoss:collection": "application-logs"
}
}
},
{
"Effect": "Allow",
"Action": [
"aoss:ListSecurityPolicies",
"aoss:GetSecurityPolicy"
],
"Resource": "*"
}
]
}
```
------
**Anmerkung**
Darüber hinaus benötigt OpenSearch Serverless die `aoss:DashboardsAccessAll` Berechtigungen `aoss:APIAccessAll` und für die Erfassung von Ressourcen. Weitere Informationen finden Sie unter [OpenSearch API-Operationen verwenden](security-iam-serverless.md#security_iam_id-based-policy-examples-data-plane).
## Vorrang der Richtlinie
Es kann Situationen geben, in denen sich Netzwerkrichtlinienregeln innerhalb oder zwischen Richtlinien überschneiden. In diesem Fall überschreibt eine Regel, die den öffentlichen Zugriff festlegt, eine Regel, die privaten Zugriff für alle Sammlungen festlegt, die *beiden* Regeln gemeinsam sind.
In der folgenden Richtlinie weisen beispielsweise beide Regeln der `finance`-Sammlung Netzwerkzugriff zu, aber eine Regel legt den VPC-Zugriff fest, während die andere den öffentlichen Zugriff festlegt. In dieser Situation überschreibt der öffentliche Zugriff den VPC-Zugriff *nur für die Finanzsammlung* (weil er in beiden Regeln vorhanden ist), sodass die Finanzsammlung über öffentliche Netzwerke zugänglich ist. Die Verkaufssammlung verfügt über VPC-Zugriff vom angegebenen Endpunkt aus.
```
[
{
"Description":"Rule 1",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/sales",
"collection/finance"
]
}
],
"AllowFromPublic":false,
"SourceVPCEs":[
"vpce-050f79086ee71ac05"
]
},
{
"Description":"Rule 2",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/finance"
]
}
],
"AllowFromPublic":true
}
]
```
Wenn mehrere VPC-Endpunkte aus unterschiedlichen Regeln auf eine Sammlung zutreffen, sind die Regeln additiv und die Sammlung ist von allen angegebenen Endpunkten aus zugänglich. Wenn Sie `AllowFromPublic` auf oder festlegen, `true` aber auch eines `SourceVPCEs` oder mehrere angeben`SourceServices`, ignoriert OpenSearch Serverless die VPC-Endpunkte und Dienstkennungen, sodass die zugehörigen Sammlungen öffentlich zugänglich sind.
## Erstellen von Netzwerkrichtlinien (Konsole)
Netzwerkrichtlinien können sowohl für bestehende Sammlungen als auch für zukünftige Sammlungen gelten. Wir empfehlen, dass Sie Netzwerkrichtlinien erstellen, bevor Sie mit dem Erstellen von Sammlungen beginnen.
**Um eine serverlose Netzwerkrichtlinie zu erstellen OpenSearch**
1. Öffnen Sie die Amazon OpenSearch Service-Konsole zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home ).
1. Erweitern Sie im linken Navigationsbereich **Serverless** und wählen Sie **Network policies** (Netzwerkrichtlinien) aus.
1. Wählen Sie **Create network policy** (Netzwerkrichtlinie erstellen) aus.
1. Geben Sie einen Namen und eine Beschreibung für die Sammlung an.
1. Geben Sie eine oder mehrere *Regeln* an. Diese Regeln definieren die Zugriffsberechtigungen für Ihre OpenSearch serverlosen Sammlungen und deren OpenSearch Dashboard-Endpunkte.
Jede Regel enthält die folgenden Elemente:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/serverless-network.html)
Für jeden ausgewählten Ressourcentyp können Sie vorhandene Sammlungen auswählen, auf die Sie die Richtlinieneinstellungen anwenden möchten, und ein oder mehrere Ressourcenmuster and/or erstellen. Ressourcenmuster bestehen aus einem Präfix und einem Platzhalter (\$1) und definieren, für welche Sammlungen die Richtlinieneinstellungen gelten.
Wenn Sie beispielsweise ein Muster mit dem Namen `Marketing*` einfügen, werden auf alle neuen oder vorhandenen Sammlungen, deren Namen mit „Marketing“ beginnen, automatisch die Netzwerkeinstellungen in dieser Richtlinie angewendet. Ein einzelner Platzhalter (`*`) wendet die Richtlinie auf alle aktuellen und zukünftigen Sammlungen an.
Darüber hinaus können Sie den Namen einer *future* Sammlung ohne Platzhalter angeben, z. B. `Finance` OpenSearch Serverless wendet die Richtlinieneinstellungen auf jede neu erstellte Sammlung mit genau diesem Namen an.
1. Wenn Sie mit der Konfiguration Ihrer Richtlinie zufrieden sind, wählen Sie **Create** (Erstellen).
## Erstellen von Netzwerkrichtlinien (AWS CLI)
Um mithilfe der OpenSearch serverlosen API-Operationen eine Netzwerkrichtlinie zu erstellen, geben Sie Regeln im JSON-Format an. Die [CreateSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateSecurityPolicy.html)Anfrage akzeptiert sowohl Inline-Richtlinien als auch JSON-Dateien. Alle Sammlungen und Muster müssen das Format `collection/` aufweisen.
**Anmerkung**
Der Ressourcentyp erlaubt `dashboards` nur Zugriff auf OpenSearch Dashboards. Damit OpenSearch Dashboards funktionieren, müssen Sie jedoch auch den Zugriff auf Sammlungen aus denselben Quellen zulassen. Ein Beispiel finden Sie in der zweiten Richtlinie unten.
Um den privaten Zugriff festzulegen, fügen Sie eines oder beide der folgenden Elemente hinzu:
+ `SourceVPCEs`— Geben Sie einen oder mehrere OpenSearch serverlos verwaltete VPC-Endpunkte an.
+ `SourceServices`— Geben Sie die Kennung eines oder mehrerer unterstützter Geräte an. AWS-Services Derzeit werden die folgenden Dienstkennungen unterstützt:
+ `bedrock.amazonaws.com`— Amazonas-Grundgestein
Die folgende Beispielnetzwerkrichtlinie bietet privaten Zugriff auf einen VPC-Endpunkt und Amazon Bedrock auf Sammlungsendpunkte nur für Sammlungen, die mit dem Präfix beginnen. `log*` Authentifizierte Benutzer können sich nicht bei OpenSearch Dashboards anmelden. Sie können nur programmgesteuert auf den Sammlungsendpunkt zugreifen.
```
[
{
"Description":"Private access for log collections",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/log*"
]
}
],
"AllowFromPublic":false,
"SourceVPCEs":[
"vpce-050f79086ee71ac05"
],
"SourceServices":[
"bedrock.amazonaws.com"
],
}
]
```
Die folgende Richtlinie gewährt öffentlichen Zugriff auf den OpenSearch Endpunkt *und* die OpenSearch Dashboards für eine einzelne Sammlung mit dem Namen. `finance` Wenn die Sammlung nicht vorhanden ist, werden die Netzwerkeinstellungen auf die Sammlung angewendet, wenn und sobald sie erstellt wird.
```
[
{
"Description":"Public access for finance collection",
"Rules":[
{
"ResourceType":"dashboard",
"Resource":[
"collection/finance"
]
},
{
"ResourceType":"collection",
"Resource":[
"collection/finance"
]
}
],
"AllowFromPublic":true
}
]
```
Die folgende Anfrage erstellt die oben genannte Netzwerkrichtlinie:
```
aws opensearchserverless create-security-policy \
--name sales-inventory \
--type network \
--policy "[{\"Description\":\"Public access for finance collection\",\"Rules\":[{\"ResourceType\":\"dashboard\",\"Resource\":[\"collection\/finance\"]},{\"ResourceType\":\"collection\",\"Resource\":[\"collection\/finance\"]}],\"AllowFromPublic\":true}]"
```
Verwenden Sie das Format `--policy file://my-policy.json` die Richtlinie in einer JSON-Datei bereitzustellen
## Anzeigen von Netzwerkrichtlinien
Bevor Sie eine Sammlung erstellen, möchten Sie möglicherweise eine Vorschau der vorhandenen Netzwerkrichtlinien in Ihrem Konto anzeigen, um zu sehen, welche ein Ressourcenmuster hat, das mit dem Namen Ihrer Sammlung übereinstimmt. Die folgende [ListSecurityPolicies](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_ListSecurityPolicies.html)Anfrage listet alle Netzwerkrichtlinien in Ihrem Konto auf:
```
aws opensearchserverless list-security-policies --type network
```
Die Anfrage gibt Informationen zu allen konfigurierten Netzwerkrichtlinien zurück. Um die in einer bestimmten Richtlinie definierten Musterregeln einzusehen, suchen Sie die Richtlinieninformationen im Inhalt des `securityPolicySummaries` Elements in der Antwort. Notieren Sie sich das `name` Ende `type` dieser Richtlinie und verwenden Sie diese Eigenschaften in einer [GetSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetSecurityPolicy.html)Anfrage, um eine Antwort mit den folgenden Richtliniendetails zu erhalten:
```
{
"securityPolicyDetail": [
{
"type": "network",
"name": "my-policy",
"policyVersion": "MTY2MzY5MTY1MDA3Ml8x",
"policy": "[{\"Description\":\"My network policy rule\",\"Rules\":[{\"ResourceType\":\"dashboard\",\"Resource\":[\"collection/*\"]}],\"AllowFromPublic\":true}]",
"createdDate": 1663691650072,
"lastModifiedDate": 1663691650072
}
]
}
```
Verwenden Sie den [GetSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetSecurityPolicy.html)Befehl, um detaillierte Informationen zu einer bestimmten Richtlinie anzuzeigen.
## Aktualisieren von Netzwerkrichtlinien
Wenn Sie die VPC-Endpunkte oder die Bezeichnung des öffentlichen Zugriffs für ein Netzwerk ändern, sind alle zugehörigen Sammlungen betroffen. Um eine Netzwerkrichtlinie in der OpenSearch Serverless-Konsole zu aktualisieren, erweitern Sie **Netzwerkrichtlinien**, wählen Sie die zu ändernde Richtlinie aus und klicken Sie auf **Bearbeiten**. Nehmen Sie Ihre Änderungen vor und wählen Sie **Save** (Speichern).
Verwenden Sie den Befehl, um eine Netzwerkrichtlinie mithilfe der OpenSearch Serverless API zu aktualisieren. [UpdateSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_UpdateSecurityPolicy.html) Sie müssen eine Richtlinienversion in die Anfrage aufnehmen. Sie können die Richtlinienversion mithilfe der `ListSecurityPolicies`- oder `GetSecurityPolicy`-Befehle abrufen. Durch die Angabe der neuesten Richtlinienversion wird sichergestellt, dass Sie nicht versehentlich eine von einem anderen Benutzer vorgenommene Änderung überschreiben.
Die folgende Anfrage aktualisiert eine Netzwerkrichtlinie mit einem neuen JSON-Richtliniendokument:
```
aws opensearchserverless update-security-policy \
--name sales-inventory \
--type network \
--policy-version MTY2MzY5MTY1MDA3Ml8x \
--policy file://my-new-policy.json
```
## Löschen von Netzwerkrichtlinien
Bevor Sie eine Netzwerkrichtlinie löschen können, müssen Sie sie von allen Sammlungen trennen. **Um eine Richtlinie in der OpenSearch Serverless-Konsole zu löschen, wählen Sie die Richtlinie aus und klicken Sie auf Löschen.**
Sie können auch den [DeleteSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_DeleteSecurityPolicy.html)folgenden Befehl verwenden:
```
aws opensearchserverless delete-security-policy --name my-policy --type network
```
# FIPS-Konformität bei Amazon Serverless OpenSearch
Amazon OpenSearch Serverless unterstützt die Federal Information Processing Standards (FIPS) 140-2, einen Standard der US-amerikanischen und kanadischen Regierung, der Sicherheitsanforderungen für kryptografische Module zum Schutz vertraulicher Informationen festlegt. Wenn Sie mit OpenSearch Serverless eine Verbindung zu FIPS-fähigen Endpunkten herstellen, werden kryptografische Operationen mithilfe von FIPS-validierten kryptografischen Bibliotheken ausgeführt.
OpenSearch Serverlose FIPS-Endpunkte sind dort verfügbar, wo FIPS unterstützt wird. AWS-Regionen Diese Endpunkte verwenden TLS 1.2 oder höher und FIPS-validierte kryptografische Algorithmen für die gesamte Kommunikation. *Weitere Informationen finden Sie unter [FIPS-Konformität](https://docs.aws.amazon.com/verified-access/latest/ug/fips-compliance.html) im Verified Access-Benutzerhandbuch.AWS *
**Topics**
+ [Verwenden von FIPS-Endpunkten mit Serverless OpenSearch](#using-fips-endpoints-opensearch-serverless)
+ [Verwenden Sie FIPS-Endpunkte mit AWS SDKs](#using-fips-endpoints-aws-sdks)
+ [Sicherheitsgruppen für VPC-Endpoints konfigurieren](#configuring-security-groups-vpc-endpoints)
+ [Verwenden Sie den FIPS VPC-Endpunkt](#using-fips-vpc-endpoint)
+ [Überprüfen Sie die FIPS-Konformität](#verifying-fips-compliance)
+ [Behebung von Verbindungsproblemen mit FIPS-Endpunkten in privaten gehosteten Zonen](serverless-fips-endpoint-issues.md)
## Verwenden von FIPS-Endpunkten mit Serverless OpenSearch
AWS-Regionen Dort, wo FIPS unterstützt wird, sind OpenSearch serverlose Sammlungen sowohl über Standard- als auch über FIPS-konforme Endpunkte zugänglich. *Weitere Informationen finden Sie unter [FIPS-Konformität](https://docs.aws.amazon.com/verified-access/latest/ug/fips-compliance.html) im Benutzerhandbuch für verifizierten Zugriff.AWS *
Ersetzen Sie in den folgenden Beispielen *collection\$1id* und *AWS-Region* durch Ihre Sammlungs-ID und deren AWS-Region.
+ **Standardendpunkt** —**https://*collection\$1id*.*AWS-Region*.aoss.amazonaws.com**.
+ **FIPS-konformer** Endpunkt —. **https://*collection\$1id*.*AWS-Region*.aoss-fips.amazonaws.com**
In ähnlicher Weise sind OpenSearch Dashboards sowohl über Standard- als auch über FIPS-konforme Endpunkte zugänglich:
+ **Standard-Dashboard-Endpunkt —.** **https://*collection\$1id*.*AWS-Region*.aoss.amazonaws.com/\$1dashboards**
+ Endpunkt für **FIPS-konforme Dashboards** —. **https://*collection\$1id*.*AWS-Region*.aoss-fips.amazonaws.com/\$1dashboards**
**Anmerkung**
In FIPS-fähigen Regionen bieten sowohl Standard- als auch FIPS-konforme Endpunkte FIPS-konforme Kryptografie. **Die FIPS-spezifischen Endpunkte helfen Ihnen dabei, Compliance-Anforderungen zu erfüllen, die ausdrücklich die Verwendung von Endpunkten mit FIPS im Namen vorschreiben.**
## Verwenden Sie FIPS-Endpunkte mit AWS SDKs
Bei der Verwendung AWS SDKs können Sie den FIPS-Endpunkt bei der Erstellung des Clients angeben. Ersetzen Sie im folgenden Beispiel *collection\$1id* und *AWS-Region* durch Ihre Sammlungs-ID und deren AWS-Region.
```
# Python SDK example
from opensearchpy import OpenSearch, RequestsHttpConnection, AWSV4SignerAuth
import boto3
host = '"https://collection_id.AWS-Region.aoss-fips.amazonaws.com"
region = 'us-west-2'
service = 'aoss'
credentials = boto3.Session().get_credentials()
auth = AWSV4SignerAuth(credentials, region, service)
client = OpenSearch(
hosts = [{'host': host, 'port': 443}],
http_auth = auth,
use_ssl = True,
verify_certs = True,
connection_class = RequestsHttpConnection,
pool_maxsize = 20
)
```
## Sicherheitsgruppen für VPC-Endpoints konfigurieren
Um eine ordnungsgemäße Kommunikation mit Ihrem FIPS-konformen Amazon VPC (VPC) -Endpunkt sicherzustellen, erstellen oder ändern Sie eine Sicherheitsgruppe, um eingehenden HTTPS-Verkehr (TCP-Port 443) von den Ressourcen in Ihrer VPC zuzulassen, die auf Serverless zugreifen müssen. OpenSearch Ordnen Sie diese Sicherheitsgruppe dann während der Erstellung oder indem Sie den Endpunkt nach der Erstellung ändern, VPC VPC-Endpunkt zu. Weitere Informationen finden Sie unter [Erstellen einer Sicherheitsgruppe](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html) im *Amazon-VPC-Benutzerhandbuch*.
## Verwenden Sie den FIPS VPC-Endpunkt
Nachdem Sie den FIPS-kompatiblen VPC-Endpunkt erstellt haben, können Sie ihn verwenden, um von Ressourcen innerhalb Ihrer VPC aus auf OpenSearch Serverless zuzugreifen. Um den Endpunkt für API-Operationen zu verwenden, konfigurieren Sie Ihr SDK so, dass es den regionalen FIPS-Endpunkt verwendet, wie im Abschnitt beschrieben. [Verwenden von FIPS-Endpunkten mit Serverless OpenSearch](#using-fips-endpoints-opensearch-serverless) Verwenden Sie für den Zugriff auf OpenSearch Dashboards die sammlungsspezifische Dashboard-URL, die automatisch über den FIPS-konformen VPC-Endpunkt weitergeleitet wird, wenn von Ihrer VPC aus darauf zugegriffen wird. Weitere Informationen finden Sie unter [Verwenden von OpenSearch Dashboards mit Amazon Service OpenSearch](dashboards.md).
## Überprüfen Sie die FIPS-Konformität
Um zu überprüfen, ob Ihre Verbindungen zu OpenSearch Serverless FIPS-konforme Kryptografie verwenden, verwenden Sie diese Option AWS CloudTrail zur Überwachung von API-Aufrufen an Serverless. OpenSearch Vergewissern Sie sich, dass das `eventSource` Feld in CloudTrail den Protokollen für API-Aufrufe angezeigt wird. `aoss-fips.amazonaws.com`
Für den Zugriff auf OpenSearch Dashboards können Sie Browser-Entwicklertools verwenden, um die TLS-Verbindungsdetails zu überprüfen und sicherzustellen, dass FIPS-konforme Cipher Suites verwendet werden.
# Behebung von Verbindungsproblemen mit FIPS-Endpunkten in privaten gehosteten Zonen
FIPS-Endpunkte funktionieren mit Amazon OpenSearch Serverless-Sammlungen, die öffentlich zugänglich sind. Für neu erstellte VPC-Sammlungen, die neu erstellte VPC-Endpunkte verwenden, funktionieren FIPS-Endpunkte wie erwartet. Für andere VPC-Sammlungen müssen Sie möglicherweise eine manuelle Einrichtung durchführen, um sicherzustellen, dass die FIPS-Endpunkte ordnungsgemäß funktionieren.
**So konfigurieren Sie private, gehostete FIPS-Zonen in Amazon Route 53**
1. Öffnen Sie die Route 53-Konsole unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Überprüfen Sie Ihre gehosteten Zonen:
1. Suchen Sie die Hosting-Zonen für die Bereiche, in denen sich AWS-Regionen Ihre Sammlungen befinden.
1. Überprüfen Sie die Benennungsmuster für gehostete Zonen:
+ Nicht-FIPS-Format:. `region.aoss.amazonaws.com`
+ FIPS-Format:. `region.aoss-fips.amazonaws.com`
1. Vergewissern Sie sich, dass der **Typ** für alle Ihre gehosteten Zonen auf **Private gehostete Zone** eingestellt ist.
1. Wenn die private gehostete FIPS-Zone fehlt:
1. Wählen Sie die entsprechende private gehostete Nicht-FIPS-Zone aus.
1. Kopieren Sie die **zugehörigen Informationen VPCs**. Beispiel: `vpc-1234567890abcdef0 | us-east-2`.
1. Suchen Sie den Wildcard-Domaineintrag. Beispiel: `*.us-east-2.aoss.amazonaws.com`.
1. Kopieren Sie den **Value/Route-Verkehr** in die Information. Zum Beispiel:. `uoc1c1qsw7poexampleewjeno1pte3rw.3ym756xh7yj.aoss.searchservices.aws`
1. Erstellen Sie die private gehostete FIPS-Zone:
1. Erstellen Sie eine neue private gehostete Zone im FIPS-Format. Beispiel: `us-east-2.aoss-fips.amazonaws.com`.
1. Geben Sie **unter** Zugeordnet die VPC-Informationen ein VPCs, die Sie aus der privaten Hosting-Zone ohne FIPS kopiert haben.
1. Fügen Sie einen neuen Datensatz mit den folgenden Einstellungen hinzu:
1. Name des Datensatzes: \$1
1. Datensatztyp: CNAME
1. Wert: Geben Sie den **Wert ein/leiten Sie den Verkehr zu** Informationen weiter, die Sie zuvor kopiert haben.
## Häufige Fehler
Wenn Sie Verbindungsprobleme mit Ihren FIPS-kompatiblen VPC-Endpunkten haben, verwenden Sie die folgenden Informationen, um das Problem zu lösen.
+ Fehler bei der DNS-Auflösung — Sie können den FIPS-Endpunktdomänennamen in Ihrer VPC nicht auflösen
+ Verbindungs-Timeouts — Bei Ihren Anfragen an den FIPS-Endpunkt wird das Timeout überschritten
+ Fehler „Zugriff verweigert“ — Die Authentifizierung oder Autorisierung schlägt fehl, wenn FIPS-Endpunkte verwendet werden
+ Fehlende private gehostete Zoneneinträge für Sammlungen, die nur auf VPN basieren
**Um Probleme mit der FIPS-Endpunktkonnektivität zu beheben**
1. Überprüfen Sie die Konfiguration Ihrer privaten gehosteten Zone:
1. Vergewissern Sie sich, dass eine private gehostete Zone für die FIPS-Endpunktdomäne vorhanden ist (`*.region.aoss-fips.amazonaws.com`.
1. Stellen Sie sicher, dass die private gehostete Zone der richtigen VPC zugeordnet ist.
Weitere Informationen finden Sie unter [Private Hosted Zones](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted- zones-private.html) im *Amazon Route 53 Developer Guide* und [Manage DNS Names](https://docs.aws.amazon.com/vpc/latest/privatelink/manage-dns-names.html) im *AWS PrivateLink Guide*.
1. Testen Sie die DNS-Auflösung:
1. Stellen Sie eine Connect zu einer EC2-Instance in Ihrer VPC her.
1. Führen Sie den folgenden Befehl aus:
```
nslookup collection-id.region.aoss-fips.amazonaws.com
```
1. Vergewissern Sie sich, dass die Antwort die private IP-Adresse Ihres VPC-Endpunkts enthält.
Weitere Informationen finden Sie unter [Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints- access.html#endpoint-dns-verification) und [DNS-Attribute](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc- dns-troubleshooting) im *Amazon VPC-Benutzerhandbuch*.
1. Überprüfen Sie die Einstellungen Ihrer Sicherheitsgruppe:
1. Stellen Sie sicher, dass die mit dem VPC-Endpunkt verbundene Sicherheitsgruppe HTTPS-Verkehr (Port 443) von Ihren Ressourcen zulässt.
1. Vergewissern Sie sich, dass Sicherheitsgruppen für Ihre Ressourcen ausgehenden Datenverkehr zum VPC-Endpunkt zulassen.
Weitere Informationen finden Sie unter [Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoint-security-groups) im *AWS PrivateLink Handbuch* und [Sicherheitsgruppen](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html#SecurityGroupRules) im *Amazon VPC-Benutzerhandbuch*.
1. Überprüfen Sie Ihre Netzwerk-ACL-Konfiguration:
1. Stellen Sie sicher, dass das Netzwerk den Verkehr zwischen Ihren Ressourcen und dem VPC-Endpunkt ACLs zulässt.
Weitere Informationen finden Sie unter [Netzwerk ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network- acls.html#nacl-troubleshooting) im *Amazon VPC-Benutzerhandbuch*.
1. Überprüfen Sie Ihre Endpunktrichtlinie:
1. Vergewissern Sie sich, dass die VPC-Endpunktrichtlinie die erforderlichen Aktionen für Ihre OpenSearch serverlosen Ressourcen zulässt.
*Weitere Informationen finden Sie im Handbuch unter [Erforderliche VPC-Endpunktberechtigungen](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-vpc.html#serverless-vpc-permissions) und [Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints- access.html#vpc-endpoint-policies).AWS PrivateLink *
**Tipp**
Wenn Sie in Ihrer VPC benutzerdefinierte DNS-Resolver verwenden, konfigurieren Sie sie so, dass Anfragen für `*.amazonaws.com` Domänen an die AWS Server weitergeleitet werden.
# Datenzugriffskontrolle für Amazon OpenSearch Serverless
Mit der Datenzugriffskontrolle in Amazon OpenSearch Serverless können Sie Benutzern den Zugriff auf Sammlungen und Indizes ermöglichen, unabhängig von ihrem Zugriffsmechanismus oder ihrer Netzwerkquelle. Sie können IAM-Rollen und [SAML-Identitäten](serverless-saml.md) Zugriff gewähren.
Sie verwalten Zugriffsberechtigungen über *Datenzugriffsrichtlinien*, die für Sammlungen und Indexressourcen gelten. Datenzugriffsrichtlinien unterstützen Sie bei der Verwaltung von Sammlungen in großem Umfang, indem sie automatisch Zugriffsberechtigungen für Sammlungen und Indizes zuweisen, die einem bestimmten Muster übereinstimmen. Für eine einzelne Ressource können mehrere Datenzugriffsrichtlinien gelten. Beachten Sie, dass Sie über eine Datenzugriffsrichtlinie für Ihre Sammlung verfügen müssen, um auf Ihre OpenSearch Dashboard-URL zugreifen zu können.
**Topics**
+ [Datenzugriffsrichtlinien im Vergleich zu IAM-Richtlinien](#serverless-data-access-vs-iam)
+ [Für die Konfiguration von Datenzugriffsrichtlinien sind IAM-Berechtigungen erforderlich](#serverless-data-access-permissions)
+ [Richtliniensyntax](#serverless-data-access-syntax)
+ [Unterstützte Richtlinienberechtigungen](#serverless-data-supported-permissions)
+ [Beispieldatensätze auf Dashboards OpenSearch](#serverless-data-sample-index)
+ [Erstellen von Datenzugriffsrichtlinien (Konsole)](#serverless-data-access-console)
+ [Erstellen von Datenzugriffsrichtlinien (AWS CLI)](#serverless-data-access-cli)
+ [Ansicht von Datenzugriffsrichtlinien](#serverless-data-access-list)
+ [Aktualisieren von Datenzugriffsrichtlinien](#serverless-data-access-update)
+ [Löschen von Datenzugriffsrichtlinien](#serverless-data-access-delete)
+ [Kontoübergreifender Datenzugriff](#serverless-data-access-cross)
## Datenzugriffsrichtlinien im Vergleich zu IAM-Richtlinien
Datenzugriffsrichtlinien sind logisch von AWS Identity and Access Management (IAM-) Richtlinien getrennt. IAM-Berechtigungen steuern den Zugriff auf die [Serverless API-Operationen](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/Welcome.html) wie z. B. `CreateCollection` und `ListAccessPolicies`. Datenzugriffsrichtlinien steuern den Zugriff auf die von OpenSearch Serverless unterstützten [OpenSearch Operationen](#serverless-data-supported-permissions) wie oder. `PUT ` `GET _cat/indices`
Die IAM-Berechtigungen, die den Zugriff auf API-Operationen der Datenzugriffsrichtlinie steuern, wie z. B. `aoss:CreateAccessPolicy` and `aoss:GetAccessPolicy` (im nächsten Abschnitt beschrieben), wirken sich nicht auf die in einer Datenzugriffsrichtlinie angegebene Berechtigung aus.
Angenommen, eine IAM-Richtlinie verweigert einem Benutzer beispielsweise das Erstellen von Datenzugriffsrichtlinien für `collection-a`, erlaubt ihm jedoch, Datenzugriffsrichtlinien für alle Sammlungen (`*`) zu erstellen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"aoss:CreateAccessPolicy"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aoss:collection": "collection-a"
}
}
},
{
"Effect": "Allow",
"Action": [
"aoss:CreateAccessPolicy"
],
"Resource": "*"
}
]
}
```
------
Wenn der Benutzer eine Datenzugriffsrichtlinie erstellt, die bestimmte Berechtigungen für *alle* Sammlungen (`collection/*` oder `index/*/*`) gewährt, gilt die Richtlinie für alle Sammlungen, einschließlich Sammlung A.
**Wichtig**
Die Erteilung von Berechtigungen im Rahmen einer Datenzugriffsrichtlinie reicht nicht aus, um auf Daten in Ihrer OpenSearch serverlosen Sammlung zuzugreifen. Einem zugehörigen Principal muss *außerdem* Zugriff auf die IAM-Berechtigungen `aoss:APIAccessAll` und gewährt werden. `aoss:DashboardsAccessAll` Beide Berechtigungen gewähren vollen Zugriff auf Sammlungsressourcen, während die Dashboard-Berechtigung auch Zugriff OpenSearch auf Dashboards gewährt. Wenn ein Principal nicht über diese beiden IAM-Berechtigungen verfügt, erhält er 403-Fehler, wenn er versucht, Anfragen an die Sammlung zu senden. Weitere Informationen finden Sie unter [OpenSearch API-Operationen verwenden](security-iam-serverless.md#security_iam_id-based-policy-examples-data-plane).
## Für die Konfiguration von Datenzugriffsrichtlinien sind IAM-Berechtigungen erforderlich
Die Datenzugriffskontrolle für OpenSearch Serverless verwendet die folgenden IAM-Berechtigungen. Sie können IAM-Bedingungen festlegen, um Benutzer auf bestimmte Zugriffsrichtliniennamen zu beschränken.
+ `aoss:CreateAccessPolicy` – Erstellt eine Zugriffsrichtlinie.
+ `aoss:ListAccessPolicies` – Listet alle Zugriffsrichtlinien auf.
+ `aoss:GetAccessPolicy` – Zeigt Details zu einer bestimmten Zugriffsrichtlinie an.
+ `aoss:UpdateAccessPolicy` – Ändert eine Zugriffsrichtlinie.
+ `aoss:DeleteAccessPolicy` – Löscht eine Zugriffsrichtlinie.
Die folgende identitätsbasierte Zugriffsrichtlinie ermöglicht es einem Benutzer, alle Zugriffsrichtlinien anzuzeigen und Richtlinien zu aktualisieren, die das Ressourcenmuster `collection/logs` enthalten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aoss:ListAccessPolicies",
"aoss:GetAccessPolicy"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"aoss:UpdateAccessPolicy"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aoss:collection": [
"logs"
]
}
}
}
]
}
```
------
**Anmerkung**
Darüber hinaus benötigt OpenSearch Serverless die `aoss:DashboardsAccessAll` Berechtigungen `aoss:APIAccessAll` und für die Erfassung von Ressourcen. Weitere Informationen finden Sie unter [OpenSearch API-Operationen verwenden](security-iam-serverless.md#security_iam_id-based-policy-examples-data-plane).
## Richtliniensyntax
Eine Datenzugriffsrichtlinie enthält eine Reihe von Regeln, die jeweils die folgenden Elemente enthalten:
| Element | Description |
| --- | --- |
| ResourceType | Der Ressourcentyp (Sammlung oder Index), für den die Berechtigungen gelten. Alias- und Vorlagenberechtigungen befinden sich auf Sammlungsebene, während Berechtigungen zum Erstellen, Ändern und Suchen von Daten auf Indexebene liegen. Weitere Informationen finden Sie unter [Unterstützte Richtlinienberechtigungen](#serverless-data-supported-permissions). |
| Resource | Eine Liste von and/or Mustern für Ressourcennamen. Muster sind Präfixe gefolgt von einem Platzhalter (\$1), wodurch die zugehörigen Berechtigungen auf mehrere Ressourcen angewendet werden können.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/serverless-data-access.html) |
| Permission | Eine Liste der Berechtigungen, die für die angegebenen Ressourcen gewährt werden sollen. Eine vollständige Liste der Berechtigungen und der zulässigen API-Operationen finden Sie unter [Unterstützte OpenSearch API-Operationen und Berechtigungen](serverless-genref.md#serverless-operations). |
| Principal | Eine Liste mit einem oder mehreren Prinzipalen, denen Zugriff gewährt werden soll. Bei den Prinzipalen kann es sich um IAM-Rollen ARNs - oder SAML-Identitäten handeln. Diese Prinzipien müssen dem aktuellen AWS-Konto entsprechen. Datenzugriffsrichtlinien unterstützen den kontoübergreifenden Zugriff nicht direkt, Sie können jedoch eine Rolle in Ihre Richtlinie aufnehmen, die ein Benutzer aus einem anderen Land in dem Konto übernehmen AWS-Konto kann, dem die Sammlung gehört. Weitere Informationen finden Sie unter [Kontoübergreifender Datenzugriff](#serverless-data-access-cross). |
Die folgende Beispielrichtlinie gewährt Alias- und Vorlagenberechtigungen für die Sammlung mit dem Namen `autopartsinventory` sowie alle Sammlungen, die mit dem Präfix `sales*` beginnen. Es gewährt auch Lese- und Schreibberechtigungen für alle Indizes innerhalb der `autopartsinventory`-Sammlung und alle Indizes in der `salesorders`-Sammlung, die mit dem Präfix `orders*` beginnen.
```
[
{
"Description": "Rule 1",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/autopartsinventory",
"collection/sales*"
],
"Permission":[
"aoss:CreateCollectionItems",
"aoss:UpdateCollectionItems",
"aoss:DescribeCollectionItems"
]
},
{
"ResourceType":"index",
"Resource":[
"index/autopartsinventory/*",
"index/salesorders/orders*"
],
"Permission":[
"aoss:*"
]
}
],
"Principal":[
"arn:aws:iam::123456789012:user/Dale",
"arn:aws:iam::123456789012:role/RegulatoryCompliance",
"saml/123456789012/myprovider/user/Annie",
"saml/123456789012/anotherprovider/group/Accounting"
]
}
]
```
Sie können den Zugriff innerhalb einer Richtlinie nicht explizit verweigern. Daher sind alle Richtlinienberechtigungen additiv. Wenn beispielsweise eine Richtlinie einem Benutzer `aoss:ReadDocument` und eine andere Richtlinie `aoss:WriteDocument` gewährt, verfügt der Benutzer über *beide* Berechtigungen. Wenn eine dritte Richtlinie denselben Benutzer `aoss:*` gewährt, kann der Benutzer *alle* Aktionen für den zugeordneten Index ausführen. Restriktivere Berechtigungen überschreiben weniger restriktive nicht.
## Unterstützte Richtlinienberechtigungen
Die folgenden Berechtigungen werden in Datenzugriffsrichtlinien unterstützt. Informationen zu den OpenSearch API-Vorgängen, die die einzelnen Berechtigungen zulassen, finden Sie unter. [Unterstützte OpenSearch API-Operationen und Berechtigungen](serverless-genref.md#serverless-operations)
**Sammlungssberechtigungen**
+ `aoss:CreateCollectionItems`
+ `aoss:DeleteCollectionItems`
+ `aoss:UpdateCollectionItems`
+ `aoss:DescribeCollectionItems`
+ `aoss:*`
**Indexberechtigungen**
+ `aoss:ReadDocument`
+ `aoss:WriteDocument`
+ `aoss:CreateIndex`
+ `aoss:DeleteIndex`
+ `aoss:UpdateIndex`
+ `aoss:DescribeIndex`
+ `aoss:*`
## Beispieldatensätze auf Dashboards OpenSearch
OpenSearch Dashboards bietet [Beispieldatensätze](https://opensearch.org/docs/latest/dashboards/quickstart-dashboards/#adding-sample-data) mit Visualisierungen, Dashboards und anderen Tools, die Ihnen helfen, Dashboards zu erkunden, bevor Sie Ihre eigenen Daten hinzufügen. Um Indizes aus diesen Beispieldaten zu erstellen, benötigen Sie eine Datenzugriffsrichtlinie, die Berechtigungen für den Datensatz bereitstellt, mit dem Sie arbeiten möchten. Die folgende Richtlinie verwendet einen Platzhalter (`*`), um Berechtigungen für alle drei Beispieldatensätze zu gewähren.
```
[
{
"Rules": [
{
"Resource": [
"index//opensearch_dashboards_sample_data_*"
],
"Permission": [
"aoss:CreateIndex",
"aoss:DescribeIndex",
"aoss:ReadDocument"
],
"ResourceType": "index"
}
],
"Principal": [
"arn:aws:iam:::user/"
]
}
]
```
## Erstellen von Datenzugriffsrichtlinien (Konsole)
Sie können eine Datenzugriffsrichtlinie mit dem visuellen Editor oder im JSON-Format erstellen. Allen neuen Sammlungen, die mit einem der in der Richtlinie definierten Muster übereinstimmen, werden beim Erstellen der Sammlung die entsprechenden Berechtigungen zugewiesen.
**Um eine Richtlinie für den OpenSearch serverlosen Datenzugriff zu erstellen**
1. Öffnen Sie die Amazon OpenSearch Service-Konsole zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home ).
1. Erweitern Sie im linken Navigationsbereich **Serverless** und wählen Sie unter **Sicherheit** die Option **Datenzugriffsrichtlinien** aus.
1. Wählen Sie **Create access policy** (Zugriffsrichtlinie erstellen) aus.
1. Geben Sie einen Namen und eine Beschreibung für die Richtlinie an.
1. Geben Sie einen Namen für die erste Regel in Ihrer Richtlinie an. Beispiel: „Zugriff auf die Protokollsammlung“.
1. Wählen Sie **Add principals** (Prinzipale hinzufügen) und wählen Sie eine oder mehrere IAM-Rollen oder [SAML users and groups](serverless-saml.md) (SAML-Benutzer und -Gruppen) aus, denen Sie Datenzugriff gewähren möchten.
**Anmerkung**
Um Prinzipale aus den Dropdown-Menüs auswählen zu können, müssen Sie über die `iam:ListUsers`- und `iam:ListRoles`-Berechtigungen (für IAM-Prinzipale) und die `aoss:ListSecurityConfigs`-Berechtigung (für SAML-Identitäten) verfügen.
1. Wählen Sie **Grant** (Gewähren) und wählen Sie die Alias-, Vorlagen- und Indexberechtigungen aus, um die zugehörigen Prinzipale zu erteilen. Eine vollständige Liste der Berechtigungen und des von ihnen gewährten Zugriffs finden Sie unter [Unterstützte OpenSearch API-Operationen und Berechtigungen](serverless-genref.md#serverless-operations).
1. (Optional) Konfigurieren Sie zusätzliche Regeln für die Richtlinie.
1. Wählen Sie **Erstellen** aus. Zwischen der Erstellung der Richtlinie und dem Erzwingen von Berechtigungen kann eine Verzögerung von etwa einer Minute liegen. Wenn es länger als 5 Minuten dauert, wenden Sie sich an [Support](https://console.aws.amazon.com/support/home).
**Wichtig**
Wenn Ihre Richtlinie nur Indexberechtigungen (und keine Sammlungsberechtigungen) umfasst, wird Ihnen möglicherweise trotzdem eine Meldung mit dem Hinweis `Collection cannot be accessed yet. Configure data access policies so that users can access the data within this collection` für passende Sammlungen angezeigt. Sie können diese Warnung ignorieren. Zulässige Prinzipale können weiterhin ihre zugewiesenen indexbezogenen Operationen für die Sammlung ausführen.
## Erstellen von Datenzugriffsrichtlinien (AWS CLI)
Verwenden Sie den Befehl, um eine Datenzugriffsrichtlinie mithilfe der OpenSearch Serverless API zu erstellen. `CreateAccessPolicy` Der Befehl akzeptiert sowohl Inline-Richtlinien als auch .json-Dateien. Inline-Richtlinien müssen als [JSON-Zeichenfolge mit Escape-Zeichen](https://www.freeformatter.com/json-escape.html) codiert werden.
Die folgende Anfrage erstellt eine Datenzugriffsrichtlinie:
```
aws opensearchserverless create-access-policy \
--name marketing \
--type data \
--policy "[{\"Rules\":[{\"ResourceType\":\"collection\",\"Resource\":[\"collection/autopartsinventory\",\"collection/sales*\"],\"Permission\":[\"aoss:UpdateCollectionItems\"]},{\"ResourceType\":\"index\",\"Resource\":[\"index/autopartsinventory/*\",\"index/salesorders/orders*\"],\"Permission\":[\"aoss:ReadDocument\",\"aoss:DescribeIndex\"]}],\"Principal\":[\"arn:aws:iam::123456789012:user/Shaheen\"]}]"
```
Verwenden Sie das Format `--policy file://my-policy.json`, um die Richtlinie in einer .json-Datei bereitzustellen.
Die in der Richtlinie enthaltenen Prinzipale können jetzt die [OpenSearch Operationen](#serverless-data-supported-permissions) verwenden, für die ihnen Zugriff gewährt wurde.
## Ansicht von Datenzugriffsrichtlinien
Bevor Sie eine Sammlung erstellen, möchten Sie möglicherweise eine Vorschau der vorhandenen Datenzugriffsrichtlinien in Ihrem Konto anzeigen, um zu sehen, welche ein Ressourcenmuster hat, das mit dem Namen Ihrer Sammlung übereinstimmt. In der folgenden [ListAccessPolicies](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_ListAccessPolicies.html)Anfrage werden alle Datenzugriffsrichtlinien in Ihrem Konto aufgeführt:
```
aws opensearchserverless list-access-policies --type data
```
Die Anfrage gibt Informationen über alle konfigurierten Datenzugriffsrichtlinien zurück. Die Musterregeln, die in einer bestimmten Richtlinie definiert sind, finden Sie im Inhalt des `accessPolicySummaries` Elements in der Antwort. Notieren Sie sich das `name` Ende `type` dieser Richtlinie und verwenden Sie diese Eigenschaften in einer [GetAccessPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetAccessPolicy.html)Anfrage, um eine Antwort mit den folgenden Richtliniendetails zu erhalten:
```
{
"accessPolicyDetails": [
{
"type": "data",
"name": "my-policy",
"policyVersion": "MTY2NDA1NDE4MDg1OF8x",
"description": "My policy",
"policy": "[{\"Rules\":[{\"ResourceType\":\"collection\",\"Resource\":[\"collection/autopartsinventory\",\"collection/sales*\"],\"Permission\":[\"aoss:UpdateCollectionItems\"]},{\"ResourceType\":\"index\",\"Resource\":[\"index/autopartsinventory/*\",\"index/salesorders/orders*\"],\"Permission\":[\"aoss:ReadDocument\",\"aoss:DescribeIndex\"]}],\"Principal\":[\"arn:aws:iam::123456789012:user/Shaheen\"]}]",
"createdDate": 1664054180858,
"lastModifiedDate": 1664054180858
}
]
}
```
Sie können Ressourcenfilter einbeziehen, um die Ergebnisse auf Richtlinien zu beschränken, die bestimmte Sammlungen oder Indizes enthalten:
```
aws opensearchserverless list-access-policies --type data --resource "index/autopartsinventory/*"
```
Verwenden Sie den [GetAccessPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetAccessPolicy.html)Befehl, um Details zu einer bestimmten Richtlinie anzuzeigen.
## Aktualisieren von Datenzugriffsrichtlinien
Wenn Sie eine Datenzugriffsrichtlinie aktualisieren, wirkt sich dies auf alle zugehörigen Sammlungen aus. Um eine Datenzugriffsrichtlinie in der OpenSearch Serverless-Konsole zu aktualisieren, wählen Sie **Datenzugriffskontrolle**, wählen Sie die zu ändernde Richtlinie aus und klicken Sie auf **Bearbeiten**. Nehmen Sie Ihre Änderungen vor und wählen Sie **Save** (Speichern).
Um eine Datenzugriffsrichtlinie mithilfe der OpenSearch Serverless API zu aktualisieren, senden Sie eine `UpdateAccessPolicy` Anfrage. Sie müssen eine Richtlinienversion einbeziehen, die Sie mit den `ListAccessPolicies`- oder `GetAccessPolicy`-Befehlen abrufen können. Durch die Angabe der neuesten Richtlinienversion wird sichergestellt, dass Sie nicht versehentlich eine von einem anderen Benutzer vorgenommene Änderung überschreiben.
Die folgende [UpdateAccessPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_UpdateAccessPolicy.html)Anfrage aktualisiert eine Datenzugriffsrichtlinie mit einem neuen JSON-Richtliniendokument:
```
aws opensearchserverless update-access-policy \
--name sales-inventory \
--type data \
--policy-version MTY2NDA1NDE4MDg1OF8x \
--policy file://my-new-policy.json
```
Zwischen dem Aktualisieren der Richtlinie und dem Erzwingen der neuen Berechtigungen kann es einige Minuten Verzögerung geben.
## Löschen von Datenzugriffsrichtlinien
Wenn Sie eine Datenzugriffsrichtlinie löschen, verlieren alle zugehörigen Sammlungen den in der Richtlinie definierten Zugriff. Stellen Sie sicher, dass Ihre IAM- und SAML-Benutzer über den entsprechenden Zugriff auf die Sammlung verfügen, bevor Sie eine Richtlinie löschen. Um eine Richtlinie in der OpenSearch Serverless-Konsole zu löschen, wählen Sie die Richtlinie aus und klicken Sie auf **Löschen**.
Sie können auch den [DeleteAccessPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_DeleteAccessPolicy.html)folgenden Befehl verwenden:
```
aws opensearchserverless delete-access-policy --name my-policy --type data
```
## Kontoübergreifender Datenzugriff
Sie können zwar keine Datenzugriffsrichtlinie mit kontoübergreifender Identität oder kontoübergreifender Erfassung erstellen, aber Sie können mit der Option „Rolle übernehmen“ dennoch einen kontoübergreifenden Zugriff einrichten. Wenn Sie beispielsweise `account-a` Eigentümer einer Sammlung sind, für die Zugriff `account-b` erforderlich ist, `account-b` kann der Benutzer von aus eine Rolle darin übernehmen. `account-a` Die Rolle muss über die IAM-Berechtigungen verfügen `aoss:APIAccessAll` und `aoss:DashboardsAccessAll` in der Datenzugriffsrichtlinie enthalten sein. `account-a`
# Zugriff auf Datenebene über AWS PrivateLink
Amazon OpenSearch Serverless unterstützt zwei Arten von AWS PrivateLink Verbindungen für den Betrieb auf der Steuerungsebene und der Datenebene. Zu den Vorgängen auf der Kontrollebene gehören das Erstellen und Löschen von Sammlungen sowie die Verwaltung von Zugriffsrichtlinien. Operationen auf Datenebene dienen der Indizierung und Abfrage von Daten innerhalb einer Sammlung. Diese Seite behandelt VPC-Endpunkte auf Datenebene. Informationen zu AWS PrivateLink Endpunkten der Steuerungsebene finden Sie unter. [Steuern Sie den Flugzeug-Zugriff über AWS PrivateLink](serverless-vpc-cp.md)
Sie können AWS PrivateLink damit eine private Verbindung zwischen Ihrer VPC und Amazon OpenSearch Serverless herstellen. Sie können auf OpenSearch Serverless zugreifen, als wäre es in Ihrer VPC, ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder Direct Connect eine Verbindung zu verwenden. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um auf OpenSearch Serverless zuzugreifen. Weitere Informationen zum VPC-Netzwerkzugriff finden Sie unter [Netzwerkverbindungsmuster für Amazon OpenSearch Serverless](https://aws.amazon.com/blogs/big-data/network-connectivity-patterns-for-amazon-opensearch-serverless/).
Sie stellen diese private Verbindung her, indem Sie einen *Schnittstellen-Endpunkt* erstellen, der von AWS PrivateLink unterstützt wird. Wir erstellen eine Endpunkt-Netzwerkschnittstelle in jedem Subnetz, das Sie für den Schnittstellen-Endpunkt angeben. Dabei handelt es sich um vom Anforderer verwaltete Netzwerkschnittstellen, die als Einstiegspunkt für den Datenverkehr dienen, der für Serverless bestimmt ist. OpenSearch
Weitere Informationen finden Sie unter [Zugriff auf AWS-Services über AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) im *AWS PrivateLink -Leitfaden*.
**Topics**
+ [DNS-Auflösung der Sammlungsendpunkte](#vpc-endpoint-dnc)
+ [VPCs und Richtlinien für den Netzwerkzugriff](#vpc-endpoint-network)
+ [VPCs und Endpunktrichtlinien](#vpc-endpoint-policy)
+ [Überlegungen](#vpc-endpoint-considerations)
+ [Erforderliche Berechtigungen](#serverless-vpc-permissions)
+ [Erstellen Sie einen Schnittstellenendpunkt für Serverless OpenSearch](#serverless-vpc-create)
+ [Gemeinsames VPC-Setup für Amazon Serverless OpenSearch](#shared-vpc-setup)
## DNS-Auflösung der Sammlungsendpunkte
Wenn Sie über die OpenSearch Serverless-Konsole einen VPC-Endpunkt auf Datenebene erstellen, erstellt der Service eine neue Amazon Route 53 [private gehostete Zone](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html) und fügt sie der VPC hinzu. Diese private gehostete Zone besteht aus einem Datensatz zur Auflösung des Platzhalter-DNS-Eintrags für OpenSearch serverlose Sammlungen (`*.us-east-1.aoss.amazonaws.com`) in die für den Endpunkt verwendeten Schnittstellenadressen. Sie benötigen nur einen OpenSearch serverlosen VPC-Endpunkt in einer VPC, um auf alle Sammlungen und Dashboards in jeder VPC zuzugreifen. AWS-Region Jeder VPC mit einem Endpunkt für OpenSearch Serverless ist eine eigene private Hosting-Zone zugeordnet.
Der Endpunkt der OpenSearch serverlosen Schnittstelle erstellt außerdem einen öffentlichen Route 53-Platzhalter-DNS-Eintrag für alle Sammlungen in der Region. Der DNS-Name wird in die OpenSearch serverlosen öffentlichen IP-Adressen aufgelöst. Clients OpenSearch ohne serverlosen VPC-Endpunkt oder Clients in öffentlichen Netzwerken können den öffentlichen Route 53-Resolver verwenden und mit VPCs diesen IP-Adressen auf die Sammlungen und Dashboards zugreifen. Der IP-Adresstyp (IPv4, IPv6, oder Dualstack) des VPC-Endpunkts wird anhand der Subnetze bestimmt, die beim [Erstellen eines Schnittstellenendpunkts](#serverless-vpc-create) für Serverless bereitgestellt werden. OpenSearch
**Anmerkung**
OpenSearch Serverless erstellt eine zusätzliche private gehostete Amazon Route 53-Zone (``.opensearch.amazonaws.com``) für die Auflösung einer OpenSearch Service-Domain. Sie können Ihren vorhandenen IPv4 VPC-Endpunkt auf Dualstack aktualisieren, indem Sie den [update-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/opensearchserverless/update-vpc-endpoint.html)Befehl in der verwenden. AWS CLI
Die DNS-Resolver-Adresse für eine bestimmte VPC ist die zweite IP-Adresse der VPC CIDR. Jeder Client in der VPC muss diesen Resolver verwenden, um die VPC-Endpunktadresse für jede Sammlung abzurufen. Der Resolver verwendet eine private gehostete Zone, die von Serverless erstellt wurde. OpenSearch Es reicht aus, diesen Resolver für alle Sammlungen in einem beliebigen Konto zu verwenden. Es ist auch möglich, den VPC-Resolver für einige Sammlungsendpunkte und den öffentlichen Resolver für andere zu verwenden, obwohl dies normalerweise nicht erforderlich ist.
## VPCs und Richtlinien für den Netzwerkzugriff
Um Netzwerkberechtigungen OpenSearch APIs und Dashboards für Ihre Sammlungen zu gewähren, können Sie Richtlinien für den OpenSearch serverlosen [Netzwerkzugriff](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-network.html) verwenden. Sie können diesen Netzwerkzugriff entweder von Ihren VPC-Endpunkten oder dem öffentlichen Internet aus steuern. Da Ihre Netzwerkrichtlinie nur die Zugriffsberechtigungen steuert, müssen Sie auch eine [Datenzugriffsrichtlinie](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html) einrichten, die die Erlaubnis festlegt, mit den Daten in einer Sammlung und ihren Indizes zu arbeiten. Stellen Sie sich einen OpenSearch serverlosen VPC-Endpunkt als Zugriffspunkt für den Service, eine Netzwerkzugriffsrichtlinie als Zugriffspunkt auf Netzwerkebene für Sammlungen und Dashboards und eine Datenzugriffsrichtlinie als Zugriffspunkt für eine detaillierte Zugriffskontrolle für jeden Vorgang mit Daten in der Sammlung vor.
Da Sie IDs in einer Netzwerkrichtlinie mehrere VPC-Endpunkte angeben können, empfehlen wir, für jede VPC, die auf eine Sammlung zugreifen muss, einen VPC-Endpunkt zu erstellen. Diese VPCs können zu anderen AWS Konten gehören als dem Konto, dem die OpenSearch serverlose Sammlung und die Netzwerkrichtlinie gehören. Es wird nicht empfohlen, eine VPC-to-VPC Peering- oder andere Proxylösung zwischen zwei Konten zu erstellen, sodass die VPC eines Kontos den VPC-Endpunkt eines anderen Kontos verwenden kann. Dies ist weniger sicher und kostengünstiger als wenn jede VPC ihren eigenen Endpunkt hat. Die erste VPC wird für den Administrator der anderen VPC, der in der Netzwerkrichtlinie den Zugriff auf den Endpunkt dieser VPC eingerichtet hat, nicht ohne weiteres sichtbar sein.
## VPCs und Endpunktrichtlinien
Amazon OpenSearch Serverless unterstützt Endpunktrichtlinien für VPCs. Eine Endpunktrichtlinie ist eine ressourcenbasierte IAM-Richtlinie, die Sie an einen VPC-Endpunkt anhängen, um zu steuern, welche AWS Principals den Endpunkt für den Zugriff auf Ihren Service verwenden können. AWS Weitere Informationen finden Sie unter [Steuern des Zugriffs auf VPC-Endpoints mithilfe von Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html).
Um eine Endpunktrichtlinie zu verwenden, müssen Sie zunächst einen Schnittstellenendpunkt erstellen. Sie können einen Schnittstellenendpunkt entweder mit der OpenSearch Serverless-Konsole oder der OpenSearch Serverless-API erstellen. Nachdem Sie Ihren Schnittstellenendpunkt erstellt haben, müssen Sie die Endpunktrichtlinie zum Endpunkt hinzufügen. Weitere Informationen finden Sie unter [Erstellen Sie einen Schnittstellenendpunkt für Serverless OpenSearch](#serverless-vpc-create).
**Anmerkung**
Sie können eine Endpunktrichtlinie nicht direkt in der OpenSearch Servicekonsole definieren.
Eine Endpunktrichtlinie überschreibt oder ersetzt keine anderen identitätsbasierten Richtlinien, ressourcenbasierten Richtlinien, Netzwerkrichtlinien oder Datenzugriffsrichtlinien, die Sie möglicherweise konfiguriert haben. Weitere Informationen zur Aktualisierung von Endpunktrichtlinien finden Sie unter [Steuern des Zugriffs auf VPC-Endpunkte mithilfe von Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html).
Standardmäßig gewährt eine Endpunktrichtlinie vollen Zugriff auf Ihren VPC-Endpunkt.
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*"
}
]
}
```
Obwohl die standardmäßige VPC-Endpunktrichtlinie vollen Endpunktzugriff gewährt, können Sie eine VPC-Endpunktrichtlinie konfigurieren, um den Zugriff auf bestimmte Rollen und Benutzer zu ermöglichen. Sehen Sie sich dazu das folgende Beispiel an:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"123456789012",
"987654321098"
]
},
"Action": "*",
"Resource": "*"
}
]
}
```
------
Sie können eine OpenSearch serverlose Sammlung angeben, die als bedingtes Element in Ihre VPC-Endpunktrichtlinie aufgenommen werden soll. Sehen Sie sich dazu das folgende Beispiel an:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aoss:collection": [
"coll-abc"
]
}
}
}
]
}
```
------
Support für `aoss:CollectionId` wird unterstützt.
```
Condition": {
"StringEquals": {
"aoss:CollectionId": "collection-id"
}
}
```
Sie können SAML-Identitäten in Ihrer VPC-Endpunktrichtlinie verwenden, um den VPC-Endpunktzugriff zu bestimmen. Sie müssen `(*)` im Hauptbereich Ihrer VPC-Endpunktrichtlinie einen Platzhalter verwenden. Sehen Sie sich dazu das folgende Beispiel an:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"saml:cn": [
"saml/111122223333/idp123/group/football",
"saml/111122223333/idp123/group/soccer",
"saml/111122223333/idp123/group/cricket"
]
}
}
}
]
}
```
------
Darüber hinaus können Sie Ihre Endpunktrichtlinie so konfigurieren, dass sie eine bestimmte SAML-Prinzipalrichtlinie enthält. Sehen Sie sich dazu Folgendes an:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalTag/Department": [
"Engineering"]
}
}
}
]
}
```
------
Weitere Informationen zur Verwendung der SAML-Authentifizierung mit Amazon OpenSearch Serverless finden Sie unter [SAML-Authentifizierung für](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-saml.html) Amazon Serverless. OpenSearch
Sie können auch IAM- und SAML-Benutzer in dieselbe VPC-Endpunktrichtlinie aufnehmen. Sehen Sie sich dazu das folgende Beispiel an:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"saml:cn": [
"saml/111122223333/idp123/group/football",
"saml/111122223333/idp123/group/soccer",
"saml/111122223333/idp123/group/cricket"
]
}
}
},
{
"Effect": "Allow",
"Principal": {
"AWS": [
"111122223333"
]
},
"Action": "*",
"Resource": "*"
}
]
}
```
------
Sie können auch von Amazon EC2 aus über Schnittstellen-VPC-Endpunkte auf eine Amazon OpenSearch Serverless-Sammlung zugreifen. Weitere Informationen finden Sie unter [Zugriff auf eine OpenSearch serverlose Sammlung von Amazon EC2 aus (über VPC-Endpunkte mit Schnittstelle](https://aws.amazon.com/blogs/big-data/network-connectivity-patterns-for-amazon-opensearch-serverless/)).
## Überlegungen
Bevor Sie einen Schnittstellenendpunkt für OpenSearch Serverless einrichten, sollten Sie Folgendes beachten:
+ OpenSearch Serverless unterstützt Aufrufe aller unterstützten [OpenSearch API-Operationen (nicht Konfigurations-API-Operationen](serverless-genref.md#serverless-operations)) über den Schnittstellenendpunkt.
+ Nachdem Sie einen Schnittstellenendpunkt für OpenSearch Serverless erstellt haben, müssen Sie ihn dennoch in die [Netzwerkzugriffsrichtlinien](serverless-network.md) aufnehmen, damit er auf serverlose Sammlungen zugreifen kann.
+ Standardmäßig ist der vollständige Zugriff auf OpenSearch Serverless über den Schnittstellenendpunkt zulässig. Sie können den Endpunkt-Netzwerkschnittstellen eine Sicherheitsgruppe zuordnen, um den Datenverkehr zu OpenSearch Serverless über den Schnittstellenendpunkt zu steuern.
+ Ein einzelner AWS-Konto kann maximal 50 OpenSearch serverlose VPC-Endpunkte haben.
+ Wenn Sie in einer Netzwerkrichtlinie den öffentlichen Internetzugriff auf die API oder die Dashboards Ihrer Sammlung aktivieren, ist Ihre Sammlung von jeder VPC und über das öffentliche Internet zugänglich.
+ Wenn Sie sich vor Ort und außerhalb der VPC befinden, können Sie einen DNS-Resolver nicht direkt für die OpenSearch serverlose VPC-Endpunktlösung verwenden. Wenn Sie VPN-Zugriff benötigen, benötigt die VPC einen DNS-Proxy-Resolver, den externe Clients verwenden können. Route 53 bietet eine Option für eingehende Endpunkte, mit der Sie DNS-Abfragen an Ihre VPC von Ihrem lokalen Netzwerk oder einer anderen VPC aus auflösen können.
+ Die private gehostete Zone, die OpenSearch Serverless erstellt und an die VPC anhängt, wird vom Service verwaltet, sie wird jedoch in Ihren Amazon Route 53 Ressourcen angezeigt und Ihrem Konto in Rechnung gestellt.
+ Weitere Überlegungen finden Sie unter [Überlegungen](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) im *AWS PrivateLink -Leitfaden*.
## Erforderliche Berechtigungen
Der VPC-Zugriff für OpenSearch Serverless verwendet die folgenden AWS Identity and Access Management (IAM-) Berechtigungen. Sie können IAM-Bedingungen festlegen, um Benutzer auf bestimmte Sammlungen zu beschränken.
+ `aoss:CreateVpcEndpoint` – Erstellt einen VPC-Endpunkt.
+ `aoss:ListVpcEndpoints` – Listet alle VPC-Endpunkte auf.
+ `aoss:BatchGetVpcEndpoint` – Zeigt Details zu einer Untergruppe von VPC-Endpunkten an.
+ `aoss:UpdateVpcEndpoint` – Ändert einen VPC-Endpunkt.
+ `aoss:DeleteVpcEndpoint` – Löscht einen VPC-Endpunkt.
Darüber hinaus benötigen Sie die folgenden Amazon-EC2- und Route-53-Berechtigungen, um einen VPC-Endpunkt zu erstellen.
+ `ec2:CreateTags`
+ `ec2:CreateVpcEndpoint`
+ `ec2:DeleteVpcEndPoints`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeVpcEndpoints`
+ `ec2:DescribeVpcs`
+ `ec2:ModifyVpcEndPoint`
+ `route53:AssociateVPCWithHostedZone`
+ `route53:ChangeResourceRecordSets`
+ `route53:CreateHostedZone`
+ `route53:DeleteHostedZone`
+ `route53:GetChange`
+ `route53:GetHostedZone`
+ `route53:ListHostedZonesByName`
+ `route53:ListHostedZonesByVPC`
+ `route53:ListResourceRecordSets`
## Erstellen Sie einen Schnittstellenendpunkt für Serverless OpenSearch
Sie können einen Schnittstellenendpunkt für OpenSearch Serverless entweder mit der Konsole oder der OpenSearch Serverless API erstellen.
**Um einen Schnittstellenendpunkt für eine serverlose Sammlung zu erstellen OpenSearch**
1. Öffnen Sie die Amazon OpenSearch Service-Konsole zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home).
1. Erweitern Sie im linken Navigationsbereich **Serverless** und wählen Sie **VPC endpoints** (VPC-Endpunkte) aus.
1. Wählen Sie **Create VPC endpoint** (VPC-Endpunkt) erstellen.
1. Geben Sie einen Namen für den Endpunkt an.
1. Wählen Sie für **VPC** die VPC aus, von der aus Sie auf OpenSearch Serverless zugreifen möchten.
1. Wählen Sie für **Subnetze** ein Subnetz aus, von dem aus Sie auf Serverless zugreifen möchten. OpenSearch
+ Die IP-Adresse und der DNS-Typ des Endpunkts basieren auf dem Subnetztyp
+ Dualstack: Wenn alle Subnetze sowohl als auch Adressbereiche haben IPv4 IPv6
+ IPv6: Wenn alle Subnetze nur Subnetze sind IPv6
+ IPv4: Wenn alle Subnetze Adressbereiche haben IPv4
1. Wählen Sie für Sicherheitsgruppen die Sicherheitsgruppen aus, die den **Security groups** (Endpunkt-Netzwerkschnittstellen) zugeordnet werden sollen. Dies ist ein wichtiger Schritt, bei dem Sie die Ports, Protokolle und Quellen für eingehenden Datenverkehr einschränken, den Sie für Ihren Endpunkt autorisieren. Stellen Sie sicher, dass die Sicherheitsgruppenregeln den Ressourcen, die den VPC-Endpunkt für die Kommunikation mit OpenSearch Serverless verwenden, die Kommunikation mit der Endpunkt-Netzwerkschnittstelle ermöglichen.
1. Wählen Sie **Endpunkt erstellen** aus.
Verwenden Sie den Befehl, um einen VPC-Endpunkt mithilfe der OpenSearch Serverless API zu erstellen. `CreateVpcEndpoint`
**Anmerkung**
Nachdem Sie einen Endpunkt erstellt haben, notieren Sie sich seine ID, z. B. `vpce-abc123def4EXAMPLE`. Um dem Endpunkt Zugriff auf Ihre Sammlungen zu gewähren, müssen Sie diese ID in eine oder mehrere Netzwerkzugriffsrichtlinien aufnehmen.
Nachdem Sie einen Schnittstellen-Endpunkt erstellt haben, müssen Sie ihm über Netzwerkzugriffsrichtlinien Zugriff auf Sammlungen gewähren. Weitere Informationen finden Sie unter [Netzwerkzugriff für Amazon OpenSearch Serverless](serverless-network.md).
## Gemeinsames VPC-Setup für Amazon Serverless OpenSearch
Sie können Amazon Virtual Private Cloud (VPC) verwenden, um VPC-Subnetze mit anderen AWS-Konten in Ihrer Organisation zu teilen und Netzwerkinfrastruktur wie ein VPN zwischen mehreren Ressourcen gemeinsam zu nutzen. AWS-Konten
Derzeit unterstützt Amazon OpenSearch Serverless das Herstellen einer AWS PrivateLink Verbindung zu einer gemeinsam genutzten VPC nur, wenn Sie Eigentümer dieser VPC sind. AWS PrivateLink unterstützt auch nicht die gemeinsame Nutzung von Verbindungen zwischen. AWS-Konten
Basierend auf der flexiblen und modularen Architektur von OpenSearch Serverless können Sie jedoch weiterhin eine gemeinsam genutzte VPC einrichten. Dies liegt daran, dass die OpenSearch serverlose Netzwerkinfrastruktur von der Infrastruktur für individuelle Datenerfassungen (OpenSearch Dienste) getrennt ist. Sie können daher einen AWS PrivateLink VPCe Endpunkt für ein Konto erstellen, auf dem sich eine VPC befindet, und dann eine VPCe ID in der Netzwerkrichtlinie anderer Konten verwenden, um den Datenverkehr so zu beschränken, dass er nur von dieser gemeinsam genutzten VPC kommt.
Die folgenden Verfahren beziehen sich auf ein *Besitzerkonto* und ein *Verbraucherkonto*.
Ein Besitzerkonto fungiert als gemeinsames Netzwerkkonto, mit dem Sie eine VPC einrichten und sie mit anderen Konten teilen. Verbraucherkonten sind Konten, die ihre OpenSearch serverlosen Sammlungen in der VPC erstellen und verwalten, die ihnen vom Eigentümerkonto zur Verfügung gestellt werden.
**Voraussetzungen**
Stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind, bevor Sie die gemeinsam genutzte VPC einrichten:
+ Das Konto des beabsichtigten Besitzers muss bereits eine VPC, Subnetze, eine Routing-Tabelle und andere erforderliche Ressourcen in Amazon Virtual Private Cloud eingerichtet haben. Weitere Informationen finden Sie im *[Amazon VPC-Benutzerhandbuch](https://docs.aws.amazon.com/vpc/latest/userguide/)*.
+ Das Konto des beabsichtigten Besitzers und die Benutzerkonten müssen derselben Organisation in gehören. AWS Organizations Weitere Informationen finden Sie im *[AWS Organizations -Benutzerhandbuch](https://docs.aws.amazon.com/organizations/latest/userguide/)*.
**Um eine gemeinsam genutzte VPC in einem account/common Besitzer-Netzwerkkonto einzurichten.**
1. Melden Sie sich zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home) bei der Amazon OpenSearch Service-Konsole an.
1. Führen Sie die Schritte unter [Erstellen Sie einen Schnittstellenendpunkt für Serverless OpenSearch](#serverless-vpc-create) aus. Treffen Sie dabei die folgenden Auswahlen:
+ Wählen Sie eine VPC und Subnetze aus, die mit den Verbraucherkonten in Ihrer Organisation gemeinsam genutzt werden.
1. Nachdem Sie den Endpunkt erstellt haben, notieren Sie sich die generierte VPCe ID und geben Sie sie an die Administratoren weiter, die die Einrichtungsaufgabe für Verbraucherkonten ausführen sollen.
VPCe IDs sind im Format`vpce-abc123def4EXAMPLE`.
**So richten Sie eine gemeinsam genutzte VPC in einem Verbraucherkonto ein**
1. Melden Sie sich zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home) bei der Amazon OpenSearch Service-Konsole an.
1. Verwenden Sie die angegebenen Informationen, [Verwaltung von Amazon OpenSearch Serverless-Sammlungen](serverless-manage.md) um eine Sammlung zu erstellen, falls Sie noch keine haben.
1. Verwenden Sie die Informationen unter[Erstellen von Netzwerkrichtlinien (Konsole)](serverless-network.md#serverless-network-console), um eine Netzwerkrichtlinie zu erstellen. Treffen Sie dabei die folgenden Auswahlen.
**Anmerkung**
Sie können zu diesem Zweck auch eine bestehende Netzwerkrichtlinie aktualisieren.
1. Wählen Sie als **Zugriffstyp** **VPC (empfohlen)** aus.
1. Wählen Sie für **VPC-Endpunkte für den Zugriff** die VPCe ID, die Sie vom Besitzerkonto erhalten haben, im folgenden Format aus. `vpce-abc123def4EXAMPLE`
1. Gehen Sie im Bereich **Ressourcentyp** wie folgt vor:
+ Wählen Sie das Feld **Zugriff auf OpenSearch Endpunkt aktivieren** und wählen Sie dann den Sammlungsnamen oder das Sammlungsmuster aus, das verwendet werden soll, um den Zugriff von dieser gemeinsam genutzten VPC aus zu aktivieren.
+ Wählen Sie das Feld **Zugriff auf OpenSearch Dashboard aktivieren** und wählen Sie dann den Sammlungsnamen oder das Sammlungsmuster aus, das verwendet werden soll, um den Zugriff von dieser gemeinsam genutzten VPC aus zu ermöglichen.
1. Wählen Sie Erstellen aus, um eine neue Richtlinie **zu erstellen**. Wählen Sie für eine bestehende Richtlinie die Option **Aktualisieren** aus.
# Steuern Sie den Flugzeug-Zugriff über AWS PrivateLink
Amazon OpenSearch Serverless unterstützt zwei Arten von AWS PrivateLink Verbindungen für den Betrieb auf der Steuerungsebene und der Datenebene. Zu den Vorgängen auf der Kontrollebene gehören das Erstellen und Löschen von Sammlungen sowie die Verwaltung von Zugriffsrichtlinien. Operationen auf Datenebene dienen der Indizierung und Abfrage von Daten innerhalb einer Sammlung. Diese Seite behandelt den Endpunkt der Steuerungsebene. AWS PrivateLink Informationen zu VPC-Endpunkten auf Datenebene finden Sie unter. [Zugriff auf Datenebene über AWS PrivateLink](serverless-vpc.md)
## Einen Endpunkt auf der Steuerungsebene erstellen AWS PrivateLink
Sie können die Sicherheitslage Ihrer VPC verbessern, indem Sie OpenSearch Serverless so konfigurieren, dass es einen VPC-Endpunkt mit Schnittstelle verwendet. Schnittstellen-Endpunkte werden mit Strom versorgt von. AWS PrivateLink Diese Technologie ermöglicht Ihnen den privaten Zugriff auf OpenSearch Serverless APIs ohne Internet-Gateway, NAT-Gerät, VPN-Verbindung oder AWS Direct Connect-Verbindung.
Weitere Informationen zu AWS PrivateLink VPC-Endpunkten finden Sie unter [VPC-Endpunkte](https://docs.aws.amazon.com/vpc/latest/privatelink/concepts.html#concepts-vpc-endpoints) im Amazon VPC-Benutzerhandbuch.
### Überlegungen
+ VPC-Endpunkte werden nur in derselben Region unterstützt.
+ VPC-Endpunkte unterstützen nur von Amazon bereitgestellten DNS über Amazon Route 53.
+ VPC-Endpunkte unterstützen Endpunktrichtlinien zur Steuerung des Zugriffs auf OpenSearch serverlose Sammlungen, Richtlinien und. VpcEndpoints
+ OpenSearch Serverless unterstützt nur Schnittstellen-Endpunkte. Gateway-Endpunkte werden nicht unterstützt.
### VPC-Endpunkt erstellen
Um den VPC-Endpunkt der Steuerungsebene für Amazon OpenSearch Serverless zu erstellen, verwenden Sie das Verfahren [Access an AWS service using an interface VPC-Endpoint im *Amazon VPC*](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint) Developer Guide. Erstellen Sie den folgenden Endpunkt:
+ `com.amazonaws.region.aoss`
**So erstellen Sie mit der Konsole einen VPC-Endpunkt auf Steuerungsebene**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpunkte** aus.
1. Klicken Sie auf **Endpunkt erstellen**.
1. Wählen Sie für **Servicekategorie** die Option **AWS-Services** aus.
1. Wählen Sie für **Dienste** die Option`com.amazonaws.region.aoss`. Beispiel, `com.amazonaws.us-east-1.aoss`.
1. Wählen Sie für **VPC** die VPC, in der der Endpunkt erstellt werden soll.
1. Wählen Sie für **Subnets** Subnetze (Availability Zones) aus, in denen die Endpunktnetzwerkschnittstellen erstellt werden sollen.
1. Wählen Sie für **Sicherheitsgruppen** die Sicherheitsgruppen aus, die den Endpunkt-Netzwerkschnittstellen zugeordnet werden sollen. Stellen Sie sicher, dass HTTPS (Port 443) zulässig ist.
1. Wählen Sie für **Richtlinie die** Option **Vollzugriff** aus, um alle Vorgänge zuzulassen, oder wählen Sie **Benutzerdefiniert**, um eine benutzerdefinierte Richtlinie anzuhängen.
1. Wählen Sie **Endpunkt erstellen** aus.
### Eine Endpunktrichtlinie erstellen
Sie können Ihrem VPC-Endpunkt eine Endpunktrichtlinie hinzufügen, die den Zugriff auf Amazon OpenSearch Serverless steuert. Die Richtlinie gibt die folgenden Informationen an:
+ Prinzipal, der die Aktionen ausführen kann.
+ Aktionen, die ausgeführt werden können
+ Die Ressourcen, für die Aktionen ausgeführt werden können.
Weitere Informationen finden Sie unter [Steuerung des Zugriffs auf Services mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) im *Amazon-VPC-Benutzerhandbuch*.
**Example VPC-Endpunktrichtlinie für Serverless OpenSearch**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"aoss:ListCollections",
"aoss:BatchGetCollection"
],
"Resource": "*"
}
]
}
```
**Example Restriktive Richtlinie, die nur Listenoperationen erlaubt**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "aoss:ListCollections",
"Resource": "*"
}
]
}
```
# SAML-Authentifizierung für Amazon Serverless OpenSearch
Mit der SAML-Authentifizierung für Amazon OpenSearch Serverless können Sie Ihren bestehenden Identitätsanbieter verwenden, um Single Sign-On (SSO) für die OpenSearch Dashboard-Endpunkte serverloser Sammlungen anzubieten.
Mit der SAML-Authentifizierung können Sie externe Identitätsanbieter verwenden, um sich bei Dashboards anzumelden, um Daten zu indizieren und zu suchen OpenSearch . OpenSearch Serverless unterstützt Anbieter, die den SAML 2.0-Standard verwenden, wie IAM Identity Center, Okta, Keycloak, Active Directory Federation Services (AD FS) und Auth0. Sie können IAM Identity Center so konfigurieren, dass Benutzer und Gruppen aus anderen Identitätsquellen wie Okta und Microsoft OneLogin Entra ID synchronisiert werden. Eine Liste der von IAM Identity Center unterstützten Identitätsquellen und Schritte zu ihrer Konfiguration finden Sie in den [Tutorials Erste](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) Schritte im *IAM* Identity Center-Benutzerhandbuch.
**Anmerkung**
Die SAML-Authentifizierung ist nur für den Zugriff auf OpenSearch Dashboards über einen Webbrowser vorgesehen. Authentifizierte Benutzer können nur über die **Entwicklungstools** in Dashboards Anfragen an die OpenSearch API-Operationen stellen. OpenSearch Mit Ihren SAML-Anmeldeinformationen können Sie *keine* direkten HTTP-Anfragen an die OpenSearch API-Operationen stellen.
Zum Einrichten der SAML-Authentifizierung konfigurieren Sie zuerst einen SAML-Identitätsanbieter (IdP). Anschließend nehmen Sie einen oder mehrere Benutzer von diesem IdP in eine [Datenzugriffsrichtlinie](serverless-data-access.md) auf. Diese Richtlinie gewährt ihr bestimmte Berechtigungen für and/or Sammlungsindizes. Ein Benutzer kann sich dann bei OpenSearch Dashboards anmelden und die Aktionen ausführen, die in der Datenzugriffsrichtlinie zulässig sind.
![\[SAML authentication flow with data access policy, OpenSearch interface, and JSON configuration.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/serverless-saml-flow.png)
**Topics**
+ [Überlegungen](#serverless-saml-considerations)
+ [Erforderliche Berechtigungen](#serverless-saml-permissions)
+ [Erstellen von SAML-Anbietern (Konsole)](#serverless-saml-creating)
+ [Auf Dashboards zugreifen OpenSearch](#serverless-saml-dashboards)
+ [Gewährung von Zugriff für SAML-Identitäten auf Sammlungsdaten](#serverless-saml-policies)
+ [Erstellen von SAML-Anbietern (AWS CLI)](#serverless-saml-creating-api)
+ [Anzeigen von SAML-Anbietern](#serverless-saml-viewing)
+ [Aktualisieren von SAML-Anbietern](#serverless-saml-updating)
+ [Löschen von SAML-Anbietern](#serverless-saml-deleting)
## Überlegungen
Berücksichtigen Sie beim Konfigurieren der SAML-Authentifizierung Folgendes:
+ Signierte und verschlüsselte Anfragen werden nicht unterstützt.
+ Verschlüsselte Aussagen werden nicht unterstützt.
+ Vom Identitätsanbieter initiierte Authentifizierung und Abmeldung werden nicht unterstützt.
+ Service Control Policies (SCP) werden im Fall von Nicht-IAM-Identitäten (wie SAML in Amazon OpenSearch Serverless und SAML und grundlegende interne Benutzerautorisierung für Amazon Service) nicht angewendet oder bewertet. OpenSearch
## Erforderliche Berechtigungen
Die SAML-Authentifizierung für OpenSearch Serverless verwendet die folgenden (IAM-) Berechtigungen: AWS Identity and Access Management
+ `aoss:CreateSecurityConfig` – Erstellt einen SAML-Anbieter.
+ `aoss:ListSecurityConfig` – Listet alle SAML-Anbieter im aktuellen Konto auf.
+ `aoss:GetSecurityConfig` – Zeigt Informationen zum SAML-Anbieter an.
+ `aoss:UpdateSecurityConfig` – Ändert eine bestimmte SAML-Anbieterkonfiguration, einschließlich der XML-Metadaten.
+ `aoss:DeleteSecurityConfig` – Löscht einen SAML-Anbieter.
Die folgende identitätsbasierte Zugriffsrichtlinie ermöglicht einem Benutzer die Verwaltung aller IdP-Konfigurationen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aoss:CreateSecurityConfig",
"aoss:DeleteSecurityConfig",
"aoss:GetSecurityConfig",
"aoss:UpdateSecurityConfig",
"aoss:ListSecurityConfigs"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Beachten Sie, dass das `Resource`-Element ein Platzhalter sein muss.
## Erstellen von SAML-Anbietern (Konsole)
In diesen Schritten wird erläutert, wie SAML-Anbieter erstellt werden. Dies ermöglicht die SAML-Authentifizierung mit vom Service Provider (SP) initiierter Authentifizierung für Dashboards. OpenSearch Die vom Identitätsanbieter initiierte Authentifizierung wird nicht unterstützt.
**Um die SAML-Authentifizierung für Dashboards zu aktivieren OpenSearch**
1. Melden Sie sich zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home ) bei der Amazon OpenSearch Service-Konsole an.
1. Erweitern Sie im linken Navigationsbereich **Serverless** und wählen Sie **SAML authentication** (SAML-Authentifizierung) aus.
1. Wählen Sie **Add SAML provider** (SAML-Anbieter hinzufügen).
1. Geben Sie einen Namen und eine Beschreibung für die Sammlung an.
**Anmerkung**
Der von Ihnen angegebene Name ist öffentlich zugänglich und wird in einem Drop-down-Menü angezeigt, wenn sich Benutzer bei OpenSearch Dashboards anmelden. Stellen Sie sicher, dass der Name leicht erkennbar ist und keine vertraulichen Informationen über Ihren Identitätsanbieter preisgibt.
1. Kopieren Sie unter **Configure your IdP** (Konfigurieren Ihres IdP) die URL des Assertion Consumer Service (ACS).
1. Verwenden Sie die ACS-URL, die Sie gerade kopiert haben, um Ihren Identitätsanbieter zu konfigurieren. Terminologie und Schritte variieren je nach Anbieter. Schlagen Sie in der Dokumentation Ihres Anbieters nach.
In Okta erstellen Sie beispielsweise eine „SAML 2.0-Webanwendung“ und geben die ACS-URL als **Single Sign On URL** (Single-Sign-On-URL), **Recipient URL** (Empfänger-URL) und **Destination URL** (Ziel-URL) an. **Für Auth0 geben Sie ihn unter Zulässiger Rückruf an. URLs**
1. Geben Sie die Zielgruppeneinschränkung an, falls Ihr IdP ein Feld dafür aufweist. Die Zielgruppenbeschränkung ist ein Wert innerhalb der SAML-Aussagen, der angibt, für wen die Aussagen bestimmt ist. Mit OpenSearch Serverless können Sie Folgendes tun. Stellen Sie sicher, dass Sie das *content* im folgenden Codebeispiel durch Ihre eigene AWS-Konto ID ersetzen:
1. Verwenden Sie die standardmäßige Zielgruppenbeschränkung`:opensearch:111122223333`.
1. (Optional) konfigurieren Sie eine benutzerdefinierte Zielgruppenbeschränkung mit dem AWS CLI. Weitere Informationen finden Sie unter [Erstellen von SAML-Anbietern (AWS CLI)](#serverless-saml-creating-api).
Der Name des Feldes für die Zielgruppenbeschränkung variiert je nach Anbieter. Für Okta ist es der **Audience URI (SP Entity ID)** (Zielgruppen-URI (SP-Entitäts-ID)). Für IAM Identity Center ist es die **Application SAML audience** (SAML-Zielgruppe der Anwendung).
1. Wenn Sie IAM Identity Center verwenden, müssen Sie außerdem die folgende [Attributzuordnung](https://docs.aws.amazon.com/singlesignon/latest/userguide/attributemappingsconcept.html) angeben: `Subject=${user:name}`, mit einem Format von `unspecified`.
1. Nachdem Sie Ihren Identitätsanbieter konfiguriert haben, wird eine IdP-Metadatendatei generiert. Diese XML-Datei enthält Informationen zum Anbieter, z. B. ein TLS-Zertifikat, Single Sign-On-Endpunkte und die Entitäts-ID des Identitätsanbieters.
Kopieren Sie den Text aus der IdP-Metadaten-Datei und fügen Sie ihn in das Feld **Provide metadata from your IdP** (Metadaten von Ihrem IdP bereitstellen) ein. Wählen Sie alternativ **Aus XML-Datei importieren** und laden Sie die Datei hoch. Die Metadatendatei sollte ungefähr so aussehen:
```
tls-certificate
s
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
```
1. Lassen Sie das Feld **Benutzerdefiniertes Benutzer-ID-Attribut** leer, um das `NameID` Element der SAML-Assertion für den Benutzernamen zu verwenden. Wenn Ihre Assertion dieses Standardelement nicht verwendet und stattdessen den Benutzernamen als benutzerdefiniertes Attribut enthält, geben Sie dieses Attribut hier an. Bei Attributen wird zwischen Groß- und Kleinschreibung unterschieden. Es wird nur ein einzelnes Benutzerattribut unterstützt.
Das folgende Beispiel zeigt ein Überschreibungsattribut für `NameID` in der SAML-Aussage:
```
annie
```
1. (Optional) Geben Sie im Feld **Group attribute** (Gruppenattribut) ein benutzerdefiniertes Attribut an, z. B. `role` oder `group`. Es wird nur ein einzelnes Gruppenattribut unterstützt. Es gibt kein Standard-Gruppenattribut. Wenn Sie keine angeben, können Ihre Datenzugriffsrichtlinien nur Benutzerprinzipale enthalten.
Das folgende Beispiel zeigt ein Gruppenattribut in der SAML-Aussage:
```
finance
```
1. Standardmäßig meldet OpenSearch Dashboards Benutzer nach 24 Stunden ab. Sie können diesen Wert auf eine beliebige Zahl zwischen 1 und 12 Stunden (15 und 720 Minuten) konfigurieren, indem Sie das **OpenSearch Dashboard-Timeout** angeben. Wenn Sie versuchen, das Timeout auf 15 Minuten oder weniger festzulegen, wird Ihre Sitzung auf eine Stunde zurückgesetzt.
1. Wählen Sie **Create SAML provider** (SAML-Anbieter erstellen).
## Auf Dashboards zugreifen OpenSearch
Nachdem Sie einen SAML-Anbieter konfiguriert haben, können alle Benutzer und Gruppen, die diesem Anbieter zugeordnet sind, zum OpenSearch Dashboards-Endpunkt navigieren. Die Dashboard-URL hat das Format `collection-endpoint/_dashboards/` *für* alle Sammlungen.
Wenn Sie SAML aktiviert haben, werden Sie durch Auswahl des Links in der AWS-Managementkonsole zur IdP-Auswahlseite weitergeleitet, auf der Sie sich mit Ihren SAML-Anmeldeinformationen anmelden können. Verwenden Sie zunächst das Dropdown-Menü, um einen Identitätsanbieter auszuwählen:
![\[OpenSearch login page with dropdown menu for selecting SAML Identity Provider options.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/idpList.png)
Melden Sie sich anschließend mit den Anmeldeinformationen Ihres Identitätsanbieters an.
Wenn Sie SAML nicht aktiviert haben, werden Sie durch Auswahl des Links auf der AWS-Managementkonsole weitergeleitet, um sich als IAM-Benutzer oder als IAM-Rolle anzumelden, ohne dass SAML aktiviert ist.
## Gewährung von Zugriff für SAML-Identitäten auf Sammlungsdaten
Nachdem Sie einen SAML-Anbieter erstellt haben, müssen Sie den zugrunde liegenden Benutzern und Gruppen immer noch Zugriff auf die Daten in Ihren Sammlungen gewähren. Sie gewähren Zugriff über [Datenzugriffsrichtlinien](serverless-data-access.md). Solange Sie Benutzern keinen Zugriff gewähren, können diese keine Daten in Ihren Sammlungen lesen, schreiben oder löschen.
Um Zugriff zu gewähren, erstellen Sie eine Datenzugriffsrichtlinie und geben Sie Ihre and/or SAML-Benutzergruppe IDs in der Erklärung an: `Principal`
```
[
{
"Rules":[
...
],
"Principal":[
"saml/987654321098/myprovider/user/Shaheen",
"saml/987654321098/myprovider/group/finance"
]
}
]
```
Sie können Zugriff auf Sammlungen, Indizes oder beides gewähren. Wenn Sie möchten, dass verschiedene Benutzer über unterschiedliche Berechtigungen verfügen, erstellen Sie mehrere Regeln. Eine Liste der verfügbaren Berechtigungen finden Sie unter [Unterstützte Richtlinienberechtigungen](serverless-data-access.md#serverless-data-supported-permissions). Weitere Informationen zum Formatieren einer Zugriffsrichtlinie finden Sie unter [Richtliniensyntax](serverless-data-access.md).
## Erstellen von SAML-Anbietern (AWS CLI)
Um einen SAML-Anbieter mithilfe der OpenSearch Serverless API zu erstellen, senden Sie eine Anfrage: [CreateSecurityConfig](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateSecurityConfig.html)
```
aws opensearchserverless create-security-config \
--name myprovider \
--type saml \
--saml-options file://saml-auth0.json
```
Geben Sie `saml-options`, einschließlich der Metadaten-XML, als Schlüsselwert-Zuordnung in einer .json-Datei an. Die Metadaten-XML muss als [JSON-Escape-Zeichenfolge](https://www.freeformatter.com/json-escape.html) codiert werden.
```
{
"sessionTimeout": 70,
"groupAttribute": "department",
"userAttribute": "userid",
"openSearchServerlessEntityId": "aws:opensearch:111122223333:app1",
"metadata": "EntityDescriptor xmlns=\"urn:oasis:names:tc:SAML:2.0:metadata\" ... ... ... IDPSSODescriptor\r\n\/EntityDescriptor"
}
```
**Anmerkung**
(Optional) Konfigurieren Sie eine benutzerdefinierte Zielgruppenbeschränkung mit dem. AWS CLI Weitere Informationen finden Sie unter [Erstellen von SAML-Anbietern (AWS CLI)](#serverless-saml-creating-api).
## Anzeigen von SAML-Anbietern
In der folgenden [ListSecurityConfigs](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_ListSecurityConfigs.html)Anfrage sind alle SAML-Anbieter in Ihrem Konto aufgeführt:
```
aws opensearchserverless list-security-configs --type saml
```
Die Anfrage gibt Informationen zu allen vorhandenen SAML-Anbietern zurück, einschließlich der vollständigen IdP-Metadaten, die Ihr Identitätsanbieter generiert:
```
{
"securityConfigDetails": [
{
"configVersion": "MTY2NDA1MjY4NDQ5M18x",
"createdDate": 1664054180858,
"description": "Example SAML provider",
"id": "saml/111122223333/myprovider",
"lastModifiedDate": 1664054180858,
"samlOptions": {
"groupAttribute": "department",
"metadata": "EntityDescriptorxmlns=\"urn:oasis:names:tc:SAML:2.0:metadata\" ...... ...IDPSSODescriptor\r\n/EntityDescriptor",
"sessionTimeout": 120,
"openSearchServerlessEntityId": "aws:opensearch:111122223333:app1",
"userAttribute": "userid"
}
}
]
}
```
Um Details zu einem bestimmten Anbieter anzuzeigen, einschließlich des `configVersion` für zukünftige Updates, senden Sie eine `GetSecurityConfig`-Anfrage.
## Aktualisieren von SAML-Anbietern
**Um einen SAML-Anbieter mithilfe der OpenSearch Serverless-Konsole zu aktualisieren, wählen Sie **SAML-Authentifizierung**, wählen Sie Ihren Identitätsanbieter aus und klicken Sie auf Bearbeiten.** Sie können alle Felder ändern, einschließlich der Metadaten und derb benutzerdefinierten Attribute.
Um einen Anbieter über die OpenSearch Serverless API zu aktualisieren, senden Sie eine [UpdateSecurityConfig](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_UpdateSecurityConfig.html)Anfrage und geben Sie die ID der zu aktualisierenden Richtlinie an. Sie müssen auch eine Konfigurationsversion angeben, die Sie mithilfe der `ListSecurityConfigs`- oder `GetSecurityConfig`-Befehle abrufen können. Die Angabe der neuesten Version stellt sicher, dass Sie nicht versehentlich eine Änderung überschreiben, die von jemand anderem vorgenommen wurde.
Die folgende Anfrage aktualisiert die SAML-Optionen für einen Anbieter:
```
aws opensearchserverless update-security-config \
--id saml/123456789012/myprovider \
--type saml \
--saml-options file://saml-auth0.json \
--config-version MTY2NDA1MjY4NDQ5M18x
```
Geben Sie Ihre SAML-Konfigurationsoptionen als Schlüsselwert-Zuordnung in einer .json-Datei an.
**Wichtig**
**Aktualisierungen von SAML-Optionen erfolgen *nicht* inkrementell**. Wenn Sie bei einer Aktualisierung keinen Wert für einen Parameter im `SAMLOptions`-Objekt angeben, werden die vorhandenen Werte mit leeren Werten überschrieben. Wenn die aktuelle Konfiguration beispielsweise einen Wert für `userAttribute` enthält und Sie dann eine Aktualisierung vornehmen und diesen Wert nicht angeben, wird der Wert aus der Konfiguration entfernt. Stellen Sie sicher, dass Sie die vorhandenen Werte kennen, bevor Sie eine Aktualisierung durch Aufrufen der `GetSecurityConfig`-Operation vornehmen.
## Löschen von SAML-Anbietern
Wenn Sie einen SAML-Anbieter löschen, sind alle Verweise auf zugeordnete Benutzer und Gruppen in Ihren Datenzugriffsrichtlinien nicht mehr funktionsfähig. Um Verwirrung zu vermeiden, empfehlen wir Ihnen, alle Verweise auf den Endpunkt in Ihren Zugriffsrichtlinien zu entfernen, bevor Sie den Endpunkt löschen.
**Um einen SAML-Anbieter mithilfe der OpenSearch Serverless-Konsole zu löschen, wählen Sie **Authentifizierung**, wählen Sie den Anbieter aus und klicken Sie auf Löschen.**
Um einen Anbieter über die OpenSearch Serverless API zu löschen, senden Sie eine Anfrage: [DeleteSecurityConfig](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_DeleteSecurityConfig.html)
```
aws opensearchserverless delete-security-config --id saml/123456789012/myprovider
```
# Konformitätsvalidierung für Amazon OpenSearch Serverless
Externe Prüfer bewerten die Sicherheit und Konformität von Amazon OpenSearch Serverless im Rahmen mehrerer AWS Compliance-Programme. Zu diesen Programmen gehören SOC, PCI und HIPAA.
Informationen darüber, ob AWS-Service ein in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie unter [AWS-Services Umfang nach Compliance-Programm AWS-Services unter](https://aws.amazon.com/compliance/services-in-scope/) . Wählen Sie dort das Compliance-Programm aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).
# Taggen von Amazon OpenSearch Serverless-Sammlungen
Mithilfe von Tags können Sie einer Amazon OpenSearch Serverless-Sammlung beliebige Informationen zuweisen, sodass Sie diese Informationen kategorisieren und filtern können. Ein *Tag* ist eine Metadaten-Bezeichnung, die Sie einer Ressource zuweisen oder die sie einer AWS Ressource zuweist. AWS
Jedes Tag besteht aus einem *Schlüssel* und einem *Wert*. Für Tags, die Sie zuweisen, definieren Sie einen Schlüssel und einen Wert. So können Sie beispielsweise den Schlüssel als `stage` und den Wert für eine Ressource als `test` definieren.
Mit Tags können Sie Ihre AWS Ressourcen identifizieren und organisieren. Viele AWS Dienste unterstützen Tagging, sodass Sie Ressourcen aus verschiedenen Diensten dasselbe Tag zuweisen können, um anzuzeigen, dass die Ressourcen miteinander verknüpft sind. Sie könnten beispielsweise einer OpenSearch serverlosen Sammlung dasselbe Tag zuweisen, das Sie einer Amazon OpenSearch Service-Domain zuweisen.
Bei OpenSearch Serverless ist die primäre Ressource eine Sammlung. Sie können die OpenSearch Servicekonsole, die AWS CLI, die OpenSearch serverlosen API-Operationen oder die verwenden, um Stichwörter AWS SDKs zu einer Sammlung hinzuzufügen, zu verwalten und zu entfernen.
## Erforderliche Berechtigungen
OpenSearch Serverless verwendet die folgenden AWS Identity and Access Management Access Analyzer (IAM-) Berechtigungen für das Taggen von Sammlungen:
+ `aoss:TagResource`
+ `aoss:ListTagsForResource`
+ `aoss:UntagResource`
# Taggen von Sammlungen (Konsole)
Die Konsole ist die einfachste Möglichkeit, eine Sammlung zu markieren.
****So erstellen Sie ein Tag (Konsole)****
1. Melden Sie sich zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home ) bei der Amazon OpenSearch Service-Konsole an.
1. Erweitern Sie im linken Navigationsbereich **Serverless** und wählen Sie **Collections** (Sammlungen) aus.
1. Wählen Sie die Sammlung aus, der Sie Tags hinzufügen möchten, und gehen Sie zur Registerkarte **Tags**.
1. Wählen Sie **Verwalten** und **neues Tag hinzufügen**.
1. Geben Sie einen Tag-Schlüssel und einen optionalen Wert ein.
1. Wählen Sie **Speichern**.
Um ein Tag zu löschen, führen Sie die gleichen Schritte aus und wählen Sie **Entfernen** auf der Seite **Tags verwalten**.
Weitere Informationen zur Verwendung der Konsole für die Arbeit mit Tags finden Sie unter [Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html) im *AWS Handbuch „Erste Schritte“ der Managementkonsole*.
# Sammlungen taggen ()AWS CLI
Um eine Sammlung mit dem zu taggen AWS CLI, senden Sie eine [TagResource](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_TagResource.html)Anfrage:
```
aws opensearchserverless tag-resource
--resource-arn arn:aws:aoss:us-east-1:123456789012:collection/my-collection
--tags Key=service,Value=aoss Key=source,Value=logs
```
Zeigen Sie die vorhandenen Tags für eine Sammlung mit dem [ListTagsForResource](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_ListTagsForResource.html)folgenden Befehl an:
```
aws opensearchserverless list-tags-for-resource
--resource-arn arn:aws:aoss:us-east-1:123456789012:collection/my-collection
```
Entfernen Sie Tags mit dem [UntagResource](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_UntagResource.html)folgenden Befehl aus einer Sammlung:
```
aws opensearchserverless untag-resource
--resource-arn arn:aws:aoss:us-east-1:123456789012:collection/my-collection
--tag-keys service
```
# Unterstützte Operationen und Plugins in Amazon OpenSearch Serverless
Amazon OpenSearch Serverless unterstützt eine Vielzahl von OpenSearch Plug-ins sowie einen Teil der Indexierungs-, Such- und [Metadaten-API-Operationen](https://opensearch.org/docs/latest/opensearch/rest-api/index/), die in verfügbar sind. OpenSearch Sie können die Berechtigungen in der linken Spalte der Tabelle in [Datenzugriffsrichtlinien](serverless-data-access.md) aufnehmen, um den Zugriff auf bestimmte Vorgänge zu beschränken.
**Topics**
+ [Unterstützte OpenSearch API-Operationen und Berechtigungen](#serverless-operations)
+ [Unterstützte OpenSearch Plug-ins](#serverless-plugins)
## Unterstützte OpenSearch API-Operationen und Berechtigungen
In der folgenden Tabelle sind die API-Operationen aufgeführt, die OpenSearch Serverless unterstützt, zusammen mit den entsprechenden Datenzugriffsrichtlinienberechtigungen:
| Berechtigung der Datenzugriffsrichtlinie | OpenSearch API-Operationen | Beschreibung und Vorbehalte |
| --- | --- | --- |
| `aoss:CreateIndex` | PUT | Erstellen Sie Indizes. Weitere Informationen finden Sie unter [Index erstellen](https://opensearch.org/docs/latest/api-reference/index-apis/create-index/). Diese Berechtigung gilt auch für die Erstellung von Indizes mit den Beispieldaten auf OpenSearch Dashboards. |
| `aoss:DescribeIndex` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/serverless-genref.html) | Beschreiben Sie Indizes. Weitere Informationen finden Sie in den folgenden Ressourcen: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/serverless-genref.html) |
| `aoss:WriteDocument` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/serverless-genref.html) | Schreiben und Aktualisieren Sie Dokumente. Weitere Informationen finden Sie in den folgenden Ressourcen: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/serverless-genref.html) Einige Operationen sind nur für Sammlungen des Typs `SEARCH` zulässig. Weitere Informationen finden Sie unter [Auswahl eines Sammlungstyps](serverless-overview.md#serverless-usecase). |
| `aoss:ReadDocument` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/serverless-genref.html) | Lesen Sie Dokumente. Weitere Informationen finden Sie in den folgenden Ressourcen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/serverless-genref.html) |
| `aoss:DeleteIndex` | DELETE | Löschen Sie Indizes. Weitere Informationen finden Sie unter [Index löschen](https://opensearch.org/docs/latest/api-reference/index-apis/delete-index/). |
| `aoss:UpdateIndex` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/serverless-genref.html) | Aktualisieren von Index-Einstellungen. Weitere Informationen finden Sie in den folgenden Ressourcen: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/serverless-genref.html) |
| `aoss:CreateCollectionItems` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/serverless-genref.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/serverless-genref.html) |
| `aoss:DescribeCollectionItems` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/serverless-genref.html) | Beschreibt, wie mit Aliasen, Index- und Framework-Vorlagen sowie Pipelines gearbeitet wird. Weitere Informationen finden Sie in den folgenden Ressourcen: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/serverless-genref.html) |
| `aoss:UpdateCollectionItems` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/serverless-genref.html) | Aktualisieren Sie Aliase, Indexvorlagen und Framework-Vorlagen. Weitere Informationen finden Sie in den folgenden Ressourcen: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/serverless-genref.html) \$1 Die API zur Deprovisionierung von Vorlagen. Der ML Commons Client und die OpenSearch Serverless-Dienste verwalten abhängige Richtlinien. |
| `aoss:DeleteCollectionItems` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/serverless-genref.html) | Löschen Sie Aliase, Index- und Framework-Vorlagen sowie Pipelines. Weitere Informationen finden Sie in den folgenden Ressourcen: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/serverless-genref.html) |
| `aoss:DescribeMLResource` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/serverless-genref.html) | Beschreibt GET und search zum Abrufen von Informationen über Modelle und Konnektoren. APIs |
| `aoss:CreateMLResource` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/serverless-genref.html) | Erlaubt die Erlaubnis, ML-Ressourcen zu erstellen. |
| `aoss:UpdateMLResource` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/serverless-genref.html) | Erlaubt die Aktualisierung vorhandener ML-Ressourcen. |
| `aoss:DeleteMLResource` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/serverless-genref.html) | Erlaubt das Löschen von ML-Ressourcen. |
| `aoss:ExecuteMLResource` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/serverless-genref.html) | Erlaubt die Erlaubnis, Modelle auszuführen. |
## Unterstützte OpenSearch Plug-ins
OpenSearch Serverlose Sammlungen sind mit den folgenden Plugins aus der OpenSearch Community vorkonfiguriert. Serverless stellt Plugins automatisch bereit und verwaltet sie für Sie.
**Analyse-Plugins**
+ [ICU Analysis](https://github.com/opensearch-project/OpenSearch/tree/main/plugins/analysis-icu)
+ [Japanese (kuromoji) Analysis](https://github.com/opensearch-project/OpenSearch/tree/main/plugins/analysis-kuromoji)
+ [Koreanische (Nori)-Analyse](https://github.com/opensearch-project/OpenSearch/tree/main/plugins/analysis-nori)
+ [Phonetic Analysis](https://github.com/opensearch-project/OpenSearch/tree/main/plugins/analysis-phonetic)
+ [Smart Chinese Analysis](https://github.com/opensearch-project/OpenSearch/tree/main/plugins/analysis-smartcn)
+ [Stempel Polish Analysis](https://github.com/opensearch-project/OpenSearch/tree/main/plugins/analysis-stempel)
+ [Ukrainische Analyse](https://github.com/opensearch-project/OpenSearch/tree/main/plugins/analysis-ukrainian)
**Mapper-Plugins**
+ [Mapper Size](https://github.com/opensearch-project/OpenSearch/tree/main/plugins/mapper-size)
+ [Mapper Murmur3](https://github.com/opensearch-project/OpenSearch/tree/main/plugins/mapper-murmur3)
+ [Mapper-annotierter Text](https://github.com/opensearch-project/OpenSearch/tree/main/plugins/mapper-annotated-text)
**Skript-Plugins**
+ [Painless](https://opensearch.org/docs/latest/api-reference/script-apis/exec-script/)
+ [Expression](https://opensearch.org/docs/latest/data-prepper/pipelines/expression-syntax/)
+ [Mustache](https://mustache.github.io/mustache.5.html)
Darüber hinaus enthält OpenSearch Serverless alle Plugins, die als Module ausgeliefert werden.
# Überwachung von Amazon OpenSearch Serverless
Die Überwachung ist ein wichtiger Bestandteil der Aufrechterhaltung der Zuverlässigkeit, Verfügbarkeit und Leistung von Amazon OpenSearch Serverless und Ihren anderen AWS Lösungen. AWS bietet die folgenden Überwachungstools, um OpenSearch Serverless zu überwachen, zu melden, wenn etwas nicht stimmt, und gegebenenfalls automatische Maßnahmen zu ergreifen:
+ *Amazon CloudWatch* überwacht Ihre AWS Ressourcen und die Anwendungen, auf denen Sie laufen, AWS in Echtzeit. Sie können Kennzahlen erfassen und verfolgen, benutzerdefinierte Dashboards erstellen und Alarme festlegen, die Sie benachrichtigen oder Maßnahmen ergreifen, wenn eine bestimmte Metrik einen von Ihnen festgelegten Schwellenwert erreicht.
Sie können beispielsweise die CPU-Auslastung oder andere Kennzahlen Ihrer Amazon EC2 EC2-Instances CloudWatch verfolgen und bei Bedarf automatisch neue Instances starten. Weitere Informationen finden Sie im [ CloudWatch Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
+ *AWS CloudTrail* erfasst API-Aufrufe und zugehörige Ereignisse, die von oder im Namen Ihrer AWS-Konto. Es stellt die Protokolldateien in einem von Ihnen angegebenen Amazon-S3-Bucket bereit. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten. Weitere Informationen finden Sie im [AWS CloudTrail -Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
+ *Amazon EventBridge* liefert nahezu in Echtzeit einen Stream von Systemereignissen, die Änderungen in Ihren OpenSearch Service-Domains beschreiben. Sie können Regeln erstellen, die auf bestimmte Ereignisse achten und bei anderen Ereignissen automatisierte Aktionen auslösen, AWS-Services wenn diese Ereignisse eintreten. Weitere Informationen finden Sie im [ EventBridge Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/eventbridge/latest/userguide/).
# OpenSearch Serverlose Überwachung mit Amazon CloudWatch
Sie können Amazon OpenSearch Serverless mithilfe von Amazon Serverless überwachen CloudWatch, das Rohdaten sammelt und zu lesbaren Metriken verarbeitet, die nahezu in Echtzeit verfügbar sind. Diese Statistiken werden 15 Monate gespeichert, damit Sie auf Verlaufsinformationen zugreifen können und einen besseren Überblick darüber erhalten, wie Ihre Webanwendung oder der Service ausgeführt werden.
Sie können auch Alarme einrichten, die auf bestimmte Grenzwerte achten und Benachrichtigungen senden oder Aktivitäten auslösen, wenn diese Grenzwerte erreicht werden. Weitere Informationen finden Sie im [ CloudWatch Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
OpenSearch Serverless meldet die folgenden Metriken im `AWS/AOSS` Namespace.
| Metrik | Description |
| --- | --- |
| ActiveCollection | Zeigt an, ob eine Sammlung aktiv ist. Ein Wert von 1 bedeutet, dass sich die Sammlung in einem `ACTIVE`-Status befindet. Dieser Wert wird bei erfolgreicher Erstellung einer Sammlung ausgegeben und verbleibt 1, bis Sie die Sammlung löschen. Die Metrik darf keinen Wert von 0 haben. **Relevante Statistiken**: Maximum **Dimensionen**: `ClientId`, `CollectionId`, `CollectionName` **Frequenz**: 60 Sekunden |
| DeletedDocuments | Die Gesamtzahl der gelöschten Dokumente. **Relevante Statistiken**: Durchschnitt, Summe **Dimensionen**: `ClientId`, `CollectionId`, `CollectionName`, `IndexId`, `IndexName` **Frequenz**: 60 Sekunden |
| IndexingOCU | Die Anzahl der OpenSearch Recheneinheiten (OCUs), die für die Erfassung von Erfassungsdaten verwendet werden. Diese Metrik gilt auf Kontoebene. Stellt nur die Verwendung für Sammlungen dar, die keiner Sammlungsgruppe angehören. **Relevante Statistiken**: Summe **Dimensionen**: `ClientId` **Frequenz**: 60 Sekunden |
| IndexingOCU | Die Anzahl der OpenSearch Recheneinheiten (OCUs), die für die Erfassung von Erfassungsdaten verwendet werden. Diese Metrik gilt auf Ebene der Erfassungsgruppe. **Relevante Statistiken**: Summe **Dimensionen**: `ClientId`, `CollectionGroupId`, `CollectionGroupName` **Frequenz**: 60 Sekunden |
| IngestionDataRate | Die Indexierungsrate in GB pro Sekunde für eine Sammlung oder einen Index. Diese Metrik gilt nur für Anfragen zur Massenindexierung. **Relevante Statistiken**: Summe **Dimensionen**: `ClientId`, `CollectionId`, `CollectionName`, `IndexId`, `IndexName` **Frequenz**: 60 Sekunden |
| IngestionDocumentErrors | Die Gesamtzahl von Dokumentfehlern während der Erfassung für eine Sammlung oder einen Index. Nach einer erfolgreichen Massenindizierungsanfrage verarbeiten Autoren die Anfrage und geben Fehler für alle fehlgeschlagenen Dokumente innerhalb der Anfrage aus. **Relevante Statistiken**: Summe **Dimensionen**: `ClientId`, `CollectionId`, `CollectionName`, `IndexId`, `IndexName` **Frequenz**: 60 Sekunden |
| IngestionDocumentRate | Die Rate pro Sekunde, mit der Dokumente in eine Sammlung oder einen Index aufgenommen werden. Diese Metrik gilt nur für Anfragen zur Massenindizierung. **Relevante Statistiken**: Summe **Dimensionen**: `ClientId`, `CollectionId`, `CollectionName`, `IndexId`, `IndexName` **Frequenz**: 60 Sekunden |
| IngestionRequestErrors | Die Gesamtzahl der Fehler bei der Massenindizierungsanfrage für eine Sammlung. OpenSearch Serverless gibt diese Metrik aus, wenn eine Massenindizierungsanfrage aus irgendeinem Grund fehlschlägt, z. B. aufgrund eines Authentifizierungs- oder Verfügbarkeitsproblems. **Relevante Statistiken**: Summe **Dimensionen**: `ClientId`, `CollectionId`, `CollectionName` **Frequenz**: 60 Sekunden |
| IngestionRequestLatency | Die Latenz in Sekunden für Massenschreibvorgänge in eine Sammlung. **Relevante Statistiken**: Minimum, Maximum, Durchschnitt **Dimensionen**: `ClientId`, `CollectionId`, `CollectionName` **Frequenz**: 60 Sekunden |
| IngestionRequestRate | Die Gesamtzahl der von einer Sammlung empfangenen Massenschreibvorgänge. **Relevante Statistiken**: Minimum, Maximum, Durchschnitt **Dimensionen**: `ClientId`, `CollectionId`, `CollectionName` **Frequenz**: 60 Sekunden |
| IngestionRequestSuccess | Die Gesamtzahl der erfolgreichen Indizierungsvorgänge einer Sammlung. **Relevante Statistiken**: Summe **Dimensionen**: `ClientId`, `CollectionId`, `CollectionName` **Frequenz**: 60 Sekunden |
| SearchableDocuments | Die Gesamtzahl der durchsuchbaren Dokumente in einer Sammlung oder einem Index. **Relevante Statistiken**: Summe **Dimensionen**: `ClientId`, `CollectionId`, `CollectionName`, `IndexId`, `IndexName` **Frequenz**: 60 Sekunden |
| SearchRequestErrors | Die Gesamtzahl der Abfragefehler pro Minute für eine Sammlung. **Relevante Statistiken**: Summe **Dimensionen**: `ClientId`, `CollectionId`, `CollectionName` **Frequenz**: 60 Sekunden |
| SearchRequestLatency | Die durchschnittliche Zeit in Millisekunden, die zum Abschließen eines Suchvorgangs für eine Sammlung benötigt wird. **Relevante Statistiken**: Minimum, Maximum, Durchschnitt **Dimensionen**: `ClientId`, `CollectionId`, `CollectionName` **Frequenz**: 60 Sekunden |
| SearchOCU | Die Anzahl der OpenSearch Recheneinheiten (OCUs), die für die Suche nach Sammlungsdaten verwendet werden. Diese Metrik gilt auf Kontoebene. Stellt nur die Verwendung für Sammlungen dar, die keiner Sammlungsgruppe angehören. **Relevante Statistiken**: Summe **Dimensionen**: `ClientId` **Frequenz**: 60 Sekunden |
| SearchOCU | Die Anzahl der OpenSearch Recheneinheiten (OCUs), die für die Suche nach Sammlungsdaten verwendet werden. Diese Metrik gilt auf der Ebene der Erfassungsgruppe. **Relevante Statistiken**: Summe **Dimensionen**: `ClientId`, `CollectionGroupId`, `CollectionGroupName` **Frequenz**: 60 Sekunden |
| SearchRequestRate | Die Gesamtzahl der Suchanfragen pro Minute für eine Sammlung. **Relevante Statistiken**: Durchschnitt, Maximum, Summe **Dimensionen**: `ClientId`, `CollectionId`, `CollectionName` **Frequenz**: 60 Sekunden |
| StorageUsedInS3 | Die Menge des verwendeten Amazon S3 S3-Speichers in Byte. OpenSearch Serverless speichert indizierte Daten in Amazon S3. Sie müssen den Zeitraum auf eine Minute wählen, um einen genauen Wert zu erhalten. **Relevante Statistiken**: Summe **Dimensionen**: `ClientId`, `CollectionId`, `CollectionName`, `IndexId`, `IndexName` **Frequenz**: 60 Sekunden |
| VectorIndexBuildAccelerationOCU | Die Anzahl der OpenSearch Recheneinheiten (OCUs), die zur Beschleunigung der Vektorindizierung verwendet werden. Diese Metrik gilt auf Erfassungsebene. **Relevante Statistiken**: Summe **Abmessungen**:`ClientId`, `CollectionId` **Frequenz**: 60 Sekunden |
| 2xx, 3xx, 4xx, 5xx | Die Anzahl der Anforderungen an die Sammlung, die zu dem angegebenen HTTP-Antwortcode (2*xx*, 3*xx*, 4*xx*, 5*xx*) geführt haben. **Relevante Statistiken**: Summe **Dimensionen**: `ClientId`, `CollectionId`, `CollectionName` **Frequenz**: 60 Sekunden |
# Protokollieren von OpenSearch serverlosen API-Aufrufen mit AWS CloudTrail
Amazon OpenSearch Serverless ist in einen Service integriert AWS CloudTrail, der eine Aufzeichnung der Aktionen bereitstellt, die von einem Benutzer, einer Rolle oder einem AWS Service in Serverless ausgeführt wurden.
CloudTrail erfasst alle API-Aufrufe für OpenSearch Serverless als Ereignisse. Zu den erfassten Aufrufen gehören Aufrufe aus dem Serverless-Bereich der OpenSearch Servicekonsole und Code-Aufrufe der OpenSearch Serverless-API-Operationen.
Wenn Sie einen Trail erstellen, können Sie die kontinuierliche Übermittlung von CloudTrail Ereignissen an einen Amazon S3 S3-Bucket aktivieren, einschließlich Ereignissen für OpenSearch Serverless. Wenn Sie keinen Trail konfigurieren, können Sie die neuesten Ereignisse trotzdem in der CloudTrail Konsole im **Ereignisverlauf** anzeigen.
Anhand der von gesammelten Informationen können Sie die Anfrage CloudTrail, die an OpenSearch Serverless gestellt wurde, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details ermitteln.
Weitere Informationen CloudTrail dazu finden Sie im [AWS CloudTrail Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).
## OpenSearch Serverlose Informationen in CloudTrail
CloudTrail ist auf Ihrem aktiviert AWS-Konto , wenn Sie das Konto erstellen. Wenn in OpenSearch Serverless eine Aktivität auftritt, wird diese Aktivität zusammen mit anderen AWS Dienstereignissen im CloudTrail **Ereignisverlauf in einem Ereignis** aufgezeichnet. Sie können aktuelle Ereignisse in Ihrem AWS-Konto anzeigen, suchen und herunterladen. Weitere Informationen finden Sie unter [Ereignisse mit dem CloudTrail Ereignisverlauf anzeigen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Für eine fortlaufende Aufzeichnung der Ereignisse in Ihrem System AWS-Konto, einschließlich der Ereignisse für OpenSearch Serverless, erstellen Sie einen Trail. Ein *Trail* ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Wenn Sie einen Trail in der Konsole anlegen, gilt dieser für alle AWS-Regionen-Regionen.
Der Trail protokolliert Ereignisse aus allen Regionen der AWS Partition und übermittelt die Protokolldateien an den von Ihnen angegebenen Amazon S3 S3-Bucket. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie hier:
+ [Übersicht zum Erstellen eines Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail unterstützte Dienste und Integrationen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [Konfiguration von Amazon SNS SNS-Benachrichtigungen für CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [Empfangen von CloudTrail Protokolldateien aus mehreren Regionen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) und [Empfangen von CloudTrail Protokolldateien von mehreren Konten](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Alle OpenSearch serverlosen Aktionen werden von der [OpenSearch Serverless API-Referenz](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/Welcome.html) protokolliert CloudTrail und sind in dieser dokumentiert. Beispielsweise generieren Aufrufe der `DeleteCollection` Aktionen `CreateCollection``ListCollections`, und Einträge in den CloudTrail Protokolldateien.
Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen helfen Ihnen beim Bestimmen der Folgenden Elemente:
+ Ob die Anfrage mit Root- oder AWS Identity and Access Management (IAM-) Benutzeranmeldedaten gestellt wurde.
+ Gibt an, ob die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen Verbundbenutzer gesendet wurde.
+ Ob die Anfrage von einem anderen AWS Dienst gestellt wurde.
Weitere Informationen finden Sie unter [CloudTrail -Element userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## OpenSearch Serverlose Datenereignisse in CloudTrail
[Datenereignisse](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events) liefern Informationen über die Ressourcenoperationen, die auf oder in einer Ressource ausgeführt werden (z. B. Suchen oder Indexieren in einer OpenSearch serverlosen Sammlung). Sie werden auch als Vorgänge auf Datenebene bezeichnet. Datenereignisse sind oft Aktivitäten mit hohem Volume. Protokolliert standardmäßig CloudTrail keine Datenereignisse. Der CloudTrail **Ereignisverlauf** zeichnet keine Datenereignisse auf.
Für Datenereignisse werden zusätzliche Gebühren fällig. Weitere Informationen zur CloudTrail Preisgestaltung finden Sie unter [AWS CloudTrail Preisgestaltung](https://aws.amazon.com/cloudtrail/pricing/).
Sie können Datenereignisse für die `AWS::AOSS::Collection` Ressourcentypen mithilfe der CloudTrail Konsole oder CloudTrail API-Operationen protokollieren. AWS CLI Weitere Informationen zum Protokollieren von Datenereignissen finden Sie unter [Protokollieren von Datenereignissen mit dem AWS-Managementkonsole](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events-console) und [Protokollieren von Datenereignissen mit dem AWS Command Line Interface](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#creating-data-event-selectors-with-the-AWS-CLI) im *AWS CloudTrail -Benutzerhandbuch*.
Sie können erweiterte Event-Selektoren so konfigurieren, dass sie nach den Feldern `eventName`, `readOnly` und `resources.ARN` filtern, sodass nur die Ereignisse protokolliert werden, die für Sie wichtig sind. Weitere Informationen zu diesen Kontingenten finden Sie unter [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html) in der*AWS CloudTrail -API-Referenz*.
## Grundlegendes zu OpenSearch serverlosen Datenereigniseinträgen
Beachten Sie im folgenden Beispiel Folgendes:
+ Das `requestParameters` Feld enthält Details zum API-Aufruf an die Sammlung. Es enthält den Basisanforderungspfad (ohne Abfrageparameter).
+ Das `responseElements` Feld enthält einen Statuscode, der das Ergebnis Ihrer Anfrage beim Ändern von Ressourcen angibt. Mit diesem Statuscode können Sie nachverfolgen, ob Ihre Änderungen erfolgreich verarbeitet wurden oder ob Ihre Bearbeitung erforderlich ist.
+ OpenSearch Serverless protokolliert CloudTrail Datenereignisse nur für Anfragen, für die die IAM-Authentifizierung erfolgreich abgeschlossen wurde.
**Example**
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA123456789EXAMPLE",
"arn": "arn:aws::sts::111122223333:assumed-role/Admin/user-role",
"accountId": "111122223333",
"accessKeyId": "access-key",
"userName": "",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA123456789EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2025-08-15T22:57:38Z",
"mfaAuthenticated": "false"
},
"sourceIdentity": "",
"ec2RoleDelivery": "",
"assumedRoot": ""
},
"identityProvider": "",
"credentialId": ""
},
"eventTime": "2025-08-15T22:58:00Z",
"eventSource": "aoss.amazonaws.com",
"eventName": "Search",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "python-requests/2.32.3",
"requestParameters": {
"pathPrefix": "/_search"
},
"responseElements": null,
"requestID": "2cfee788-EXAM-PLE1-8617-4018cEXAMPLE",
"eventID": "48d43617-EXAM-PLE1-9d9c-f7EXAMPLE",
"readOnly": true,
"resources": [
{
"type": "AWS::AOSS::Collection",
"ARN": "arn:aws:aoss:us-east-1:111122223333:collection/aab9texampletu45xh77"
}
],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "111122223333",
"eventCategory": "Data"
}
]
}
```
## Grundlegendes zu den Einträgen von OpenSearch Serverless Management Events
Ein Trail ist eine Konfiguration, die die Übertragung von Ereignissen als Protokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket ermöglicht. CloudTrail Protokolldateien enthalten einen oder mehrere Protokolleinträge.
Ein Ereignis stellt eine einzelne Anforderung aus einer beliebigen Quelle dar. Sie enthalten Informationen über die angeforderte Aktion, Datum und Uhrzeit der Aktion, Anforderungsparameter usw. CloudTrail Protokolldateien sind kein geordneter Stack-Trace der öffentlichen API-Aufrufe, sodass sie nicht in einer bestimmten Reihenfolge angezeigt werden.
Im folgenden Beispiel wird ein CloudTrail Protokolleintrag angezeigt, der die `CreateCollection` Aktion demonstriert.
```
{
"eventVersion":"1.08",
"userIdentity":{
"type":"AssumedRole",
"principalId":"AIDACKCEVSQ6C2EXAMPLE",
"arn":"arn:aws:iam::123456789012:user/test-user",
"accountId":"123456789012",
"accessKeyId":"access-key",
"sessionContext":{
"sessionIssuer":{
"type":"Role",
"principalId":"AIDACKCEVSQ6C2EXAMPLE",
"arn":"arn:aws:iam::123456789012:role/Admin",
"accountId":"123456789012",
"userName":"Admin"
},
"webIdFederationData":{
},
"attributes":{
"creationDate":"2022-04-08T14:11:34Z",
"mfaAuthenticated":"false"
}
}
},
"eventTime":"2022-04-08T14:11:49Z",
"eventSource":"aoss.amazonaws.com",
"eventName":"CreateCollection",
"awsRegion":"us-east-1",
"sourceIPAddress":"AWS Internal",
"userAgent":"aws-cli/2.1.30 Python/3.8.8 Linux/5.4.176-103.347.amzn2int.x86_64 exe/x86_64.amzn.2 prompt/off command/aoss.create-collection",
"errorCode":"HttpFailureException",
"errorMessage":"An unknown error occurred",
"requestParameters":{
"accountId":"123456789012",
"name":"test-collection",
"description":"A sample collection",
"clientToken":"d3a227d2-a2a7-49a6-8fb2-e5c8303c0718"
},
"responseElements": null,
"requestID":"12345678-1234-1234-1234-987654321098",
"eventID":"12345678-1234-1234-1234-987654321098",
"readOnly":false,
"eventType":"AwsApiCall",
"managementEvent":true,
"recipientAccountId":"123456789012",
"eventCategory":"Management",
"tlsDetails":{
"clientProvidedHostHeader":"user.aoss-sample.us-east-1.amazonaws.com"
}
}
```
# Überwachung OpenSearch serverloser Ereignisse mit Amazon EventBridge
Amazon OpenSearch Service ist in Amazon integriert EventBridge , um Sie über bestimmte Ereignisse zu informieren, die sich auf Ihre Domains auswirken. Ereignisse von AWS Diensten werden nahezu EventBridge in Echtzeit zugestellt. Dieselben Ereignisse werden auch an [Amazon CloudWatch Events](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatchEvents.html), den Vorgänger von Amazon, gesendet EventBridge. Sie können Regeln schreiben, um anzugeben, welche Ereignisse für Sie von Interesse sind und welche automatisierten Aktionen ergriffen werden sollen, wenn ein Ereignis einer Regel entspricht. Zu den Aktionen, die Sie automatisch aktivieren können, gehören beispielsweise die folgenden:
+ Eine AWS Lambda Funktion aufrufen
+ Aufrufen eines Amazon EC2-Ausführungsbefehls
+ Weiterleiten des Ereignisses an Amazon Kinesis Data Streams
+ Aktivierung einer AWS Step Functions Functions-Zustandsmaschine
+ Benachrichtigen eines Amazon SNS-Themas oder einer Amazon SQS-Warteschlange
Weitere Informationen finden [Sie unter Erste Schritte mit Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html) im * EventBridge Amazon-Benutzerhandbuch*.
## Einrichten von Benachrichtigungen
Sie können [AWS Benutzerbenachrichtigungen](https://docs.aws.amazon.com/notifications/latest/userguide/what-is-service.html) verwenden, um Benachrichtigungen zu erhalten, wenn ein OpenSearch serverloses Ereignis eintritt. Ein Ereignis ist ein Indikator für eine Änderung in der OpenSearch serverlosen Umgebung, z. B. wenn Sie das maximale Limit für Ihre OCU-Nutzung erreicht haben. Amazon EventBridge empfängt das Ereignis und leitet eine Benachrichtigung an das AWS-Managementkonsole Benachrichtigungscenter und die von Ihnen ausgewählten Zustellungskanäle weiter. Sie erhalten eine Benachrichtigung, wenn ein Ereignis einer von Ihnen angegebenen Regel entspricht.
## OpenSearch Ereignisse in Compute Units (OCU)
OpenSearch Serverless sendet Ereignisse, EventBridge wenn eines der folgenden OCU-bezogenen Ereignisse eintritt.
### Die OCU-Nutzung nähert sich der Höchstgrenze
OpenSearch Serverless sendet dieses Ereignis, wenn Ihre OCU-Nutzung für die Suche oder den Index 75% Ihres Kapazitätslimits erreicht. Ihre OCU-Nutzung wird auf der Grundlage Ihres konfigurierten Kapazitätslimits und Ihres aktuellen OCU-Verbrauchs berechnet.
**Beispiel**
Im Folgenden finden Sie ein Beispiel für ein Ereignis dieses Typs (Such-OCU):
```
{
"version": "0",
"id": "01234567-0123-0123-0123-012345678901",
"detail-type": "OCU Utilization Approaching Max Limit",
"source": "aws.aoss",
"account": "123456789012",
"time": "2016-11-01T13:12:22Z",
"region": "us-east-1",
"resources": ["arn:aws:es:us-east-1:123456789012:domain/test-domain"],
"detail": {
"eventTime" : 1678943345789,
"description": "Your search OCU usage is at 75% and is approaching the configured maximum limit."
}
}
```
Das Folgende ist ein Beispielereignis dieses Typs (Index-OCU):
```
{
"version": "0",
"id": "01234567-0123-0123-0123-012345678901",
"detail-type": "OCU Utilization Approaching Max Limit",
"source": "aws.aoss",
"account": "123456789012",
"time": "2016-11-01T13:12:22Z",
"region": "us-east-1",
"resources": ["arn:aws:es:us-east-1:123456789012:domain/test-domain"],
"detail": {
"eventTime" : 1678943345789,
"description": "Your indexing OCU usage is at 75% and is approaching the configured maximum limit."
}
```
### Die OCU-Nutzung hat das maximale Limit erreicht
OpenSearch Serverless sendet dieses Ereignis, wenn Ihre OCU-Nutzung für die Suche oder den Index 100% Ihres Kapazitätslimits erreicht. Ihre OCU-Nutzung wird auf der Grundlage Ihres konfigurierten Kapazitätslimits und Ihres aktuellen OCU-Verbrauchs berechnet.
**Beispiel**
Im Folgenden finden Sie ein Beispiel für ein Ereignis dieses Typs (Such-OCU):
```
{
"version": "0",
"id": "01234567-0123-0123-0123-012345678901",
"detail-type": "OCU Utilization Reached Max Limit",
"source": "aws.aoss",
"account": "123456789012",
"time": "2016-11-01T13:12:22Z",
"region": "us-east-1",
"resources": ["arn:aws:es:us-east-1:123456789012:domain/test-domain"],
"detail": {
"eventTime" : 1678943345789,
"description": "Your search OCU usage has reached the configured maximum limit."
}
}
```
Das Folgende ist ein Beispielereignis dieses Typs (Index-OCU):
```
{
"version": "0",
"id": "01234567-0123-0123-0123-012345678901",
"detail-type": "OCU Utilization Reached Max Limit",
"source": "aws.aoss",
"account": "123456789012",
"time": "2016-11-01T13:12:22Z",
"region": "us-east-1",
"resources": ["arn:aws:es:us-east-1:123456789012:domain/test-domain"],
"detail": {
"eventTime" : 1678943345789,
"description": "Your indexing OCU usage has reached the configured maximum limit."
}
}
```