Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Acceda a Amazon OpenSearch Serverless mediante un punto final de interfaz ()AWS PrivateLink
Puede usarlo AWS PrivateLink para crear una conexión privada entre Amazon OpenSearch Serverless VPC y usted. Puede acceder a OpenSearch Serverless como si estuviera en su casaVPC, sin el uso de una pasarela de Internet, NAT dispositivo, VPN conexión o AWS Direct Connect conexión. Las instancias VPC que tengas no necesitan direcciones IP públicas para acceder a OpenSearch Serverless. Para obtener más información sobre el acceso a la VPC red, consulte Patrones de conectividad de red para Amazon OpenSearch Serverless
Esta conexión privada se establece mediante la creación de un punto de conexión de interfaz alimentado por AWS PrivateLink. Creamos una interfaz de red de punto de conexión en cada subred especificada para el punto de conexión de interfaz. Se trata de interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado a Serverless. OpenSearch
Para obtener más información, consulte Acceso a los Servicios de AWS a través de AWS PrivateLink en la Guía de AWS PrivateLink .
Temas
DNSresolución de los puntos finales de la recopilación
Al crear un VPC punto final, el servicio crea una nueva zona alojada Amazon Route 53 privada y la adjunta a. VPC Esta zona alojada privada consta de un registro para resolver el DNS registro comodín de las colecciones OpenSearch sin servidor (*.aoss.us-east-1.amazonaws.com) en las direcciones de interfaz utilizadas para el punto final. Solo necesita un VPC punto final OpenSearch sin servidor en cada uno VPC para acceder a todas y cada una de las colecciones y paneles de control de cada uno. Región de AWS Todos los que VPC tengan un punto final para OpenSearch Serverless tienen su propia zona alojada privada adjunta.
OpenSearch Serverless también crea un DNS registro comodín público de Route 53 para todas las colecciones de la región. El DNS nombre corresponde a las direcciones IP públicas de OpenSearch Serverless. Los clientes VPCs que no tengan un VPC terminal OpenSearch sin servidor o los clientes de redes públicas pueden usar el solucionador público de Route 53 y acceder a las colecciones y los paneles con esas direcciones IP. El tipo de dirección IP (IPv4o Dualstack) del VPC punto final se determina en función de las subredes proporcionadas al crear un punto final de interfaz para Serverless. IPv6 OpenSearch
nota
OpenSearch Serverless crea una zona alojada privada `<region>.opensearch.amazonaws.com (`) de Amazon Route 53 adicional para OpenSearch una resolución de dominio de servicio. Puede actualizar su IPv4 VPC punto de conexión existente a Dualstack mediante el comando de. update-vpc-endpoint AWS CLI
La DNS dirección de resolución de un determinado número VPC es la segunda dirección IP del. VPC CIDR Cualquier cliente que se encuentre en el sistema VPC necesita usar esa resolución para obtener la dirección de VPC punto final de cualquier colección. El solucionador utiliza una zona alojada privada creada por OpenSearch Serverless. Basta con usar ese resolverr para todas las colecciones de cualquier cuenta. También es posible utilizar el VPC solucionador para algunos puntos finales de la colección y el solucionador público para otros, aunque normalmente no es necesario.
VPCsy políticas de acceso a la red
Para conceder permisos de red OpenSearch APIs y paneles de control a sus colecciones, puede utilizar las políticas de acceso a la red OpenSearch sin servidor. Puede controlar este acceso a la red desde sus VPC terminales o desde la Internet pública. Como su política de red solo controla los permisos de tráfico, también debe configurar una política de acceso a los datos que especifique los permisos para operar con los datos de una colección y sus índices. Piense en un VPC terminal OpenSearch sin servidor como un punto de acceso al servicio, en una política de acceso a la red como el punto de acceso a nivel de red a las colecciones y los paneles, y en una política de acceso a los datos como el punto de acceso para un control de acceso detallado para cualquier operación con los datos de la recopilación.
Como puede especificar varios VPC terminales IDs en una política de red, le recomendamos que cree un VPC punto final para cada VPC terminal que necesite acceder a una colección. VPCsPueden pertenecer a AWS cuentas distintas de la cuenta propietaria de la política de red y colección OpenSearch Serverless. No te recomendamos que crees una solución de interconexión VPC-to-VPC o proxy entre dos cuentas para que la de una de ellas VPC pueda usar el punto de conexión de otra cuenta. VPC Esto es menos seguro y rentable que VPC tener cada uno su propio punto de conexión. El primero no VPC será fácilmente visible para el administrador VPC del otro, que ha configurado el acceso a ese VPC punto final en la política de red.
VPCsy políticas de puntos finales
Amazon OpenSearch Serverless admite políticas de puntos finales paraVPCs. Una política de puntos finales es una política IAM basada en recursos que se adjunta a un VPC punto final para controlar qué entidades AWS principales pueden utilizar el punto final para acceder a su servicio. AWS Para obtener más información, consulte Controlar el acceso a los puntos finales mediante políticas de VPC puntos finales.
Para usar una política de punto de conexión, primero debe crear un punto de conexión de interfaz. Puede crear un punto final de interfaz mediante la consola OpenSearch Serverless o Serverless. OpenSearch API Después de crear el punto de conexión de interfaz, tendrá que añadir la política del punto de conexión al punto de conexión. Para obtener más información, consulte Acceder a Amazon OpenSearch Serverless mediante un punto final de interfaz (AWS PrivateLink).
nota
No puede definir una política de puntos finales directamente en la consola de OpenSearch servicio.
Una política de punto de conexión no anula ni reemplaza otras políticas basadas en identidades, políticas basadas en recursos, políticas de red o políticas de acceso a datos que haya configurado. Para obtener más información sobre la actualización de las políticas de puntos finales, consulte Controlar el acceso a los VPC puntos finales mediante políticas de puntos finales.
De forma predeterminada, una política de puntos finales otorga acceso total a su VPC punto final.
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } ] }
Si bien la política VPC de puntos finales predeterminada otorga acceso total a los puntos finales, puede configurar una VPC política de puntos finales para permitir el acceso a funciones y usuarios específicos. Para eso, vea el siguiente ejemplo:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "123456789012", "987654321098" ] }, "Action": "*", "Resource": "*" } ] }
Puede especificar una colección OpenSearch sin servidor para incluirla como elemento condicional en su política de VPC puntos finales. Para eso, vea el siguiente ejemplo:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aoss:collection": [ "coll-abc" ] } } } ] }
Se admite aoss:CollectionId el soporte para.
Condition": { "StringEquals": { "aoss:CollectionId": "collection-id" } }
Puede usar SAML las identidades en su política de VPC puntos finales para determinar el acceso a los VPC puntos finales. Debe usar un comodín (*) en la sección principal de su política de VPC puntos finales. Para eso, vea el siguiente ejemplo:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:SamlGroups": [ "saml/123456789012/idp123/group/football", "saml/123456789012/idp123/group/soccer", "saml/123456789012/idp123/group/cricket" ] } } } ] }
Además, puede configurar su política de puntos finales para que incluya una política SAML principal específica. Para eso, vea lo siguiente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aoss:SamlPrincipal": [ "saml/123456789012/idp123/user/user1234"] } } } ] }
Para obtener más información sobre el uso de la SAML autenticación con Amazon OpenSearch Serverless, consulte SAMLAutenticación para Amazon OpenSearch Serverless.
También puede incluir SAML usuarios en IAM la misma política de VPC puntos finales. Para eso, vea el siguiente ejemplo:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aoss:SamlGroups": [ "saml/123456789012/idp123/group/football", "saml/123456789012/idp123/group/soccer", "saml/123456789012/idp123/group/cricket" ] } } }, { "Effect": "Allow", "Principal": { "AWS": [ "123456789012" ] }, "Action": "*", "Resource": "*" } ] }
Consideraciones
Antes de configurar un punto final de interfaz para OpenSearch Serverless, tenga en cuenta lo siguiente:
-
OpenSearch Serverless permite realizar llamadas a todas las OpenSearch APIoperaciones compatibles (no a las operaciones de configuraciónAPI) a través del punto final de la interfaz.
-
Después de crear un punto final de interfaz para OpenSearch Serverless, aún debe incluirlo en las políticas de acceso a la red para que pueda acceder a las colecciones sin servidor.
-
De forma predeterminada, se permite el acceso total a OpenSearch Serverless a través del punto final de la interfaz. Puede asociar un grupo de seguridad a las interfaces de red de los puntos finales para controlar el tráfico a OpenSearch Serverless a través del punto final de la interfaz.
-
Una sola unidad Cuenta de AWS puede tener un máximo de 50 puntos finales OpenSearch sin servidorVPC.
-
Si habilita el acceso público a Internet a su colección API o a sus paneles de control en una política de red, podrá acceder a su colección desde cualquier lugar VPC de Internet público.
-
Si estás en las instalaciones y fuera de ellasVPC, no puedes usar una DNS resolución directamente para la resolución de VPC terminales OpenSearch sin servidor. Si necesitas VPN acceso, VPC necesitas un solucionador DNS proxy para que lo usen los clientes externos. Route 53 proporciona una opción de punto final de entrada que puede utilizar para resolver DNS las consultas que se le envíen VPC desde su red local o desde otra red. VPC
-
El servicio administra la zona alojada privada que OpenSearch Serverless crea y a la que VPC se conecta, pero aparece en sus Amazon Route 53 recursos y se factura a su cuenta.
-
Para otras consideraciones, consulte Consideraciones en la Guía de AWS PrivateLink .
Permisos necesarios
VPCel acceso a OpenSearch Serverless utiliza los siguientes AWS Identity and Access Management () permisos. IAM Puede especificar IAM condiciones para restringir a los usuarios a colecciones específicas.
-
aoss:CreateVpcEndpoint— Crear un VPC punto final. -
aoss:ListVpcEndpoints— Listar todos los VPC puntos finales. -
aoss:BatchGetVpcEndpoint— Consulte los detalles sobre un subconjunto de VPC puntos finales. -
aoss:UpdateVpcEndpoint— Modificar un punto finalVPC. -
aoss:DeleteVpcEndpoint— Eliminar un VPC punto final.
Además, necesita los siguientes permisos de Amazon EC2 y Route 53 para crear un VPC punto final.
-
ec2:CreateTags -
ec2:CreateVpcEndpoint -
ec2:DeleteVpcEndPoints -
ec2:DescribeSecurityGroups -
ec2:DescribeSubnets -
ec2:DescribeVpcEndpoints -
ec2:DescribeVpcs -
ec2:ModifyVpcEndPoint -
route53:AssociateVPCWithHostedZone -
route53:ChangeResourceRecordSets -
route53:CreateHostedZone -
route53:DeleteHostedZone -
route53:GetChange -
route53:GetHostedZone -
route53:ListHostedZonesByName -
route53:ListHostedZonesByVPC -
route53:ListResourceRecordSets
Cree un punto final de interfaz para OpenSearch Serverless
Puede crear un punto final de interfaz para OpenSearch Serverless mediante la consola o Serverless. OpenSearch API
Para crear un punto final de interfaz para una colección sin servidor OpenSearch
-
Abre la consola OpenSearch de Amazon Service en https://console.aws.amazon.com/aos/casa
. -
En el panel de navegación izquierdo, expande Serverless y selecciona puntos de conexión VPC.
-
Seleccione Crear punto final VPC.
-
Proporcione un nombre para el punto de conexión.
-
Seleccione VPCel lugar desde el VPC que accederá a OpenSearch Serverless.
-
En el caso de las subredes, selecciona una subred desde la que accederás a OpenSearch Serverless.
-
La dirección IP y el tipo del punto final se basan en el DNS tipo de subred
-
Dualstack: si todas las subredes tienen ambos rangos de direcciones IPv4 IPv6
-
IPv6: Si todas las subredes son solo subredes IPv6
-
IPv4: Si todas las subredes tienen rangos de direcciones IPv4
-
-
-
En Grupos de seguridad, seleccione los grupos de seguridad que deban asociarse a las interfaces de red del punto de conexión. Este es un paso fundamental en el que limita los puertos, protocolos y orígenes para el tráfico entrante que autoriza para el punto de conexión. Asegúrese de que las reglas del grupo de seguridad permitan que los recursos que utilizarán el VPC punto final para comunicarse con OpenSearch Serverless se comuniquen con la interfaz de red del punto final.
-
Elija Crear punto de conexión.
Para crear un VPC punto final con OpenSearch ServerlessAPI, utilice el CreateVpcEndpoint comando.
nota
Después de crear un punto de conexión, registre su ID (por ejemplo, vpce-050f79086ee71ac05. Para proporcionar el acceso del punto de conexión a sus colecciones, debe incluir este ID en una o más políticas de acceso a la red.
Próximo paso: Otorgar al punto de conexión acceso a la colección
Tras crear un punto de conexión de interfaz, debe proporcionarles acceso a las colecciones mediante políticas de acceso a la red. Para obtener más información, consulte Acceso a la red para Amazon OpenSearch sin servidor.
