Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Acceda a Amazon OpenSearch sin servidor mediante un punto de conexión de la interfaz (AWS PrivateLink)
Puede utilizar AWS PrivateLink para crear una conexión privada entre la VPC y Amazon OpenSearch sin servidor. Puede acceder a OpenSearch sin servidor como si estuviera en su VPC, sin el uso de una puerta de enlace de Internet, un dispositivo NAT, una conexión VPN o una conexión AWS Direct Connect. Las instancias de la VPC no necesitan direcciones IP públicas para acceder a OpenSearch sin servidor.
Esta conexión privada se establece mediante la creación de un punto de conexión de interfaz alimentado por AWS PrivateLink . Creamos una interfaz de red de punto de conexión en cada subred especificada para el punto de conexión de interfaz. Se trata de interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado a OpenSearch sin servidor.
Para obtener más información, consulte Acceso a Servicios de AWS a través de AWS PrivateLink en la Guía de AWS PrivateLink.
Temas
Resolución de DNS de los puntos de conexión de colección
Al crear un punto de conexión de VPC, el servicio crea una nueva zona alojada privada Amazon Route 53 y la adjunta a la VPC. Esta zona alojada privada consta de un registro para resolver el registro DNS comodín de las colecciones de OpenSearch sin servidor (*.aoss.us-east-1.amazonaws.com) en las direcciones de interfaz utilizadas para el punto de conexión. Solo necesita un punto de conexión de VPC de OpenSearch sin servidor en una VPC para acceder a todas y cada una de las colecciones y paneles de control de cada Región de AWS. Cada VPC con un punto de conexión para OpenSearch sin servidor tiene su propia zona alojada privada adjunta.
OpenSearch sin servidor también crea un registro DNS comodín público de Route 53 para todas las colecciones de la región. El nombre DNS se resuelve en las direcciones IP públicas de OpenSearch sin servidor. Los clientes de las VPC que no tienen un punto de conexión de VPC sin servidor de OpenSearch o los clientes de redes públicas pueden usar el resolver público de Route 53 y acceder a las colecciones y los paneles de control con esas direcciones IP. El tipo de dirección IP (IPv4, IPv6 o Dualstack) del punto de conexión de VPC se determina en función de las subredes proporcionadas al crear un punto de conexión de interfaz para OpenSearch sin servidor.
nota
Puede actualizar el punto de conexión de VPC IPv4 existente a Dualstack mediante el comando update-vpc-endpoint de la AWS CLI.
La dirección de resolver de DNS de una VPC determinada es la segunda dirección IP del CIDR de la VPC. Todos los clientes de la VPC deben usar ese resolver para obtener la dirección de punto de conexión de VPC para cualquier colección. El resolver utiliza una zona alojada privada creada por OpenSearch sin servidor. Basta con usar ese resolverr para todas las colecciones de cualquier cuenta. También es posible utilizar el resolver de VPC para algunos puntos de conexión de colección y el resolver público para otros, aunque normalmente no es necesario.
VPC y políticas de acceso a la red
Para conceder permisos de red a las API y los paneles de control de OpenSearch para sus colecciones, puede utilizar las políticas de acceso a la red de OpenSearch sin servidor. Puede controlar este acceso a la red desde sus puntos de conexión de VPC o desde la Internet pública. Como su política de red solo controla los permisos de tráfico, también debe configurar una política de acceso a los datos que especifique los permisos para operar con los datos de una colección y sus índices. Piense en un punto de conexión de VPC de OpenSearch sin servidor como un punto de acceso al servicio, una política de acceso a la red como el punto de acceso a nivel de red a las colecciones y los paneles de control, y una política de acceso a los datos como el punto de acceso para un control de acceso detallado para cualquier operación con los datos de la colección.
Como puede especificar varios ID de punto de conexión de VPC en una política de red, le recomendamos que cree un punto de conexión de VPC para cada VPC que necesite acceder a una colección. Estas VPC pueden pertenecer a cuentas AWS distintas de la cuenta propietaria de la política de red y colección de OpenSearch sin servidor. No recomendamos crear una solución de emparejamiento de VPC a VPC ni ninguna otra solución de proxy entre dos cuentas para que la VPC de una cuenta pueda utilizar el punto de conexión de VPC de otra cuenta. Esto es menos seguro y rentable que cada VPC que tenga su propio punto de conexión. El administrador de la otra VPC, que ha configurado el acceso al punto de conexión de esa VPC en la política de red, no podrá ver fácilmente la primera VPC.
Políticas de punto de conexión y VPC
Amazon OpenSearch sin servidor es compatible con las políticas del punto de conexión para las VPC. Una política de punto de conexión es una política basada en recursos de IAM que se puede asociar a un punto de conexión de VPC para controlar qué entidades principales de AWS pueden utilizar el punto de conexión para acceder a su servicio de AWS. Para obtener más información, consulte Controlar el acceso a puntos de conexión de VPC con políticas de punto de conexión.
Para usar una política de punto de conexión, primero debe crear un punto de conexión de interfaz. Puede crear un punto de conexión de interfaz mediante la consola o la API de OpenSearch sin servidor. Después de crear el punto de conexión de interfaz, tendrá que añadir la política del punto de conexión al punto de conexión. Para obtener más información, consulte Acceder a Amazon OpenSearch sin servidor utilizando un punto de conexión de interfaz (AWS PrivateLink).
nota
No puede definir una política de punto de conexión directamente en la consola de OpenSearch Service.
Una política de punto de conexión no anula ni reemplaza otras políticas basadas en identidades, políticas basadas en recursos, políticas de red o políticas de acceso a datos que haya configurado. Para obtener información sobre cómo actualizar la política de puntos de conexión, consulte Controlar el acceso a puntos de conexión de VPC con políticas de punto de conexión.
De forma predeterminada, una política de punto de conexión concede acceso completo al punto de conexión de VPC.
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } ] }
Si bien la política de puntos de conexión de VPC predeterminada concede acceso total a los puntos de conexión, puede configurar una política de puntos de conexión de VPC para permitir el acceso a roles y usuarios específicos. Para eso, vea el siguiente ejemplo:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "123456789012", "987654321098" ] }, "Action": "*", "Resource": "*" } ] }
Puede especificar una colección de OpenSearch sin servidor para que se incluya como elemento condicional en su política de puntos de conexión de VPC. Para eso, vea el siguiente ejemplo:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:CollectionName": [ "coll-abc" ] } } } ] }
Puede usar las identidades de SAML en la política de puntos de conexión de VPC para determinar el acceso a esos puntos. Debe usar un comodín (*) en la sección de la entidad principal de la política de puntos de conexión de VPC. Para eso, vea el siguiente ejemplo:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:SamlGroups": [ "saml/123456789012/idp123/group/football", "saml/123456789012/idp123/group/soccer", "saml/123456789012/idp123/group/cricket" ] } } } ] }
Además, puede configurar su política de puntos de conexión para que incluya una política de entidad principal de SAML específica. Para eso, vea lo siguiente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:SamlPrincipal": [ "saml/123456789012/idp123/user/user1234"] } } } ] }
Para obtener más información sobre el uso de la autenticación SAML con Amazon OpenSearch sin servidor, consulte Autenticación SAML para Amazon OpenSearch sin servidor.
También puede incluir usuarios de IAM y SAML en la misma política de puntos de conexión de VPC. Para eso, vea el siguiente ejemplo:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:SamlGroups": [ "saml/123456789012/idp123/group/football", "saml/123456789012/idp123/group/soccer", "saml/123456789012/idp123/group/cricket" ] } } }, { "Effect": "Allow", "Principal": { "AWS": [ "123456789012" ] }, "Action": "*", "Resource": "*" } ] }
Consideraciones
Antes de configurar un punto de conexión para OpenSearch sin servidor, tenga en cuenta lo siguiente:
-
OpenSearch sin servidor permite realizar llamadas a todas las operaciones de la API de OpenSearch (no a las operaciones de la API de configuración) a través del punto de conexión de la interfaz.
-
Tras crear un punto de conexión de interfaz para OpenSearch sin servidor, aún tendrá que incluirlo en las políticas de acceso a la red para que pueda acceder a las colecciones sin servidor.
-
De forma predeterminada, se permite el acceso completo OpenSearch sin servidor a través del punto de conexión. Puede asociar un grupo de seguridad a las interfaces de red de los puntos de conexión para controlar el tráfico a OpenSearch sin servidor a través del punto de conexión de interfaz.
-
Una sola Cuenta de AWS puede tener un máximo de 50 puntos de conexión de VPC de OpenSearch sin servidor.
-
Si habilita el acceso público a Internet a la API o los paneles de control de su colección en una política de red, cualquier VPC y la Internet pública pueden acceder a su colección.
-
Si está en las instalaciones y fuera de la VPC, no puede usar directamente un resolver de DNS para la resolución del punto de conexión de VPC de OpenSearch sin servidor. Si necesita acceso a una VPN, la VPC necesita un resolver de proxy de DNS para que lo usen los clientes externos. Route 53 ofrece una opción de punto de conexión de entrada que puede usar para resolver consultas de DNS a su VPC desde su red en las instalaciones u otra VPC.
-
El servicio administra la zona alojada privada que OpenSearch sin servidor crea y adjunta a la VPC, pero aparece en los recursos de Amazon Route 53 y se factura a su cuenta.
-
Para otras consideraciones, consulte Consideraciones en la Guía de AWS PrivateLink.
Permisos necesarios
La autenticación VCC para OpenSearch sin servidor utiliza los siguientes permisos AWS Identity and Access Management (IAM): Puede especificar las condiciones de IAM para restringir a los usuarios a colecciones específicas.
-
aoss:CreateVpcEndpoint: cree un punto de conexión de VPC. -
aoss:ListVpcEndpoints: enumere todos los puntos de conexión de VPC. -
aoss:BatchGetVpcEndpoint: consulte los detalles sobre un subconjunto de puntos de conexión de VPC. -
aoss:UpdateVpcEndpoint: modifique un punto de conexión de VPC. -
aoss:DeleteVpcEndpoint: elimine un punto de conexión de VPC.
Además, necesita los siguientes permisos de Amazon EC2 y Route 53 para crear un punto de conexión de VPC.
-
ec2:CreateTags -
ec2:CreateVpcEndpoint -
ec2:DeleteVpcEndPoints -
ec2:DescribeSecurityGroups -
ec2:DescribeSubnets -
ec2:DescribeVpcEndpoints -
ec2:DescribeVpcs -
ec2:ModifyVpcEndPoint -
route53:AssociateVPCWithHostedZone -
route53:ChangeResourceRecordSets -
route53:CreateHostedZone -
route53:DeleteHostedZone -
route53:GetChange -
route53:GetHostedZone -
route53:ListHostedZonesByName -
route53:ListHostedZonesByVPC -
route53:ListResourceRecordSets
Creación de un punto de conexión de interfaz para OpenSearch sin servidor
Puede crear un punto de conexión de interfaz para OpenSearch sin servidor mediante la consola o la API de OpenSearch sin servidor.
Cómo crear un punto de conexión de interfaz para OpenSearch sin servidor
-
Abra la consola de Amazon OpenSearch Service en https://console.aws.amazon.com/aos/home
. -
En el panel de navegación de la izquierda, expanda Sin servidor y seleccione Puntos de conexión de VPC.
-
Seleccione Crear punto de conexión de VPC.
-
Proporcione un nombre para el punto de conexión.
-
Para VPC, seleccione la VPC desde la que accederá a OpenSearch sin servidor.
-
En Subredes, seleccione la subred desde la que accederá a OpenSearch sin servidor.
-
La dirección IP y el tipo de DNS del punto de conexión se basan en el tipo de subred.
-
Dualstack: si todas las subredes tienen rangos de direcciones IPv4 y IPv6
-
IPv6: si todas las subredes son subredes IPv6
-
IPv4: si todas las subredes tienen rangos de direcciones IPv4
-
-
-
En Grupos de seguridad, seleccione los grupos de seguridad que deban asociarse a las interfaces de red del punto de conexión. Este es un paso fundamental en el que limita los puertos, protocolos y orígenes para el tráfico entrante que autoriza para el punto de conexión. Asegúrese de que las reglas del grupo de seguridad permitan a los recursos que utilizarán los puntos de conexión de VPC comunicarse con OpenSearch sin servidor para, a su vez, comunicarse con la interfaz de la red del punto de conexión.
-
Seleccione Crear punto de conexión.
Para crear un punto de conexión de VPC mediante la API de OpenSearch sin servidor, utilice el comando CreateVpcEndpoint.
nota
Después de crear un punto de conexión, registre su ID (por ejemplo, vpce-050f79086ee71ac05. Para proporcionar el acceso del punto de conexión a sus colecciones, debe incluir este ID en una o más políticas de acceso a la red.
Próximo paso: Otorgar al punto de conexión acceso a la colección
Tras crear un punto de conexión de interfaz, debe proporcionarles acceso a las colecciones mediante políticas de acceso a la red. Para obtener más información, consulte Acceso a la red para Amazon OpenSearch sin servidor.
