Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Accédez à Amazon OpenSearch Serverless à l'aide d'un point de terminaison d'interface ()AWS PrivateLink
Vous pouvez l'utiliser AWS PrivateLink pour créer une connexion privée entre vous VPC et Amazon OpenSearch Serverless. Vous pouvez accéder à OpenSearch Serverless comme s'il s'agissait de votre VPC compte, sans passer par une passerelle Internet, un NAT appareil, une VPN connexion ou une AWS Direct Connect connexion. Les instances de votre ordinateur VPC n'ont pas besoin d'adresses IP publiques pour accéder à OpenSearch Serverless. Pour plus d'informations sur l'accès au VPC réseau, consultez Modèles de connectivité réseau pour Amazon OpenSearch Serverless
Vous établissez cette connexion privée en créant un point de terminaison d'interface à technologie AWS PrivateLink. Nous créons une interface réseau du point de terminaison dans chaque sous-réseau que vous spécifiez pour le point de terminaison d'interface. Il s'agit d'interfaces réseau gérées par les demandeurs qui servent de point d'entrée pour le trafic destiné OpenSearch à Serverless.
Pour plus d’informations, consultez Accès aux Services AWS via AWS PrivateLink dans le Guide AWS PrivateLink .
Rubriques
- DNSrésolution des points de terminaison de collecte
- VPCset politiques d'accès au réseau
- VPCset politiques relatives aux terminaux
- Considérations
- Autorisations nécessaires
- Création d'un point de terminaison d'interface pour OpenSearch Serverless
- Étape suivante : octroyer au point de terminaison l'accès à une collection
DNSrésolution des points de terminaison de collecte
Lorsque vous créez un VPC point de terminaison, le service crée une nouvelle zone hébergée Amazon Route 53 privée et l'attache auVPC. Cette zone hébergée privée consiste en un enregistrement permettant de résoudre l'DNSenregistrement générique pour les collections OpenSearch sans serveur (*.aoss.us-east-1.amazonaws.com) aux adresses d'interface utilisées pour le point de terminaison. Vous n'avez besoin que d'un point de VPC terminaison OpenSearch sans serveur VPC pour accéder à toutes les collections et à tous les tableaux de bord de chacune d'elles. Région AWS Chaque point VPC de terminaison pour OpenSearch Serverless possède sa propre zone hébergée privée attachée.
OpenSearch Serverless crée également un DNS enregistrement générique public Route 53 pour toutes les collections de la région. Le DNS nom correspond aux adresses IP publiques OpenSearch sans serveur. Les clients VPCs qui n'ont pas de point de VPC terminaison OpenSearch sans serveur ou les clients des réseaux publics peuvent utiliser le résolveur Route 53 public et accéder aux collections et aux tableaux de bord avec ces adresses IP. Le type d'adresse IP (IPv4IPv6, ou Dualstack) du VPC point de terminaison est déterminé en fonction des sous-réseaux fournis lorsque vous créez un point de terminaison d'interface pour Serverless. OpenSearch
Note
Vous pouvez mettre à jour votre IPv4 VPC point de terminaison existant vers Dualstack en utilisant la update-vpc-endpointcommande du. AWS CLI
L'adresse du DNS résolveur pour une donnée VPC est la deuxième adresse IP du VPCCIDR. Tout client VPC doit utiliser ce résolveur pour obtenir l'adresse du VPC point de terminaison de toute collection. Le résolveur utilise une zone hébergée privée créée par OpenSearch Serverless. Il suffit d'utiliser ce résolveur pour toutes les collections, quel que soit le compte. Il est également possible d'utiliser le VPC résolveur pour certains points de terminaison de collection et le résolveur public pour d'autres, bien que cela ne soit généralement pas nécessaire.
VPCset politiques d'accès au réseau
Pour accorder des autorisations réseau OpenSearch APIs et des tableaux de bord pour vos collections, vous pouvez utiliser des politiques d'accès réseau OpenSearch sans serveur. Vous pouvez contrôler cet accès au réseau depuis vos VPC terminaux ou depuis l'Internet public. Étant donné que votre politique réseau ne contrôle que les autorisations de trafic, vous devez également définir une politique d'accès aux données qui spécifie l'autorisation d'opérer sur les données d'une collection et de ses index. Imaginez un point de VPC terminaison OpenSearch sans serveur comme un point d'accès au service, une politique d'accès réseau comme le point d'accès au niveau du réseau aux collections et aux tableaux de bord, et une politique d'accès aux données comme le point d'accès permettant un contrôle d'accès précis pour toute opération sur les données de la collecte.
Comme vous pouvez spécifier plusieurs VPC points de terminaison IDs dans une politique réseau, nous vous recommandons de créer un VPC point de terminaison pour tous ceux VPC qui ont besoin d'accéder à une collection. Ils VPCs peuvent appartenir à des AWS comptes différents de ceux du compte propriétaire de la collection OpenSearch Serverless et de la politique réseau. Nous vous déconseillons de créer une solution de VPC-to-VPC peering ou autre solution de proxy entre deux comptes afin qu'un compte VPC puisse utiliser le point de terminaison d'un autre compte. VPC Cela est moins sûr et moins rentable que d'VPCavoir chacun son propre point de terminaison. Le premier ne VPC sera pas facilement visible pour l'administrateur VPC de l'autre, qui a configuré l'accès à ce point VPC de terminaison dans la politique réseau.
VPCset politiques relatives aux terminaux
Amazon OpenSearch Serverless prend en charge les politiques relatives aux terminaux pourVPCs. Une politique de point de terminaison est une politique IAM basée sur les ressources que vous attachez à un VPC point de terminaison pour contrôler quels AWS principaux peuvent utiliser le point de terminaison pour accéder à votre service. AWS Pour plus d'informations, consultez Contrôler l'accès aux points de VPC terminaison à l'aide de politiques relatives aux points de terminaison.
Pour utiliser une politique de point de terminaison, vous devez d'abord créer un point de terminaison d'interface. Vous pouvez créer un point de terminaison d'interface à l'aide de la console OpenSearch Serverless ou OpenSearch ServerlessAPI. Après avoir créé le point de terminaison de votre interface, vous devez ajouter la politique du point de terminaison au point de terminaison. Pour plus d'informations, consultez Accéder à Amazon OpenSearch Serverless à l'aide d'un point de terminaison d'interface (AWS PrivateLink).
Note
Vous ne pouvez pas définir une politique de point de terminaison directement dans la console OpenSearch de service.
Une politique de point de terminaison ne remplace ni ne remplace les autres politiques basées sur l'identité, les politiques basées sur les ressources, les politiques réseau ou les politiques d'accès aux données que vous avez éventuellement configurées. Pour plus d'informations sur la mise à jour des politiques relatives aux terminaux, consultez la section Contrôler l'accès aux VPC points de terminaison à l'aide des politiques relatives aux terminaux.
Par défaut, une politique de point de terminaison accorde un accès complet à votre VPC point de terminaison.
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } ] }
Bien que la politique de point de VPC terminaison par défaut accorde un accès complet au point de terminaison, vous pouvez configurer une politique de point de VPC terminaison pour autoriser l'accès à des rôles et à des utilisateurs spécifiques. Pour ce faire, consultez l'exemple suivant :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "123456789012", "987654321098" ] }, "Action": "*", "Resource": "*" } ] }
Vous pouvez spécifier une collection OpenSearch Serverless à inclure en tant qu'élément conditionnel dans votre politique de point de VPC terminaison. Pour ce faire, consultez l'exemple suivant :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aoss:collection": [ "coll-abc" ] } } } ] }
Support pour aoss:CollectionId est pris en charge.
Condition": { "StringEquals": { "aoss:CollectionId": "collection-id" } }
Vous pouvez utiliser les SAML identités dans votre politique relative aux VPC terminaux pour déterminer l'accès aux VPC terminaux. Vous devez utiliser un caractère générique (*) dans la section principale de votre politique de point de VPC terminaison. Pour ce faire, consultez l'exemple suivant :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:SamlGroups": [ "saml/123456789012/idp123/group/football", "saml/123456789012/idp123/group/soccer", "saml/123456789012/idp123/group/cricket" ] } } } ] }
En outre, vous pouvez configurer votre politique de point de terminaison pour inclure une politique SAML principale spécifique. Pour ce faire, consultez les informations suivantes :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aoss:SamlPrincipal": [ "saml/123456789012/idp123/user/user1234"] } } } ] }
Pour plus d'informations sur l'utilisation de l'SAMLauthentification avec Amazon OpenSearch Serverless, consultez SAMLAuthentification pour Amazon OpenSearch Serverless.
Vous pouvez également inclure des SAML utilisateurs IAM et dans la même politique de point de VPC terminaison. Pour ce faire, consultez l'exemple suivant :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aoss:SamlGroups": [ "saml/123456789012/idp123/group/football", "saml/123456789012/idp123/group/soccer", "saml/123456789012/idp123/group/cricket" ] } } }, { "Effect": "Allow", "Principal": { "AWS": [ "123456789012" ] }, "Action": "*", "Resource": "*" } ] }
Considérations
Avant de configurer un point de terminaison d'interface pour OpenSearch Serverless, tenez compte des points suivants :
-
OpenSearch Serverless permet d'appeler toutes les OpenSearch APIopérations prises en charge (et non les opérations de configurationAPI) via le point de terminaison de l'interface.
-
Après avoir créé un point de terminaison d'interface pour OpenSearch Serverless, vous devez toujours l'inclure dans les politiques d'accès au réseau afin qu'il puisse accéder aux collections sans serveur.
-
Par défaut, l'accès complet à OpenSearch Serverless est autorisé via le point de terminaison de l'interface. Vous pouvez associer un groupe de sécurité aux interfaces réseau du point de terminaison pour contrôler le trafic vers OpenSearch Serverless via le point de terminaison de l'interface.
-
Un seul Compte AWS peut avoir un maximum de 50 points de VPC terminaison OpenSearch sans serveur.
-
Si vous activez l'accès public à Internet à votre collection API ou à vos tableaux de bord dans le cadre d'une politique réseau, votre collection est accessible par tout le monde VPC et par le biais de l'Internet public.
-
Si vous êtes sur site et en dehors duVPC, vous ne pouvez pas utiliser directement de DNS résolveur pour la résolution des points de VPC terminaison OpenSearch sans serveur. Si vous avez besoin d'un VPN accès, vous avez VPC besoin d'un résolveur DNS proxy que les clients externes peuvent utiliser. Route 53 fournit une option de point de terminaison entrant que vous pouvez utiliser pour résoudre les DNS requêtes qui vous sont adressées VPC depuis votre réseau local ou un autre. VPC
-
La zone hébergée privée que OpenSearch Serverless crée et à laquelle elle VPC est attachée est gérée par le service, mais elle apparaît dans vos Amazon Route 53 ressources et est facturée à votre compte.
-
Pour d'autres considérations, veuillez consulter les Considérations dans le Guide AWS PrivateLink .
Autorisations nécessaires
VPCl'accès pour OpenSearch Serverless utilise les autorisations suivantes AWS Identity and Access Management (IAM). Vous pouvez définir IAM des conditions pour restreindre les utilisateurs à des collections spécifiques.
-
aoss:CreateVpcEndpoint— Créez un VPC point de terminaison. -
aoss:ListVpcEndpoints— Répertorie tous les VPC points de terminaison. -
aoss:BatchGetVpcEndpoint— Consultez les détails d'un sous-ensemble de points de VPC terminaison. -
aoss:UpdateVpcEndpoint— Modifiez un VPC point de terminaison. -
aoss:DeleteVpcEndpoint— Supprime un VPC point de terminaison.
En outre, vous avez besoin des autorisations Amazon EC2 et Route 53 suivantes pour créer un VPC point de terminaison.
-
ec2:CreateTags -
ec2:CreateVpcEndpoint -
ec2:DeleteVpcEndPoints -
ec2:DescribeSecurityGroups -
ec2:DescribeSubnets -
ec2:DescribeVpcEndpoints -
ec2:DescribeVpcs -
ec2:ModifyVpcEndPoint -
route53:AssociateVPCWithHostedZone -
route53:ChangeResourceRecordSets -
route53:CreateHostedZone -
route53:DeleteHostedZone -
route53:GetChange -
route53:GetHostedZone -
route53:ListHostedZonesByName -
route53:ListHostedZonesByVPC -
route53:ListResourceRecordSets
Création d'un point de terminaison d'interface pour OpenSearch Serverless
Vous pouvez créer un point de terminaison d'interface pour OpenSearch Serverless à l'aide de la console ou du OpenSearch ServerlessAPI.
Pour créer un point de terminaison d'interface pour une OpenSearch collection sans serveur
-
Ouvrez la console Amazon OpenSearch Service à la https://console.aws.amazon.com/aos/maison
. -
Dans le volet de navigation de gauche, développez Serverless et choisissez VPCendpoints.
-
Choisissez Create VPC endpoint.
-
Saisissez un nom pour le point de terminaison.
-
Pour VPC, sélectionnez VPC celui à partir duquel vous allez accéder OpenSearch sans serveur.
-
Pour les sous-réseaux, sélectionnez un sous-réseau à partir duquel vous accéderez OpenSearch sans serveur.
-
L'adresse IP et le DNS type du point de terminaison sont basés sur le type de sous-réseau
-
Dualstack : si tous les sous-réseaux ont à la fois IPv4 des plages d'adresses IPv6
-
IPv6: si tous les sous-réseaux IPv6 ne sont que des sous-réseaux
-
IPv4: si tous les sous-réseaux ont des plages d'IPv4adresses
-
-
-
Pour Security groups (Groupes de sécurité), sélectionnez les groupes de sécurité à associer aux interfaces réseau du point de terminaison. Il s'agit d'une étape essentielle dans le cadre de laquelle vous devez limiter les ports, les protocoles et les sources de trafic entrant que vous autorisez dans votre point de terminaison. Assurez-vous que les règles du groupe de sécurité autorisent les ressources qui utiliseront le point de VPC terminaison pour communiquer avec OpenSearch Serverless à communiquer avec l'interface réseau du point de terminaison.
-
Choisissez Créer un point de terminaison.
Pour créer un VPC point de terminaison à l'aide du OpenSearch ServerlessAPI, utilisez la CreateVpcEndpoint commande.
Note
Après avoir créé un point de terminaison, prenez note de son ID (par exemple, vpce-050f79086ee71ac05). Afin de fournir au point de terminaison un accès à vos collections, vous devez inclure cet ID dans une ou plusieurs stratégies d'accès réseau.
Étape suivante : octroyer au point de terminaison l'accès à une collection
Après avoir créé un point de terminaison d'interface, vous devez lui donner accès aux collections par le biais de stratégies d'accès réseau. Pour de plus amples informations, veuillez consulter Accès au réseau pour Amazon OpenSearch Serverless.
