Accédez à Amazon OpenSearch Service à l'aide d'un point de VPC terminaison OpenSearch géré par le service ()AWS PrivateLink - Amazon OpenSearch Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Accédez à Amazon OpenSearch Service à l'aide d'un point de VPC terminaison OpenSearch géré par le service ()AWS PrivateLink

Vous pouvez accéder à un domaine Amazon OpenSearch Service en configurant un point de VPC terminaison OpenSearch géré par le Service (alimenté par AWS PrivateLink). Ces points de terminaison créent une connexion privée entre vous VPC et Amazon OpenSearch Service. Vous pouvez accéder aux VPC domaines de OpenSearch service comme s'ils se trouvaient dans le vôtreVPC, sans utiliser de passerelle Internet, d'NATappareil, de VPN connexion ou de AWS Direct Connect connexion. Les instances de votre VPC ordinateur n'ont pas besoin d'adresses IP publiques pour accéder au OpenSearch service.

Vous pouvez configurer les domaines de OpenSearch service pour exposer des points de terminaison supplémentaires s'exécutant sur des sous-réseaux publics ou privés au sein d'un même réseauVPC, d'un réseau différent VPC ou d'un autre. Comptes AWS Cela vous permet d'ajouter une couche de sécurité supplémentaire pour accéder à vos domaines, quel que soit leur emplacement d'exécution, sans aucune infrastructure à gérer. Le schéma suivant illustre les VPC points de terminaison OpenSearch gérés par le service au sein de celui-ci : VPC

VPC diagram showing Amazon PrivateLink in public subnet connecting to OpenSearch Service in private subnet.

Vous établissez cette connexion privée en créant un point de VPCterminaison d' OpenSearch interface géré par le service, alimenté par. AWS PrivateLink Nous créons une interface réseau de point de terminaison dans chaque sous-réseau que vous activez pour le point de VPC terminaison de l'interface. Il s'agit d'interfaces réseau gérées par des services qui servent de point d'entrée pour le trafic destiné OpenSearch au service. La tarification standard des terminaux AWS PrivateLink d'interface s'applique aux VPC points de terminaison OpenSearch gérés par le service facturés en vertu de. AWS PrivateLink

Vous pouvez créer des VPC points de terminaison pour les domaines exécutant toutes les versions d'Elasticsearch OpenSearch et les anciennes versions d'Elasticsearch. Pour plus d’informations, consultez Accès aux Services AWS via AWS PrivateLink dans le Guide AWS PrivateLink .

Considérations et limites relatives au OpenSearch service

Avant de configurer un point de VPC terminaison d'interface pour le OpenSearch service, consultez les considérations du AWS PrivateLink guide.

Lorsque vous utilisez des points de OpenSearch VPC terminaison gérés par le service, tenez compte des points suivants :

  • Vous ne pouvez utiliser que les VPC points de terminaison de l'interface pour vous connecter à des VPCdomaines. Les domaines publics ne sont pas pris en charge.

  • VPCles points de terminaison ne peuvent se connecter qu'à des domaines appartenant à un même Région AWS terminal.

  • HTTPSest le seul protocole pris en charge pour les VPC terminaux. HTTPn'est pas autorisé.

  • OpenSearch Le service permet de passer des appels à toutes les OpenSearch APIopérations prises en charge via un point de VPC terminaison d'interface.

  • Vous pouvez configurer jusqu'à 50 points de terminaison par compte et jusqu'à 10 points de terminaison par domaine. Un seul domaine peut disposer de 10 principaux autorisés au maximum.

  • Vous ne pouvez actuellement pas l'utiliser AWS CloudFormation pour créer des VPC points de terminaison d'interface.

  • Vous ne pouvez créer des VPC points de terminaison d'interface que via la console OpenSearch de service ou à l'aide du OpenSearch service API. Vous ne pouvez pas créer de VPC points de terminaison d'interface pour OpenSearch Service à l'aide de la VPC console Amazon.

  • OpenSearch Les VPC points de terminaison gérés par des services ne sont pas accessibles depuis Internet. Un point de OpenSearch VPC terminaison géré par le service n'est accessible que VPC là où le point de terminaison est approvisionné ou n'importe quel point apparenté VPCs à l'VPCendroit où le point de terminaison est provisionné, comme le permettent les tables de routage et les groupes de sécurité.

  • VPCles politiques relatives aux terminaux ne sont pas prises en charge pour OpenSearch le service. Vous pouvez associer un groupe de sécurité aux interfaces réseau du point de terminaison pour contrôler le trafic vers le OpenSearch service via le point de VPC terminaison de l'interface.

  • Votre rôle lié au service doit figurer dans le même AWS compte que celui que vous avez utilisé pour créer le VPC point de terminaison.

  • Pour créer, mettre à jour et supprimer le point de VPC terminaison du OpenSearch service, vous devez disposer EC2 des autorisations Amazon suivantes en plus de vos autorisations Amazon OpenSearch Service :

    • ec2:CreateVpcEndpoint

    • ec2:DescribeVpcEndpoints

    • ec2:ModifyVpcEndpoint

    • ec2:DeleteVpcEndpoints

    • ec2:CreateTags

    • ec2:DescribeTags

    • ec2:DescribeSubnets

    • ec2:DescribeSecurityGroups

    • ec2:DescribeVpcs

Note

À l'heure actuelle, vous ne pouvez pas limiter la création de points de VPC terminaison à OpenSearch Service. Nous nous efforçons de rendre cela possible dans une future mise à jour.

Fournir un accès à un domaine

Si le domaine VPC auquel vous souhaitez accéder se trouve dans un autre domaine Compte AWS, vous devez l'autoriser depuis le compte du propriétaire avant de pouvoir créer un point de VPC terminaison d'interface.

Pour autoriser un VPC utilisateur Compte AWS à accéder à votre domaine
  1. Ouvrez la console Amazon OpenSearch Service à l'adresse https://console.aws.amazon.com/aos/home/.

  2. Dans le panneau de navigation, choisissez Domains (Domaines), puis ouvrez le domaine vers lequel vous souhaitez fournir un accès.

  3. Accédez à l'onglet VPCEndpoints, qui affiche les comptes et les comptes correspondants VPCs ayant accès à votre domaine.

  4. Choisissez Authorize principal (Autoriser le principal).

  5. Entrez l' Compte AWS identifiant du compte qui accèdera à votre domaine. Cette étape autorise le compte spécifié à créer des VPC points de terminaison pour le domaine.

  6. Choisissez Authorize (Autoriser).

Création d'un point de VPC terminaison d'interface pour un VPC domaine

Vous pouvez créer un point de VPC terminaison d'interface pour OpenSearch Service à l'aide de la console de OpenSearch service ou du AWS Command Line Interface (AWS CLI).

Pour créer un point de VPC terminaison d'interface pour un domaine OpenSearch de service
  1. Ouvrez la console Amazon OpenSearch Service à l'adresse https://console.aws.amazon.com/aos/home/.

  2. Dans le volet de navigation de gauche, sélectionnez les VPCpoints de terminaison.

  3. Choisissez Créer un point de terminaison.

  4. Choisissez de connecter un domaine dans le domaine actuel Compte AWS ou dans un autre Compte AWS.

  5. Sélectionnez le domaine auquel vous vous connectez à l'aide de ce point de terminaison. Si le domaine est dans le domaine actuel Compte AWS, utilisez le menu déroulant pour le choisir. Si le domaine se trouve sur un autre compte, entrez le nom de ressource Amazon (ARN) du domaine auquel vous souhaitez vous connecter. Pour choisir un domaine sur un autre compte, le propriétaire doit vous donner accès au domaine.

  6. Pour VPC, sélectionnez celui VPC à partir duquel vous allez accéder au OpenSearch service.

  7. Pour les sous-réseaux, sélectionnez un ou plusieurs sous-réseaux à partir desquels vous allez accéder au OpenSearch service.

  8. Pour Security groups (Groupes de sécurité), sélectionnez les groupes de sécurité à associer aux interfaces réseau du point de terminaison. Il s'agit d'une étape essentielle au cours de laquelle vous devez limiter les ports, les protocoles et les sources de trafic entrant que vous autorisez dans votre point de terminaison. Les règles du groupe de sécurité doivent autoriser les ressources qui utiliseront le VPC point de terminaison pour communiquer avec le OpenSearch service à communiquer avec l'interface réseau du point de terminaison.

  9. Choisissez Créer un point de terminaison. Le point de terminaison sera actif au bout de deux à cinq minutes.

Utilisation de VPC points de terminaison OpenSearch gérés par le service à l'aide de la configuration API

Utilisez les API opérations suivantes pour créer et gérer des points de terminaison OpenSearch gérés par le ServiceVPC.

Utilisez les API opérations suivantes pour gérer l'accès des terminaux aux VPC domaines :