Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Akses Amazon OpenSearch Tanpa Server menggunakan titik akhir antarmuka ()AWS PrivateLink
Anda dapat menggunakan AWS PrivateLink untuk membuat koneksi pribadi antara Anda VPC dan Amazon Tanpa OpenSearch Server. Anda dapat mengakses OpenSearch Tanpa Server seolah-olah itu ada di AndaVPC, tanpa menggunakan gateway internet, NAT perangkat, VPN koneksi, atau AWS Direct Connect koneksi. Instans di Anda VPC tidak memerlukan alamat IP publik untuk mengakses Tanpa OpenSearch Server. Untuk informasi selengkapnya tentang akses VPC jaringan, lihat Pola konektivitas jaringan untuk Amazon Tanpa OpenSearch Server
Anda membuat koneksi pribadi ini dengan membuat titik akhir antarmuka, yang didukung oleh AWS PrivateLink. Kami membuat antarmuka jaringan endpoint di setiap subnet yang Anda tentukan untuk titik akhir antarmuka. Ini adalah antarmuka jaringan yang dikelola pemohon yang berfungsi sebagai titik masuk untuk lalu lintas yang ditujukan untuk Tanpa Server. OpenSearch
Untuk informasi selengkapnya, lihat Mengakses Layanan AWS melalui AWS PrivateLink di Panduan AWS PrivateLink .
Topik
DNSresolusi titik akhir koleksi
Saat Anda membuat VPC titik akhir, layanan akan membuat zona host Amazon Route 53 pribadi baru dan melampirkannya ke. VPC Zona host pribadi ini terdiri dari catatan untuk menyelesaikan DNS catatan wildcard untuk koleksi OpenSearch Tanpa Server (*.aoss.us-east-1.amazonaws.com) ke alamat antarmuka yang digunakan untuk titik akhir. Anda hanya memerlukan satu VPC titik akhir OpenSearch Tanpa Server di a VPC untuk mengakses setiap dan semua koleksi dan Dasbor di masing-masing. Wilayah AWS Setiap VPC dengan titik akhir untuk OpenSearch Tanpa Server memiliki zona host pribadinya sendiri yang terpasang.
OpenSearch Tanpa server juga membuat DNS catatan wildcard Route 53 publik untuk semua koleksi di Wilayah. DNSNama diselesaikan ke alamat IP publik OpenSearch Tanpa Server. Klien VPCs yang tidak memiliki VPC titik akhir OpenSearch Tanpa Server atau klien di jaringan publik dapat menggunakan resolver Route 53 publik dan mengakses koleksi dan Dasbor dengan alamat IP tersebut. Jenis alamat IP (IPv4,IPv6, atau Dualstack) dari VPC titik akhir ditentukan berdasarkan subnet yang disediakan saat Anda Membuat titik akhir antarmuka untuk Tanpa Server. OpenSearch
catatan
OpenSearch Tanpa server membuat zona host pribadi Amazon Route 53 tambahan `<region>.opensearch.amazonaws.com (`) untuk OpenSearch resolusi domain Layanan. Anda dapat memperbarui IPv4 VPC endpoint yang ada ke Dualstack dengan menggunakan update-vpc-endpointperintah di file. AWS CLI
Alamat DNS resolver untuk yang diberikan VPC adalah alamat IP kedua dari. VPC CIDR Setiap klien yang VPC perlu menggunakan resolver itu untuk mendapatkan alamat VPC titik akhir untuk koleksi apa pun. Penyelesai menggunakan zona host pribadi yang dibuat oleh OpenSearch Tanpa Server. Cukup menggunakan resolver itu untuk semua koleksi di akun apa pun. Dimungkinkan juga untuk menggunakan VPC resolver untuk beberapa titik akhir koleksi dan resolver publik untuk yang lain, meskipun biasanya tidak diperlukan.
VPCsdan kebijakan akses jaringan
Untuk memberikan izin jaringan OpenSearch APIs dan Dasbor untuk koleksi Anda, Anda dapat menggunakan kebijakan akses jaringan OpenSearch Tanpa Server. Anda dapat mengontrol akses jaringan ini baik dari VPC titik akhir Anda atau internet publik. Karena kebijakan jaringan Anda hanya mengontrol izin lalu lintas, Anda juga harus menyiapkan kebijakan akses data yang menentukan izin untuk beroperasi pada data dalam koleksi dan indeksnya. Pikirkan VPC titik akhir OpenSearch Tanpa Server sebagai titik akses ke layanan, kebijakan akses jaringan sebagai titik akses tingkat jaringan ke koleksi dan Dasbor, dan kebijakan akses data sebagai titik akses untuk kontrol akses berbutir halus untuk operasi apa pun pada data dalam pengumpulan.
Karena Anda dapat menentukan beberapa VPC titik akhir IDs dalam kebijakan jaringan, sebaiknya Anda membuat VPC titik akhir untuk setiap VPC yang perlu mengakses koleksi. Ini VPCs dapat dimiliki oleh AWS akun yang berbeda dari akun yang memiliki koleksi OpenSearch Tanpa Server dan kebijakan jaringan. Kami tidak menyarankan Anda membuat VPC-to-VPC peering atau solusi proksi lainnya antara dua akun sehingga satu akun VPC dapat menggunakan titik akhir akun lain. VPC Ini kurang aman dan hemat biaya daripada masing-masing VPC memiliki titik akhir sendiri. Yang pertama tidak VPC akan mudah terlihat oleh admin VPC orang lain, yang telah mengatur akses ke titik akhir VPC itu dalam kebijakan jaringan.
VPCsdan kebijakan endpoint
Amazon OpenSearch Serverless mendukung kebijakan titik akhir untuk. VPCs Kebijakan endpoint adalah kebijakan IAM berbasis sumber daya yang Anda lampirkan ke titik akhir untuk mengontrol AWS prinsipal mana yang dapat menggunakan VPC titik akhir untuk mengakses layanan Anda. AWS Untuk informasi selengkapnya, lihat Mengontrol akses ke VPC titik akhir menggunakan kebijakan titik akhir.
Untuk menggunakan kebijakan endpoint, Anda harus terlebih dahulu membuat endpoint antarmuka. Anda dapat membuat titik akhir antarmuka menggunakan konsol OpenSearch Tanpa Server atau Tanpa Server. OpenSearch API Setelah membuat titik akhir antarmuka, Anda perlu menambahkan kebijakan titik akhir ke titik akhir. Untuk informasi selengkapnya, lihat Mengakses Amazon OpenSearch Tanpa Server menggunakan titik akhir antarmuka ().AWS PrivateLink
catatan
Anda tidak dapat menentukan kebijakan titik akhir secara langsung di konsol OpenSearch Layanan.
Kebijakan endpoint tidak mengesampingkan atau mengganti kebijakan berbasis identitas lainnya, kebijakan berbasis sumber daya, kebijakan jaringan, atau kebijakan akses data yang mungkin telah Anda konfigurasikan. Untuk informasi selengkapnya tentang memperbarui kebijakan titik akhir, lihat Mengontrol akses ke VPC titik akhir menggunakan kebijakan titik akhir.
Secara default, kebijakan titik akhir memberikan akses penuh ke titik akhir AndaVPC.
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } ] }
Meskipun kebijakan VPC titik akhir default memberikan akses titik akhir penuh, Anda dapat mengonfigurasi kebijakan VPC titik akhir untuk mengizinkan akses ke peran dan pengguna tertentu. Untuk melakukan ini, lihat contoh berikut:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "123456789012", "987654321098" ] }, "Action": "*", "Resource": "*" } ] }
Anda dapat menentukan koleksi OpenSearch Tanpa Server yang akan disertakan sebagai elemen bersyarat dalam kebijakan titik akhir AndaVPC. Untuk melakukan ini, lihat contoh berikut:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aoss:collection": [ "coll-abc" ] } } } ] }
Support aoss:CollectionId untuk didukung.
Condition": { "StringEquals": { "aoss:CollectionId": "collection-id" } }
Anda dapat menggunakan SAML identitas dalam kebijakan VPC titik akhir untuk menentukan akses titik VPC akhir. Anda harus menggunakan wildcard (*) di bagian utama kebijakan VPC endpoint Anda. Untuk melakukan ini, lihat contoh berikut:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:SamlGroups": [ "saml/123456789012/idp123/group/football", "saml/123456789012/idp123/group/soccer", "saml/123456789012/idp123/group/cricket" ] } } } ] }
Selain itu, Anda dapat mengonfigurasi kebijakan titik akhir Anda untuk menyertakan kebijakan SAML utama tertentu. Untuk melakukan ini, lihat yang berikut ini:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aoss:SamlPrincipal": [ "saml/123456789012/idp123/user/user1234"] } } } ] }
Untuk informasi selengkapnya tentang menggunakan SAML otentikasi dengan Amazon OpenSearch Tanpa Server, lihat SAMLautentikasi untuk Amazon Tanpa Server. OpenSearch
Anda juga dapat menyertakan IAM dan SAML pengguna dalam kebijakan VPC endpoint yang sama. Untuk melakukan ini, lihat contoh berikut:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aoss:SamlGroups": [ "saml/123456789012/idp123/group/football", "saml/123456789012/idp123/group/soccer", "saml/123456789012/idp123/group/cricket" ] } } }, { "Effect": "Allow", "Principal": { "AWS": [ "123456789012" ] }, "Action": "*", "Resource": "*" } ] }
Pertimbangan
Sebelum Anda menyiapkan titik akhir antarmuka untuk OpenSearch Tanpa Server, pertimbangkan hal berikut:
-
OpenSearch Serverless mendukung membuat panggilan ke semua operasi yang didukung (bukan OpenSearch APIAPIoperasi konfigurasi) melalui titik akhir antarmuka.
-
Setelah Anda membuat titik akhir antarmuka untuk OpenSearch Tanpa Server, Anda masih perlu memasukkannya ke dalam kebijakan akses jaringan agar dapat mengakses koleksi tanpa server.
-
Secara default, akses penuh ke OpenSearch Tanpa Server diizinkan melalui titik akhir antarmuka. Anda dapat mengaitkan grup keamanan dengan antarmuka jaringan titik akhir untuk mengontrol lalu lintas ke OpenSearch Tanpa Server melalui titik akhir antarmuka.
-
Satu Akun AWS dapat memiliki maksimum 50 titik akhir OpenSearch Tanpa ServerVPC.
-
Jika Anda mengaktifkan akses internet publik ke koleksi API atau Dasbor Anda dalam kebijakan jaringan, koleksi Anda dapat diakses oleh siapa pun VPC dan oleh internet publik.
-
Jika Anda berada di lokasi dan di luarVPC, Anda tidak dapat menggunakan DNS resolver untuk resolusi titik akhir Tanpa OpenSearch Server VPC secara langsung. Jika Anda memerlukan VPN akses, VPC diperlukan resolver DNS proxy untuk klien eksternal untuk digunakan. Route 53 menyediakan opsi titik akhir masuk yang dapat Anda gunakan untuk menyelesaikan DNS kueri VPC dari jaringan lokal atau lainnya. VPC
-
Zona host pribadi yang dibuat dan dilampirkan OpenSearch Tanpa Server dikelola oleh layanan, tetapi muncul di Amazon Route 53 sumber daya Anda dan ditagih ke akun Anda. VPC
-
Untuk pertimbangan lain, lihat Pertimbangan dalam Panduan.AWS PrivateLink
Izin diperlukan
VPCakses untuk OpenSearch Tanpa Server menggunakan izin AWS Identity and Access Management (IAM) berikut. Anda dapat menentukan IAM kondisi untuk membatasi pengguna ke koleksi tertentu.
-
aoss:CreateVpcEndpoint— Buat VPC titik akhir. -
aoss:ListVpcEndpoints— Daftar semua VPC titik akhir. -
aoss:BatchGetVpcEndpoint— Lihat detail tentang subset titik VPC akhir. -
aoss:UpdateVpcEndpoint— Memodifikasi VPC titik akhir. -
aoss:DeleteVpcEndpoint— Hapus VPC titik akhir.
Selain itu, Anda memerlukan izin Amazon EC2 dan Route 53 berikut untuk membuat titik VPC akhir.
-
ec2:CreateTags -
ec2:CreateVpcEndpoint -
ec2:DeleteVpcEndPoints -
ec2:DescribeSecurityGroups -
ec2:DescribeSubnets -
ec2:DescribeVpcEndpoints -
ec2:DescribeVpcs -
ec2:ModifyVpcEndPoint -
route53:AssociateVPCWithHostedZone -
route53:ChangeResourceRecordSets -
route53:CreateHostedZone -
route53:DeleteHostedZone -
route53:GetChange -
route53:GetHostedZone -
route53:ListHostedZonesByName -
route53:ListHostedZonesByVPC -
route53:ListResourceRecordSets
Buat titik akhir antarmuka untuk Tanpa Server OpenSearch
Anda dapat membuat titik akhir antarmuka untuk OpenSearch Tanpa Server menggunakan konsol atau Tanpa Server. OpenSearch API
Untuk membuat titik akhir antarmuka untuk koleksi Tanpa OpenSearch Server
-
Buka konsol OpenSearch Layanan Amazon di https://console.aws.amazon.com/aos/rumah
. -
Di panel navigasi kiri, perluas Tanpa Server dan pilih titik akhir. VPC
-
Pilih Buat VPC titik akhir.
-
Berikan nama untuk titik akhir.
-
Untuk VPC, pilih dari VPC mana Anda akan mengakses OpenSearch Tanpa Server.
-
Untuk Subnet, pilih satu subnet yang akan Anda akses tanpa OpenSearch server.
-
Alamat IP dan DNS tipe Endpoint didasarkan pada tipe subnet
-
Dualstack: Jika semua subnet memiliki keduanya IPv4 dan rentang alamat IPv6
-
IPv6: Jika semua subnet IPv6 hanya subnet
-
IPv4: Jika semua subnet memiliki rentang IPv4 alamat
-
-
-
Untuk grup Keamanan, pilih grup keamanan untuk dikaitkan dengan antarmuka jaringan titik akhir. Ini adalah langkah penting di mana Anda membatasi port, protokol, dan sumber untuk lalu lintas masuk yang Anda otorisasi ke titik akhir Anda. Pastikan bahwa aturan grup keamanan memungkinkan sumber daya yang akan menggunakan VPC titik akhir untuk berkomunikasi dengan OpenSearch Tanpa Server untuk berkomunikasi dengan antarmuka jaringan titik akhir.
-
Pilih Buat Titik Akhir.
Untuk membuat VPC endpoint menggunakan OpenSearch ServerlessAPI, gunakan perintah. CreateVpcEndpoint
catatan
Setelah Anda membuat titik akhir, catat ID-nya (misalnya,vpce-050f79086ee71ac05. Untuk memberikan akses titik akhir ke koleksi Anda, Anda harus menyertakan ID ini dalam satu atau beberapa kebijakan akses jaringan.
Langkah selanjutnya: Berikan akses endpoint ke koleksi
Setelah membuat titik akhir antarmuka, Anda harus menyediakannya akses ke koleksi melalui kebijakan akses jaringan. Untuk informasi selengkapnya, lihat Akses jaringan untuk Amazon Tanpa OpenSearch Server.
