Accedi ad Amazon OpenSearch Service utilizzando un endpoint OpenSearch VPC gestito da Service ()AWS PrivateLink - OpenSearch Servizio Amazon
ConsiderazioniFornitura dell'accesso a un dominioCreazione di un endpoint VPC dell'interfacciaGestione tramite le operazioni dell'API di servizio OpenSearch

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accedi ad Amazon OpenSearch Service utilizzando un endpoint OpenSearch VPC gestito da Service ()AWS PrivateLink

Puoi accedere a un dominio Amazon OpenSearch Service configurando un endpoint OpenSearch VPC gestito dal servizio (fornito da). AWS PrivateLinkQuesti endpoint creano una connessione privata tra il tuo VPC e Amazon OpenSearch Service. Puoi accedere ai domini OpenSearch Service VPC come se fossero nel tuo VPC, senza l'uso di un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. AWS Direct Connect Le istanze nel tuo VPC non necessitano di indirizzi IP pubblici per accedere al OpenSearch servizio.

Puoi configurare i domini OpenSearch di servizio per esporre endpoint aggiuntivi in esecuzione su sottoreti pubbliche o private all'interno dello stesso VPC, VPC diverso o diverso. Account AWSCiò consente di aggiungere un ulteriore livello di sicurezza per accedere ai domini indipendentemente da dove vengono eseguiti, senza alcuna infrastruttura da gestire. Il diagramma seguente illustra gli endpoint VPC OpenSearch gestiti dal servizio all'interno dello stesso VPC:

Si stabilisce questa connessione privata creando un endpoint VPC OpenSearch con interfaccia gestita dal servizio, alimentato da. AWS PrivateLinkIn ciascuna sottorete viene creata un'interfaccia di rete endpoint da abilitare per l'endpoint VPC dell'interfaccia. Si tratta di interfacce di rete gestite dal servizio che fungono da punto di ingresso per il traffico destinato al Servizio. OpenSearch I prezzi degli endpoint conAWS PrivateLink interfaccia standard si applicano agli endpoint VPC OpenSearch gestiti dal servizio fatturati a un prezzo inferiore. AWS PrivateLink

Puoi creare endpoint VPC per domini che eseguono tutte le versioni precedenti di OpenSearch Elasticsearch. Per ulteriori informazioni, consulta la sezione Accesso a Servizi AWS tramite AWS PrivateLink nella Guida diAWS PrivateLink .

Considerazioni e limitazioni per il servizio OpenSearch

Prima di configurare un endpoint VPC di interfaccia per il OpenSearch servizio, consulta le considerazioni nella Guida.AWS PrivateLink

Quando utilizzi gli endpoint OpenSearch VPC gestiti dal servizio, considera quanto segue:

  • È possibile utilizzare solo gli endpoint VPC dell'interfaccia per connettersi ai domini VPC. I domini pubblici non sono supportati.

  • Gli endpoint VPC possono connettersi solo ai domini all'interno della stessa Regione AWS.

  • HTTPS è l'unico protocollo supportato per gli endpoint VPC. HTTP non è consentito.

  • OpenSearch Il servizio supporta l'effettuazione di chiamate a tutte le operazioni OpenSearch API supportate tramite un endpoint VPC di interfaccia.

  • Puoi configurare un massimo di 50 endpoint per account e un massimo di 10 endpoint per dominio. Un singolo dominio può avere un massimo di 10 principali autorizzati.

  • Al momento non è possibile utilizzare AWS CloudFormation per creare endpoint VPC di interfaccia.

  • È possibile creare endpoint VPC di interfaccia solo tramite la console di OpenSearch servizio o utilizzando l'OpenSearch API di servizio. Non puoi creare endpoint VPC di interfaccia per OpenSearch Service utilizzando la console Amazon VPC.

  • OpenSearch Gli endpoint VPC gestiti dal servizio non sono accessibili da Internet. Un endpoint OpenSearch VPC gestito dai servizi è accessibile solo all'interno del VPC in cui viene fornito l'endpoint o di qualsiasi VPC collegato al VPC in cui viene fornito l'endpoint, come consentito dalle tabelle di routing e dai gruppi di sicurezza.

  • Le policy degli endpoint VPC non sono supportate per Service. OpenSearch È possibile associare un gruppo di sicurezza alle interfacce di rete degli endpoint per controllare il traffico verso il OpenSearch servizio tramite l'interfaccia VPC endpoint.

  • Il tuo ruolo collegato al servizio deve trovarsi nello stesso AWS account che usi per creare l'endpoint VPC.

  • Per creare, aggiornare ed eliminare l'endpoint OpenSearch Service VPC, devi disporre delle seguenti autorizzazioni Amazon EC2 oltre alle autorizzazioni Amazon Service: OpenSearch

    • ec2:CreateVpcEndpoint

    • ec2:DescribeVpcEndpoints

    • ec2:ModifyVpcEndpoint

    • ec2:DeleteVpcEndpoints

    • ec2:CreateTags

    • ec2:DescribeTags

    • ec2:DescribeSubnets

    • ec2:DescribeSecurityGroups

    • ec2:DescribeVpcs

Nota

Al momento, non puoi limitare la creazione di endpoint VPC a Service. OpenSearch Stiamo lavorando per renderlo possibile in un futuro aggiornamento.

Fornitura dell'accesso a un dominio

Se il VPC a cui desideri accedere al tuo dominio si trova in un altro Account AWS, devi autorizzarlo dall'account del proprietario prima di poter creare un endpoint VPC di interfaccia.

Per consentire a un VPC di un altro di accedere Account AWS al tuo dominio

  1. Apri la console Amazon OpenSearch Service all'indirizzo https://console.aws.amazon.com/aos/home/.

  2. Nel pannello di navigazione, scegli Domains (Domini) e apri il dominio a cui desideri fornire l'accesso.

  3. Vai alla scheda Endpoint VPC, che mostra gli account e i VPC corrispondenti che hanno accesso al dominio.

  4. Scegli Authorize principal (Autorizza principale).

  5. Inserisci l' Account AWS ID dell'account che accederà al tuo dominio. In questa fase autorizzi l'account specificato a creare endpoint VPC sul dominio.

  6. Seleziona Authorize (Autorizza).

Creazione di un endpoint VPC dell'interfaccia per un dominio VPC

È possibile creare un endpoint VPC di interfaccia per OpenSearch Service utilizzando la console di OpenSearch servizio o (). AWS Command Line Interface AWS CLI

Per creare un endpoint VPC di interfaccia per un dominio di servizio OpenSearch

  1. Apri la console Amazon OpenSearch Service all'indirizzo https://console.aws.amazon.com/aos/home/.

  2. Nel pannello di navigazione a sinistra, scegli Endpoint VPC.

  3. Seleziona Crea endpoint.

  4. Seleziona se connettere un dominio nell'attuale Account AWS o in un altro Account AWS.

  5. Seleziona il dominio a cui ti connetti con questo endpoint. Se il dominio è nell'attuale Account AWS, usa il menu a discesa per scegliere il dominio. Se il dominio si trova in un altro account, immetti il nome della risorsa Amazon (ARN) del dominio a cui connettersi. Per scegliere un dominio in un altro account, il proprietario deve fornirti l'accesso al dominio.

  6. Per VPC, seleziona il VPC da cui accederai a Service. OpenSearch

  7. Per le sottoreti, seleziona una o più sottoreti da cui accedere al servizio. OpenSearch

  8. Per Security groups (Gruppi di sicurezza), seleziona i gruppi di sicurezza da associare alle interfacce di rete dell'endpoint. Si tratta di una fase fondamentale per limitare le porte, i protocolli e le origini per il traffico in ingresso che si sta autorizzando per l'endpoint. Le regole del gruppo di sicurezza devono consentire alle risorse che utilizzeranno l'endpoint VPC di comunicare con il OpenSearch Servizio di comunicare con l'interfaccia di rete dell'endpoint.

  9. Seleziona Crea endpoint. L'endpoint dovrebbe essere attivo entro 2-5 minuti.

Utilizzo degli endpoint OpenSearch VPC gestiti dal servizio utilizzando l'API di configurazione

Utilizza le seguenti operazioni API per creare e gestire endpoint OpenSearch VPC gestiti dal servizio.

Utilizza le seguenti operazioni API per gestire l'accesso degli endpoint ai domini VPC: