Accedi ad Amazon OpenSearch Service utilizzando un VPC endpoint OpenSearch gestito dal servizio ()AWS PrivateLink - OpenSearch Servizio Amazon
ConsiderazioniFornitura dell'accesso a un dominioCrea un endpoint di interfaccia VPCGestione tramite le operazioni del servizio OpenSearch API

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accedi ad Amazon OpenSearch Service utilizzando un VPC endpoint OpenSearch gestito dal servizio ()AWS PrivateLink

Puoi accedere a un dominio Amazon OpenSearch Service configurando un VPC endpoint OpenSearch gestito da Service (fornito da). AWS PrivateLink Questi endpoint creano una connessione privata tra te VPC e Amazon OpenSearch Service. Puoi accedere ai VPC domini del OpenSearch Servizio come se fossero nel tuoVPC, senza l'uso di un gateway, NAT dispositivo, VPN connessione o AWS Direct Connect connessione Internet. Le istanze del tuo VPC non hanno bisogno di indirizzi IP pubblici per accedere OpenSearch al Servizio.

Puoi configurare i domini OpenSearch di servizio per esporre endpoint aggiuntivi in esecuzione su sottoreti pubbliche o private all'interno delle stesseVPC, diverse o diverse. VPC Account AWS Ciò consente di aggiungere un ulteriore livello di sicurezza per accedere ai domini indipendentemente da dove vengono eseguiti, senza alcuna infrastruttura da gestire. Il diagramma seguente illustra OpenSearch gli endpoint gestiti dal servizio all'interno degli stessi: VPC VPC

VPC diagram showing Amazon PrivateLink in public subnet connecting to OpenSearch Service in private subnet.

Questa connessione privata viene stabilita creando un endpoint di interfaccia gestito dal OpenSearch servizio, fornito da. VPC AWS PrivateLink Creiamo un'interfaccia di rete endpoint in ogni sottorete abilitata per l'endpoint di interfaccia. VPC Si tratta di interfacce di rete gestite dal servizio che fungono da punto di ingresso per il traffico destinato al Servizio. OpenSearch I prezzi standard per gli endpoint con AWS PrivateLink interfaccia si applicano agli endpoint gestiti dal servizio fatturati in base a OpenSearch . VPC AWS PrivateLink

Puoi creare VPC endpoint per domini che eseguono tutte le versioni e le versioni precedenti di Elasticsearch. OpenSearch Per ulteriori informazioni, consulta la sezione Accesso a Servizi AWS tramite AWS PrivateLink nella Guida di AWS PrivateLink .

Considerazioni e limitazioni per il servizio OpenSearch

Prima di configurare un VPC endpoint di interfaccia per OpenSearch Service, consulta le considerazioni nella Guida.AWS PrivateLink

Quando utilizzi VPC endpoint OpenSearch gestiti dal servizio, considera quanto segue:

  • Puoi utilizzare solo gli VPC endpoint di interfaccia per connetterti ai domini. VPC I domini pubblici non sono supportati.

  • VPCgli endpoint possono connettersi solo ai domini all'interno degli stessi. Regione AWS

  • HTTPSè l'unico protocollo supportato per VPC gli endpoint. HTTPnon è consentito.

  • OpenSearch Il servizio supporta l'effettuazione di chiamate a tutte le OpenSearch APIoperazioni supportate tramite un VPC endpoint di interfaccia.

  • Puoi configurare un massimo di 50 endpoint per account e un massimo di 10 endpoint per dominio. Un singolo dominio può avere un massimo di 10 principali autorizzati.

  • Al momento non è possibile utilizzarlo AWS CloudFormation per creare VPC endpoint di interfaccia.

  • Puoi creare VPC endpoint di interfaccia solo tramite la console di OpenSearch servizio o utilizzando il OpenSearch Servizio. API Non puoi creare VPC endpoint di interfaccia per OpenSearch Service utilizzando la VPC console Amazon.

  • OpenSearch VPCGli endpoint gestiti dal servizio non sono accessibili da Internet. Un VPC endpoint OpenSearch gestito dal servizio è accessibile solo all'interno del VPC luogo in cui viene fornito l'endpoint o in qualsiasi VPCs punto collegato al luogo in VPC cui viene fornito l'endpoint, come consentito dalle tabelle di routing e dai gruppi di sicurezza.

  • VPCle policy degli endpoint non sono supportate per Service. OpenSearch È possibile associare un gruppo di sicurezza alle interfacce di rete degli endpoint per controllare il traffico verso il OpenSearch Servizio attraverso l'endpoint dell'interfaccia. VPC

  • Il ruolo collegato al servizio deve appartenere allo stesso AWS account utilizzato per creare l'endpoint. VPC

  • Per creare, aggiornare ed eliminare l'VPCendpoint del OpenSearch servizio, devi disporre delle seguenti EC2 autorizzazioni Amazon oltre alle autorizzazioni Amazon OpenSearch Service:

    • ec2:CreateVpcEndpoint

    • ec2:DescribeVpcEndpoints

    • ec2:ModifyVpcEndpoint

    • ec2:DeleteVpcEndpoints

    • ec2:CreateTags

    • ec2:DescribeTags

    • ec2:DescribeSubnets

    • ec2:DescribeSecurityGroups

    • ec2:DescribeVpcs

Nota

Al momento, non puoi limitare la creazione di VPC endpoint a Service. OpenSearch Stiamo lavorando per renderlo possibile in un futuro aggiornamento.

Fornitura dell'accesso a un dominio

Se desideri accedere al tuo dominio si trova in un altro Account AWS, devi autorizzarlo dall'account del proprietario prima di poter creare un VPC endpoint di interfaccia. VPC

Per consentire VPC a un altro utente di accedere Account AWS al tuo dominio

  1. Apri la console Amazon OpenSearch Service a https://console.aws.amazon.com/aos/casa/.

  2. Nel pannello di navigazione, scegli Domains (Domini) e apri il dominio a cui desideri fornire l'accesso.

  3. Vai alla scheda VPCendpoint, che mostra gli account e i corrispondenti VPCs che hanno accesso al tuo dominio.

  4. Scegli Authorize principal (Autorizza principale).

  5. Inserisci l' Account AWS ID dell'account che accederà al tuo dominio. Questo passaggio autorizza l'account specificato a creare VPC endpoint sul dominio.

  6. Seleziona Authorize (Autorizza).

Crea un VPC endpoint di interfaccia per un dominio VPC

È possibile creare un VPC endpoint di interfaccia per OpenSearch Service utilizzando la console OpenSearch di servizio o AWS Command Line Interface ()AWS CLI.

Per creare un VPC endpoint di interfaccia per un dominio di servizio OpenSearch

  1. Apri la console Amazon OpenSearch Service a https://console.aws.amazon.com/aos/casa/.

  2. Nel riquadro di navigazione a sinistra, scegli VPCendpoint.

  3. Seleziona Crea endpoint.

  4. Seleziona se connettere un dominio nell'attuale Account AWS o in un altro Account AWS.

  5. Seleziona il dominio a cui ti connetti con questo endpoint. Se il dominio è nell'attuale Account AWS, usa il menu a discesa per scegliere il dominio. Se il dominio si trova in un account diverso, inserisci l'Amazon Resource Name (ARN) del dominio a cui connetterti. Per scegliere un dominio in un altro account, il proprietario deve fornirti l'accesso al dominio.

  6. Per VPC, seleziona il OpenSearch servizio VPC da cui accederai.

  7. Per Sottoreti, seleziona una o più sottoreti da cui accedere al Servizio. OpenSearch

  8. Per Security groups (Gruppi di sicurezza), seleziona i gruppi di sicurezza da associare alle interfacce di rete dell'endpoint. Si tratta di una fase fondamentale per limitare le porte, i protocolli e le origini per il traffico in ingresso che si sta autorizzando per l'endpoint. Le regole del gruppo di sicurezza devono consentire alle risorse che utilizzeranno l'VPCendpoint di comunicare con il OpenSearch Servizio di comunicare con l'interfaccia di rete dell'endpoint.

  9. Seleziona Crea endpoint. L'endpoint dovrebbe essere attivo entro 2-5 minuti.

Utilizzo degli endpoint OpenSearch gestiti dal servizio utilizzando VPC la configurazione API

Utilizza le seguenti API operazioni per creare e gestire gli endpoint OpenSearch gestiti dal servizioVPC.

Utilizza le seguenti API operazioni per gestire l'accesso degli endpoint ai domini: VPC