必要なアクセス許可ステップ 1: パイプラインロールを作成するステップ 2: コレクションを作成するステップ 3: パイプラインを作成するステップ 4: サンプルデータを取り込む関連リソース

チュートリアル: Amazon OpenSearch Ingestion を使用してデータをコレクションに取り込む

このチュートリアルでは、Amazon OpenSearch Ingestion を使用してシンプルなパイプラインを設定し、Amazon OpenSearch Serverless コレクションにデータを取り込む方法を示します。パイプラインは、OpenSearch Ingestion がプロビジョニングおよび管理するリソースです。パイプラインを使用すると、OpenSearch Service におけるダウンストリームの分析とビジュアライゼーションのために、データのフィルタリング、強化、変換、正規化、集計を行うことができます。

プロビジョニングされた OpenSearch Service ドメインにデータを取り込む方法を示すチュートリアルについては、「チュートリアル: Amazon OpenSearch Ingestion を使用してドメインにデータを取り込む」を参照してください。

このチュートリアルでは、次の手順を実行します。

パイプラインロールを作成する
コレクションを作成します。
パイプラインを作成する
サンプルデータを取り込む

このチュートリアルでは、次のリソースを作成します。

ingestion-pipeline-serverless という名前のパイプライン
パイプラインの書き込み先となる、ingestion-collection という名前のコレクション
パイプラインがコレクションに書き込むために引き受ける、PipelineRole という名前の IAM ロール

必要なアクセス許可

このチュートリアルを完了するには、適切な IAM のアクセス許可を持っている必要があります。ユーザーまたはロールには、次の最低限の許可を含む ID ベースのポリシーが、アタッチされている必要があります。これらの許可により、パイプラインロールの作成 (iam:Create*)、コレクションの作成または変更 (aoss:*)、パイプラインの使用 (osis:*) が可能になります。

さらに、パイプラインロールリソースには iam:PassRole 許可が必要です。このアクセス許可により、パイプラインロールを OpenSearch Ingestion に渡してコレクションにデータを書き込むことができます。


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Resource":"*",
         "Action":[
            "osis:*",
            "iam:Create*",
            "aoss:*"
         ]
      },
      {
         "Resource":[
            "arn:aws:iam::your-account-id:role/PipelineRole"
         ],
         "Effect":"Allow",
         "Action":[
            "iam:PassRole"
         ]
      }
   ]
}

ステップ 1: パイプラインロールを作成する

まず、OpenSearch Serverless コレクションのシンクにアクセスするために、パイプラインが引き受けるロールを作成します。これは、このチュートリアルの後半でパイプライン設定に含めます。

パイプラインロールを作成するには

https://console.aws.amazon.com/iamv2/ で AWS Identity and Access Management コンソールを開きます。
[ポリシー] を選択してから、[ポリシーを作成] を選択します。

[JSON] を選択し、次のポリシーをエディタに貼り付けます。それに応じてコレクション ARN と名前を変更します。


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "aoss:BatchGetCollection",
        "aoss:APIAccessAll"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:aoss:us-east-1:your-account-id:collection/collection-id"
    },
    {
      "Action": [
        "aoss:CreateSecurityPolicy",
        "aoss:GetSecurityPolicy",
        "aoss:UpdateSecurityPolicy"
      ],
      "Effect": "Allow",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aoss:collection": "collection-name"
        }
      }
    }
  ]
}

[次へ]、[次へ] の順にクリックし、ポリシーに collection-pipeline-policy という名前を付けます。
[Create policy] を選択します。
次に、ポリシーを作成してロールにアタッチします。[ロール]、[ロールの作成] の順に選択します。

[カスタム信頼ポリシー] をクリックし、次のポリシーをエディタに貼り付けます。


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"osis-pipelines.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

[Next] を選択します。その後、collection-pipeline-policy (先ほど作成したもの) を検索して選択します。
[次へ] をクリックし、ロールに [PipelineRole] という名前を付けます。
[ロールの作成] を選択します。

ロールの Amazon リソースネーム (ARN) (例: arn:aws:iam::your-account-id:role/PipelineRole) を覚えておいてください。これは、パイプラインを作成するときに必要です。

ステップ 2: コレクションを作成する

次に、データを取り込むコレクションを作成します。コレクションに ingestion-collection という名前を付けます。

Amazon OpenSearch Service コンソール (https://console.aws.amazon.com/aos/home) に移動します。
左側のナビゲーションペインで [コレクション] をクリックし、次に [コレクションを作成] をクリックします。
コレクションに [ingestion-collection] という名前を付けます。
[セキュリティ]で、[標準作成] を選択します。
[ネットワークアクセスの設定] で、アクセスタイプを [パブリック] に変更します。
他のすべての設定をデフォルトのままにして、[Next] (次へ) を選択します。
次に、コレクション用のデータアクセスポリシーを設定します。[定義方法] で [JSON] をクリックし、エディタに以下のポリシーを貼り付けます。このポリシーは次の 2 つを実行します。
- パイプラインロールがコレクションに書き込むことを許可します。
- コレクションから読み取ることを許可します。そして、いくつかのサンプルデータをパイプラインに取り込んだ後、コレクションにクエリを実行し、データが正常に取り込まれてインデックスに書き込まれたことを確認します。
```
[
  {
    "Rules": [
      {
        "Resource": [
          "index/ingestion-collection/*"
        ],
        "Permission": [
          "aoss:CreateIndex",
          "aoss:UpdateIndex",
          "aoss:DescribeIndex",
          "aoss:ReadDocument",
          "aoss:WriteDocument"
        ],
        "ResourceType": "index"
      }
    ],
    "Principal": [
      "arn:aws:iam::your-account-id:role/PipelineRole",
      "arn:aws:iam::your-account-id:role/Admin"
    ],
    "Description": "Rule 1"
  }
]
```
Principal エレメントを置き換えます。最初のプリンシパルでは、作成したパイプラインロールを指定する必要があります。2 つ目のプリンシパルでは、後でコレクションをクエリするために使用できるユーザーまたはロールを指定する必要があります。
[Next] を選択します。アクセスポリシーに [pipeline-domain-access] という名前を付け、再度 [次へ] を選択します。
コレクション設定を確認してから、[Submit] (送信) を選択します。

コレクションがアクティブになったら、[エンドポイント] にある OpenSearch エンドポイント (例: https://{collection-id}.us-east-1.aoss.amazonaws.com) をメモします。これは、パイプラインを作成するときに必要です。

ステップ 3: パイプラインを作成する

コレクションと適切なアクセス許可を持つロールを作成できたので、パイプラインを作成できます。

パイプラインを作成するには

Amazon OpenSearch Service コンソールで、左側のナビゲーションペインから [パイプライン] をクリックします。
パイプラインの作成 を選択します。
空のパイプラインを選択し、[ブループリントを選択] を選択します。
パイプラインに serverless-ingestion という名前を付け、キャパシティ設定はデフォルトのままにします。

このチュートリアルでは、log-pipeline というシンプルなサブパイプラインを作成し、HTTP ソースプラグインを使用します。プラグインは、JSON 配列形式のログデータを受け入れます。1 つの OpenSearch Serverless コレクションをシンクとして指定し、すべてのデータを my_logs インデックスに取り込みます。

[パイプライン設定] で、次の YAML 設定をエディタに貼り付けます。


version: "2"
log-pipeline:
  source:
    http:
      path: "/${pipelineName}/test_ingestion_path"
  processor:
    - date:
        from_time_received: true
        destination: "@timestamp"
  sink:
    - opensearch:
        hosts: [ "https://collection-id.us-east-1.aoss.amazonaws.com" ]
        index: "my_logs"
        aws:
          sts_role_arn: "arn:aws:iam::your-account-id:role/PipelineRole"
          region: "us-east-1"
          serverless: true

hosts URL を、前のセクションで作成したコレクションのエンドポイントに置き換えます。sts_role_arn パラメータを PipelineRole の ARN に置き換えます。必要に応じて region を変更します。
[パイプラインを検証] をクリックし、検証が成功したことを確認します。
このチュートリアルでは、わかりやすいようにパイプラインにパブリックアクセスを設定します。[ネットワーク] で [パブリックアクセス] を選択します。

VPC アクセスの設定の詳細については、「Amazon OpenSearch Ingestion パイプラインの VPC アクセスの設定」を参照してください。
このチュートリアルを完了する間に問題が発生した場合に備えて、ログ発行を有効にしておきます。詳細については、「パイプラインのログのモニタリング」を参照してください。

ロググループ名を次のように指定します: /aws/vendedlogs/OpenSearchIngestion/serverless-ingestion/audit-logs
[Next] を選択します。パイプライン設定を確認し、[パイプラインの作成] をクリックします。パイプラインがアクティブになるまでに 5～10 分かかります。

ステップ 4: サンプルデータを取り込む

パイプラインのステータスが Active になると、パイプラインへのデータの取り込みを開始できます。Signature Version 4 を使用して、パイプラインへのすべての HTTP リクエストに署名する必要があります。Postman や awscurl などの HTTP ツールを使用して、パイプラインにデータを送信します。データのインデックス作成をコレクションに直接行う場合と同様に、パイプラインにデータを取り込むには、常に IAM ロールまたは IAM アクセスキーとシークレットキーのいずれかが必要です。

注記

リクエストに署名するプリンシパルは、osis:Ingest という IAM アクセス許可を持っている必要があります。

まず、[パイプライン設定] ページから取り込み URL を取得します。

Pipeline settings page showing ingestion URL for an active ingestion pipeline.

次に、いくつかのサンプルデータを取り込みます。次のサンプルリクエストでは、awscurl を使用して 1 つのログファイルを my_logs インデックスに送信します。


awscurl --service osis --region us-east-1 \
    -X POST \
    -H "Content-Type: application/json" \
    -d '[{"time":"2014-08-11T11:40:13+00:00","remote_addr":"122.226.223.69","status":"404","request":"GET http://www.k2proxy.com//hello.html HTTP/1.1","http_user_agent":"Mozilla/4.0 (compatible; WOW64; SLCC2;)"}]' \
    https://pipeline-endpoint.us-east-1.osis.amazonaws.com/log-pipeline/test_ingestion_path

200 OK というレスポンスが確認できるはずです。

次に、my_logs インデックスにクエリを実行して、ログエントリが正常に取り込まれたことを確認します。


awscurl --service aoss --region us-east-1 \
     -X GET \
     https://collection-id.us-east-1.aoss.amazonaws.com/my_logs/_search | json_pp

レスポンス例:


{
   "took":348,
   "timed_out":false,
   "_shards":{
      "total":0,
      "successful":0,
      "skipped":0,
      "failed":0
   },
   "hits":{
      "total":{
         "value":1,
         "relation":"eq"
      },
      "max_score":1.0,
      "hits":[
         {
            "_index":"my_logs",
            "_id":"1%3A0%3ARJgDvIcBTy5m12xrKE-y",
            "_score":1.0,
            "_source":{
               "time":"2014-08-11T11:40:13+00:00",
               "remote_addr":"122.226.223.69",
               "status":"404",
               "request":"GET http://www.k2proxy.com//hello.html HTTP/1.1",
               "http_user_agent":"Mozilla/4.0 (compatible; WOW64; SLCC2;)",
               "@timestamp":"2023-04-26T05:22:16.204Z"
            }
         }
      ]
   }
}