인터페이스 엔드포인트 ()AWS PrivateLink를 사용하여 Amazon OpenSearch 서버리스에 액세스 - Amazon OpenSearch Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

인터페이스 엔드포인트 ()AWS PrivateLink를 사용하여 Amazon OpenSearch 서버리스에 액세스

를 AWS PrivateLink 사용하여 VPC와 Amazon OpenSearch 서버리스 간에 프라이빗 연결을 생성할 수 있습니다. 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 연결을 사용하지 않고도 VPC에 있는 것처럼 OpenSearch 서버리스에 액세스할 수 있습니다. AWS Direct Connect VPC의 인스턴스는 서버리스에 액세스하는 OpenSearch 데 퍼블릭 IP 주소가 필요하지 않습니다.

AWS PrivateLink에서 제공되는 인터페이스 엔드포인트를 생성하여 이 프라이빗 연결을 설정합니다. 인터페이스 엔드포인트에 대해 지정하는 각 서브넷에 엔드포인트 네트워크 인터페이스를 생성합니다. 이는 서버리스로 향하는 트래픽의 진입점 역할을 하는 요청자 관리 네트워크 인터페이스입니다. OpenSearch

자세한 내용은AWS PrivateLink 가이드의 AWS PrivateLink를 통해 AWS 서비스 에 액세스를 참조하세요.

수집 엔드포인트의 DNS 해결

VPC 엔드포인트를 생성하면 서비스가 새 Amazon Route 53 프라이빗 호스팅 영역을 생성하여 VPC에 연결합니다. 이 프라이빗 호스팅 영역은 OpenSearch 서버리스 컬렉션 (*.aoss.us-east-1.amazonaws.com) 에 대한 와일드카드 DNS 레코드를 엔드포인트에 사용되는 인터페이스 주소로 확인하기 위한 레코드로 구성됩니다. VPC에 OpenSearch 서버리스 VPC 엔드포인트가 하나만 있으면 각 컬렉션과 대시보드에 있는 모든 컬렉션과 대시보드에 액세스할 수 있습니다. AWS 리전 OpenSearch 서버리스용 엔드포인트가 있는 모든 VPC에는 자체 프라이빗 호스팅 영역이 연결되어 있습니다.

OpenSearch 또한 서버리스는 해당 지역의 모든 컬렉션에 대해 퍼블릭 Route 53 와일드카드 DNS 레코드를 생성합니다. DNS 이름은 OpenSearch 서버리스 퍼블릭 IP 주소로 확인됩니다. OpenSearch 서버리스 VPC 엔드포인트가 없는 VPC의 클라이언트 또는 공용 네트워크의 클라이언트는 퍼블릭 Route 53 리졸버를 사용하고 해당 IP 주소로 컬렉션 및 대시보드에 액세스할 수 있습니다. VPC 엔드포인트의 IP 주소 유형 (IPv4, IPv6 또는 이중 스택) 은 서버리스용 인터페이스 엔드포인트를 생성할 때 제공된 서브넷을 기반으로 결정됩니다. OpenSearch

참고

의 명령을 사용하여 기존 IPv4 VPC 엔드포인트를 Dualstack으로 업데이트할 수 있습니다. update-vpc-endpoint AWS CLI

특정 VPC의 DNS 해석기 주소는 VPC CIDR의 두 번째 IP 주소입니다. VPC의 모든 클라이언트는 해당 해석기를 사용하여 모든 컬렉션의 VPC 엔드포인트 주소를 가져와야 합니다. 리졸버는 서버리스에서 생성한 프라이빗 호스팅 영역을 사용합니다. OpenSearch 어떤 계정에서든 모든 컬렉션에 이 해석기를 사용하면 충분합니다. 일반적으로 필요하지는 않지만 일부 컬렉션 엔드포인트에는 VPC 해석기를 사용하고 다른 콜렉션 엔드포인트에는 퍼블릭 해석기를 사용할 수도 있습니다.

VPC 및 네트워크 액세스 정책

컬렉션의 OpenSearch API 및 대시보드에 네트워크 권한을 부여하려면 서버리스 네트워크 액세스 정책을 사용할 OpenSearch 수 있습니다. VPC 엔드포인트 또는 공용 인터넷에서 이 네트워크 액세스를 제어할 수 있습니다. 네트워크 정책은 트래픽 권한만 제어하므로 컬렉션 및 해당 인덱스의 데이터에 대한 운영 권한을 지정하는 데이터 액세스 정책도 설정해야 합니다. OpenSearch 서버리스 VPC 엔드포인트를 서비스에 대한 액세스 포인트로, 네트워크 액세스 정책을 컬렉션 및 대시보드에 대한 네트워크 수준의 액세스 포인트로, 데이터 액세스 정책을 컬렉션의 데이터에 대한 모든 작업에 대한 세밀한 액세스 제어를 위한 액세스 포인트로 생각하십시오.

네트워크 정책에서 여러 VPC 엔드포인트 ID를 지정할 수 있으므로 컬렉션에 액세스해야 하는 모든 VPC에 대해 VPC 엔드포인트를 만드는 것이 좋습니다. 이러한 VPC는 서버리스 컬렉션 및 네트워크 정책을 소유한 AWS 계정과는 다른 계정에 속할 수 있습니다. OpenSearch 한 계정의 VPC가 다른 계정의 VPC 엔드포인트를 사용할 수 있도록 두 계정 간에 VPC-VPC 피어링 또는 기타 프록시 솔루션을 생성하지 않는 것이 좋습니다. 이는 자체 엔드포인트가 있는 각 VPC보다 보안 및 비용 효율성이 떨어집니다. 네트워크 정책에서 해당 VPC의 엔드포인트에 대한 액세스 권한을 설정한 다른 VPC의 관리자는 첫 번째 VPC를 쉽게 볼 수 없습니다.

VPC 및 엔드포인트 정책

Amazon OpenSearch 서버리스는 VPC에 대한 엔드포인트 정책을 지원합니다. 엔드포인트 정책은 VPC 엔드포인트에 연결하여 엔드포인트를 사용하여 서비스에 액세스할 수 있는 AWS 보안 주체를 제어하는 IAM 리소스 기반 정책입니다. AWS 자세한 정보는 엔드포인트 정책을 사용하여 VPC 엔드포인트에 대한 액세스 제어를 참조하세요.

엔드포인트 정책을 사용하려면 먼저 인터페이스 엔드포인트를 생성해야 합니다. 서버리스 콘솔 또는 OpenSearch 서버리스 API를 사용하여 인터페이스 엔드포인트를 생성할 수 있습니다. OpenSearch 인터페이스 엔드포인트를 생성한 후에는 엔드포인트에 엔드포인트 정책을 추가해야 합니다. 자세한 내용은 인터페이스 엔드포인트 (AWS PrivateLink) 를 사용한 Amazon OpenSearch Serverless에 액세스를 참조하십시오.

참고

OpenSearch 서비스 콘솔에서 직접 엔드포인트 정책을 정의할 수는 없습니다.

엔드포인트 정책은 사용자가 구성한 다른 자격 증명 기반 정책, 리소스 기반 정책, 네트워크 정책 또는 데이터 액세스 정책을 재정의하거나 대체하지 않습니다. 엔드포인트 정책 업데이트에 대한 자세한 내용은 엔드포인트 정책을 사용하여 VPC 엔드포인트에 대한 액세스 제어를 참조하세요.

기본적으로 엔드포인트 정책은 VPC 엔드포인트에 대한 전체 액세스 권한을 부여합니다.

{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } ] }

기본 VPC 엔드포인트 정책이 전체 엔드포인트 액세스 권한을 부여하지만 특정 역할 및 사용자에게만 액세스를 허용하도록 VPC 엔드포인트 정책을 구성할 수도 있습니다. 이렇게 하려면 다음 예제를 참조하세요.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "123456789012", "987654321098" ] }, "Action": "*", "Resource": "*" } ] }

VPC 엔드포인트 정책에 조건부 요소로 포함할 OpenSearch 서버리스 컬렉션을 지정할 수 있습니다. 이렇게 하려면 다음 예제를 참조하세요.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:CollectionName": [ "coll-abc" ] } } } ] }

VPC 엔드포인트 정책의 SAML 자격 증명을 사용하여 VPC 엔드포인트 액세스를 결정할 수 있습니다. VPC 엔드포인트 정책의 보안 주체 섹션에서 (*) 와일드카드를 사용해야 합니다. 이렇게 하려면 다음 예제를 참조하세요.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:SamlGroups": [ "saml/123456789012/idp123/group/football", "saml/123456789012/idp123/group/soccer", "saml/123456789012/idp123/group/cricket" ] } } } ] }

또한 특정 SAML 보안 주체 정책을 포함하도록 엔드포인트 정책을 구성할 수 있습니다. 이렇게 하려면 다음을 참조하세요.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:SamlPrincipal": [ "saml/123456789012/idp123/user/user1234"] } } } ] }

Amazon 서버리스에서 SAML 인증을 사용하는 방법에 대한 자세한 내용은 Amazon OpenSearch 서버리스의 SAML 인증을 참조하십시오. OpenSearch

한 VPC 엔드포인트 정책에 IAM 사용자와 SAML 사용자를 모두 포함할 수 있습니다. 이렇게 하려면 다음 예제를 참조하세요.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:SamlGroups": [ "saml/123456789012/idp123/group/football", "saml/123456789012/idp123/group/soccer", "saml/123456789012/idp123/group/cricket" ] } } }, { "Effect": "Allow", "Principal": { "AWS": [ "123456789012" ] }, "Action": "*", "Resource": "*" } ] }

고려 사항

OpenSearch 서버리스용 인터페이스 엔드포인트를 설정하기 전에 다음 사항을 고려하십시오.

  • OpenSearch 서버리스는 인터페이스 엔드포인트를 통해 지원되는 모든 OpenSearch API 작업 (구성 API 작업 제외) 에 대한 호출을 지원합니다.

  • OpenSearch 서버리스용 인터페이스 엔드포인트를 생성한 후에도 이를 네트워크 액세스 정책에 포함해야 서버리스 컬렉션에 액세스할 수 있습니다.

  • 기본적으로 인터페이스 엔드포인트를 통해 OpenSearch 서버리스에 대한 전체 액세스가 허용됩니다. 보안 그룹을 엔드포인트 네트워크 인터페이스와 연결하여 인터페이스 엔드포인트를 통해 OpenSearch 서버리스로 들어오는 트래픽을 제어할 수 있습니다.

  • 단일 하나에 최대 50개의 OpenSearch 서버리스 VPC 엔드포인트를 가질 AWS 계정 수 있습니다.

  • 네트워크 정책에서 컬렉션의 API 또는 Dashboards에 대한 공용 인터넷 액세스를 활성화하면 모든 VPC와 공용 인터넷을 통해 컬렉션에 액세스할 수 있습니다.

  • 온프레미스로 VPC 외부에 있는 경우 OpenSearch 서버리스 VPC 엔드포인트 확인을 위한 DNS 확인자를 직접 사용할 수 없습니다. VPN 액세스가 필요한 경우 VPC에 외부 클라이언트가 사용할 DNS 프록시 해석기가 필요합니다. Route 53은 온프레미스 네트워크나 다른 VPC에서 사용자의 VPC로 DNS 쿼리를 보낼 때 사용할 수 있는 인바운드 엔드포인트 옵션을 제공합니다.

  • OpenSearch Serverless가 생성하여 VPC에 연결하는 프라이빗 호스팅 영역은 서비스에서 관리하지만 Amazon Route 53 리소스에 표시되고 계정에 요금이 청구됩니다.

  • 기타 고려 사항은 AWS PrivateLink 가이드의 고려 사항을 참조하세요.

필요한 권한

OpenSearch 서버리스용 VPC 액세스는 다음 AWS Identity and Access Management (IAM) 권한을 사용합니다. 사용자를 특정 컬렉션으로 제한하도록 IAM 조건을 지정할 수 있습니다.

  • aoss:CreateVpcEndpoint – VPC 엔드포인트를 생성합니다.

  • aoss:ListVpcEndpoints – 모든 VPC 엔드포인트를 나열합니다.

  • aoss:BatchGetVpcEndpoint – VPC 엔드포인트의 하위 집합에 대한 세부 정보를 봅니다.

  • aoss:UpdateVpcEndpoint – VPC 엔드포인트를 수정합니다.

  • aoss:DeleteVpcEndpoint – VPC 엔드포인트를 삭제합니다.

또한 VPC 엔드포인트를 생성하려면 다음과 같은 Amazon EC2 및 Route 53 권한이 필요합니다.

  • ec2:CreateTags

  • ec2:CreateVpcEndpoint

  • ec2:DeleteVpcEndPoints

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeVpcs

  • ec2:ModifyVpcEndPoint

  • route53:AssociateVPCWithHostedZone

  • route53:ChangeResourceRecordSets

  • route53:CreateHostedZone

  • route53:DeleteHostedZone

  • route53:GetChange

  • route53:GetHostedZone

  • route53:ListHostedZonesByName

  • route53:ListHostedZonesByVPC

  • route53:ListResourceRecordSets

서버리스용 인터페이스 엔드포인트 생성 OpenSearch

콘솔 또는 OpenSearch 서버리스 API를 사용하여 서버리스용 인터페이스 엔드포인트를 생성할 수 있습니다. OpenSearch

서버리스 컬렉션을 위한 인터페이스 엔드포인트를 만들려면 OpenSearch
  1. https://console.aws.amazon.com/aos/home 에서 아마존 OpenSearch 서비스 콘솔을 엽니다.

  2. 왼쪽 탐색 창에서 Serverless(서버리스)를 확장하고 VPC endpoints(VPC 엔드포인트)를 선택합니다.

  3. Create VPC endpoint(VPC 엔드포인트 생성)를 선택합니다.

  4. 엔드포인트의 이름을 입력합니다.

  5. VPC의 경우 서버리스에 액세스할 VPC를 선택합니다. OpenSearch

  6. 서브넷의 경우 서버리스에 액세스할 서브넷 하나를 선택합니다. OpenSearch

    • 엔드포인트의 IP 주소 및 DNS 유형은 서브넷 유형을 기반으로 합니다.

      • 이중 스택: 모든 서브넷에 IPv4 및 IPv6 주소 범위가 모두 있는 경우

      • IPv6: 모든 서브넷이 IPv6 전용 서브넷인 경우

      • IPv4: 모든 서브넷에 IPv4 주소 범위가 있는 경우

  7. Security group(보안 그룹)의 경우 엔드포인트 네트워크 인터페이스에 연결할 보안 그룹을 선택합니다. 이것은 엔드포인트로 승인하는 인바운드 트래픽의 포트, 프로토콜, 소스를 제한하는 중요한 단계입니다. 보안 그룹 규칙이 VPC 엔드포인트를 사용하여 OpenSearch 서버리스와 통신할 리소스가 엔드포인트 네트워크 인터페이스와 통신하도록 허용하는지 확인하십시오.

  8. Create endpoint(엔드포인트 생성)을 선택합니다.

OpenSearch 서버리스 API를 사용하여 VPC 엔드포인트를 만들려면 명령을 사용합니다. CreateVpcEndpoint

참고

엔드포인트를 생성한 후에는 해당 ID를 기록해 둡니다(예: vpce-050f79086ee71ac05). 컬렉션에 대한 엔드포인트 액세스를 제공하려면 하나 이상의 네트워크 액세스 정책에 이 ID를 포함해야 합니다.

다음 단계: 컬렉션에 엔드포인트 액세스 권한 부여

인터페이스 엔드포인트를 생성한 후에는 네트워크 액세스 정책을 통해 컬렉션에 대한 액세스를 제공해야 합니다. 자세한 내용은 Amazon OpenSearch 서버리스를 위한 네트워크 액세스을(를) 참조하세요.