기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
인터페이스 엔드포인트(AWS PrivateLink)를 사용하여 Amazon OpenSearch Serverless에 액세스
AWS PrivateLink를 사용하여 VPC와 Amazon OpenSearch Serverless 간에 프라이빗 연결을 생성할 수 있습니다. 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 AWS Direct Connect 연결을 사용하지 않고 VPC에 있는 것처럼 OpenSearch Serverless에 액세스할 수 있습니다. VPC의 인스턴스는 OpenSearch Serverless에 액세스하기 위해 퍼블릭 IP 주소가 필요하지 않습니다.
AWS PrivateLink에서 제공되는 인터페이스 엔드포인트를 생성하여 이 프라이빗 연결을 설정합니다. 인터페이스 엔드포인트에 대해 지정하는 각 서브넷에 엔드포인트 네트워크 인터페이스를 생성합니다. 이는 OpenSearch Serverless로 향하는 트래픽의 진입점 역할을 하는 요청자 관리형 네트워크 인터페이스입니다.
자세한 내용은 AWS PrivateLink 가이드의 AWS PrivateLink를 통해 AWS 서비스에 액세스를 참조하세요.
주제
수집 엔드포인트의 DNS 해결
VPC 엔드포인트를 생성하면 서비스가 새 Amazon Route 53 프라이빗 호스팅 영역을 생성하여 VPC에 연결합니다. 이 프라이빗 호스팅 영역은 OpenSearch Serverless 컬렉션(*.aoss.us-east-1.amazonaws.com
)의 와일드카드 DNS 레코드를 엔드포인트에 사용되는 인터페이스 주소로 확인하기 위한 레코드로 구성됩니다. VPC에 OpenSearch Serverless VPC 엔드포인트 하나만 있으면 각 AWS 리전에 있는 모든 컬렉션과 Dashboards에 액세스할 수 있습니다. OpenSearch Serverless용 엔드포인트가 있는 모든 VPC에는 자체 프라이빗 호스팅 영역이 연결되어 있습니다.
또한 OpenSearch Serverless는 해당 리전의 모든 컬렉션에 대해 퍼블릭 Route 53 와일드카드 DNS 레코드를 생성합니다. DNS 이름은 OpenSearch Serverless 퍼블릭 IP 주소로 확인됩니다. OpenSearch Serverless VPC 엔드포인트가 없는 VPC의 클라이언트 또는 공용 네트워크의 클라이언트는 퍼블릭 Route 53 해석기를 사용하고 해당 IP 주소로 컬렉션 및 Dashboards에 액세스할 수 있습니다. VPC 엔드포인트의 IP 주소 유형(IPv4, IPv6 또는 이중 스택)은 OpenSearch Serverless용 인터페이스 엔드포인트를 생성할 때 제공된 서브넷을 기반으로 결정됩니다.
참고
AWS CLI의 update-vpc-endpoint 명령을 사용하여 기존 IPv4 VPC 엔드포인트를 이중 스택으로 업데이트할 수 있습니다.
특정 VPC의 DNS 해석기 주소는 VPC CIDR의 두 번째 IP 주소입니다. VPC의 모든 클라이언트는 해당 해석기를 사용하여 모든 컬렉션의 VPC 엔드포인트 주소를 가져와야 합니다. 해석기는 OpenSearch Serverless에서 만든 프라이빗 호스팅 영역을 사용합니다. 어떤 계정에서든 모든 컬렉션에 이 해석기를 사용하면 충분합니다. 일반적으로 필요하지는 않지만 일부 컬렉션 엔드포인트에는 VPC 해석기를 사용하고 다른 콜렉션 엔드포인트에는 퍼블릭 해석기를 사용할 수도 있습니다.
VPC 및 네트워크 액세스 정책
컬렉션의 OpenSearch API 및 Dashboards에 네트워크 권한을 부여하려면 OpenSearch Serverless 네트워크 액세스 정책을 사용할 수 있습니다. VPC 엔드포인트 또는 공용 인터넷에서 이 네트워크 액세스를 제어할 수 있습니다. 네트워크 정책은 트래픽 권한만 제어하므로 컬렉션 및 해당 인덱스의 데이터에 대한 운영 권한을 지정하는 데이터 액세스 정책도 설정해야 합니다. OpenSearch Serverless VPC 엔드포인트를 서비스에 대한 액세스 포인트로, 네트워크 액세스 정책을 컬렉션 및 Dashboards에 대한 네트워크 수준의 액세스 포인트로, 데이터 액세스 정책을 컬렉션의 데이터에 대한 모든 작업에 대해 세밀한 액세스 제어를 위한 액세스 포인트로 생각하세요.
네트워크 정책에서 여러 VPC 엔드포인트 ID를 지정할 수 있으므로 컬렉션에 액세스해야 하는 모든 VPC에 대해 VPC 엔드포인트를 만드는 것이 좋습니다. 이러한 VPC는 OpenSearch Serverless 컬렉션 및 네트워크 정책을 소유한 계정과는 다른 AWS 계정에 속할 수 있습니다. 한 계정의 VPC가 다른 계정의 VPC 엔드포인트를 사용할 수 있도록 두 계정 간에 VPC-VPC 피어링 또는 기타 프록시 솔루션을 생성하지 않는 것이 좋습니다. 이는 자체 엔드포인트가 있는 각 VPC보다 보안 및 비용 효율성이 떨어집니다. 네트워크 정책에서 해당 VPC의 엔드포인트에 대한 액세스 권한을 설정한 다른 VPC의 관리자는 첫 번째 VPC를 쉽게 볼 수 없습니다.
VPC 및 엔드포인트 정책
Amazon OpenSearch Serverless는 VPC에 대한 엔드포인트 정책을 지원하지 않습니다. 엔드포인트 정책은 VPC 엔드포인트에 연결하여 AWS 서비스에 액세스하는 데 엔드포인트를 사용할 수 있는 AWS 보안 주체를 제어하는 IAM 리소스 기반 정책입니다. 자세한 정보는 엔드포인트 정책을 사용하여 VPC 엔드포인트에 대한 액세스 제어를 참조하세요.
엔드포인트 정책을 사용하려면 먼저 인터페이스 엔드포인트를 생성해야 합니다. OpenSearch Serverless 콘솔 또는 OpenSearch Serverless API를 사용하여 인터페이스 엔드포인트를 생성할 수 있습니다. 인터페이스 엔드포인트를 생성한 후에는 엔드포인트에 엔드포인트 정책을 추가해야 합니다. 자세한 내용은 인터페이스 엔드포인트(AWS PrivateLink)를 사용하여 Amazon OpenSearch Serverless에 액세스를 참조하세요.
참고
OpenSearch Service 콘솔에서 직접 엔드포인트 정책을 정의할 수는 없습니다.
엔드포인트 정책은 사용자가 구성한 다른 자격 증명 기반 정책, 리소스 기반 정책, 네트워크 정책 또는 데이터 액세스 정책을 재정의하거나 대체하지 않습니다. 엔드포인트 정책 업데이트에 대한 자세한 내용은 엔드포인트 정책을 사용하여 VPC 엔드포인트에 대한 액세스 제어를 참조하세요.
기본적으로 엔드포인트 정책은 VPC 엔드포인트에 대한 전체 액세스 권한을 부여합니다.
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } ] }
기본 VPC 엔드포인트 정책이 전체 엔드포인트 액세스 권한을 부여하지만 특정 역할 및 사용자에게만 액세스를 허용하도록 VPC 엔드포인트 정책을 구성할 수도 있습니다. 이렇게 하려면 다음 예제를 참조하세요.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "
123456789012
", "987654321098
" ] }, "Action": "*", "Resource": "*" } ] }
OpenSearch Serverless 컬렉션을 VPC 엔드포인트 정책에 조건부 요소로 포함하도록 지정할 수 있습니다. 이렇게 하려면 다음 예제를 참조하세요.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:CollectionName": [ "
coll-abc
" ] } } } ] }
VPC 엔드포인트 정책의 SAML 자격 증명을 사용하여 VPC 엔드포인트 액세스를 결정할 수 있습니다. VPC 엔드포인트 정책의 보안 주체 섹션에서 (*)
와일드카드를 사용해야 합니다. 이렇게 하려면 다음 예제를 참조하세요.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:SamlGroups": [ "
saml/123456789012/idp123/group/football
", "saml/123456789012/idp123/group/soccer
", "saml/123456789012/idp123/group/cricket
" ] } } } ] }
또한 특정 SAML 보안 주체 정책을 포함하도록 엔드포인트 정책을 구성할 수 있습니다. 이렇게 하려면 다음을 참조하세요.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:SamlPrincipal": [ "
saml/123456789012/idp123/user/user1234
"] } } } ] }
Amazon OpenSearch Serverless에서 SAML 인증을 사용하는 방법에 대한 자세한 내용은 Amazon OpenSearch Serverless에 대한 SAML 인증을 참조하세요.
한 VPC 엔드포인트 정책에 IAM 사용자와 SAML 사용자를 모두 포함할 수 있습니다. 이렇게 하려면 다음 예제를 참조하세요.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:SamlGroups": [ "
saml/123456789012/idp123/group/football
", "saml/123456789012/idp123/group/soccer
", "saml/123456789012/idp123/group/cricket
" ] } } }, { "Effect": "Allow", "Principal": { "AWS": [ "123456789012
" ] }, "Action": "*", "Resource": "*" } ] }
고려 사항
OpenSearch Serverless에 대한 인터페이스 엔드포인트를 설정하기 전에 다음을 고려하세요.
-
OpenSearch Serverless는 인터페이스 엔드포인트를 통해 지원되는 모든 OpenSearch API 작업(구성 API 작업 아님)에 대한 호출을 지원합니다.
-
OpenSearch Serverless용 인터페이스 엔드포인트를 생성한 후에도 서버리스 컬렉션에 액세스하려면 이를 네트워크 액세스 정책 포함시켜야 합니다.
-
기본적으로 OpenSearch Serverless에 대한 전체 액세스는 인터페이스 엔드포인트를 통해 허용됩니다. 보안 그룹을 엔드포인트 네트워크 인터페이스와 연결하여 인터페이스 엔드포인트를 통해 OpenSearch 서버리스에 대한 트래픽을 제어할 수 있습니다.
-
한 개의 AWS 계정은 최대 50개의 OpenSearch Serverless VPC 엔드포인트를 보유할 수 있습니다.
-
네트워크 정책에서 컬렉션의 API 또는 Dashboards에 대한 공용 인터넷 액세스를 활성화하면 모든 VPC와 공용 인터넷을 통해 컬렉션에 액세스할 수 있습니다.
-
온프레미스로 VPC 외부에 있는 경우 OpenSearch Serverless VPC 엔드포인트 확인에 DNS 해석기를 직접 사용할 수 없습니다. VPN 액세스가 필요한 경우 VPC에 외부 클라이언트가 사용할 DNS 프록시 해석기가 필요합니다. Route 53은 온프레미스 네트워크나 다른 VPC에서 사용자의 VPC로 DNS 쿼리를 보낼 때 사용할 수 있는 인바운드 엔드포인트 옵션을 제공합니다.
-
OpenSearch Serverless가 생성하고 VPC에 연결하는 프라이빗 호스팅 영역은 서비스에 의해 관리되지만 Amazon Route 53 리소스에 표시되고 사용자 계정으로 요금이 청구됩니다.
-
기타 고려 사항은 AWS PrivateLink 가이드의 고려 사항을 참조하세요.
필요한 권한
OpenSearch Serverless에 대한 VPC 액세스는 다음 AWS Identity and Access Management(IAM) 권한을 사용합니다. 사용자를 특정 컬렉션으로 제한하도록 IAM 조건을 지정할 수 있습니다.
-
aoss:CreateVpcEndpoint
– VPC 엔드포인트를 생성합니다. -
aoss:ListVpcEndpoints
– 모든 VPC 엔드포인트를 나열합니다. -
aoss:BatchGetVpcEndpoint
– VPC 엔드포인트의 하위 집합에 대한 세부 정보를 봅니다. -
aoss:UpdateVpcEndpoint
– VPC 엔드포인트를 수정합니다. -
aoss:DeleteVpcEndpoint
– VPC 엔드포인트를 삭제합니다.
또한 VPC 엔드포인트를 생성하려면 다음과 같은 Amazon EC2 및 Route 53 권한이 필요합니다.
-
ec2:CreateTags
-
ec2:CreateVpcEndpoint
-
ec2:DeleteVpcEndPoints
-
ec2:DescribeSecurityGroups
-
ec2:DescribeSubnets
-
ec2:DescribeVpcEndpoints
-
ec2:DescribeVpcs
-
ec2:ModifyVpcEndPoint
-
route53:AssociateVPCWithHostedZone
-
route53:ChangeResourceRecordSets
-
route53:CreateHostedZone
-
route53:DeleteHostedZone
-
route53:GetChange
-
route53:GetHostedZone
-
route53:ListHostedZonesByName
-
route53:ListHostedZonesByVPC
-
route53:ListResourceRecordSets
OpenSearch Serverless용 인터페이스 엔드포인트 생성
콘솔 또는 OpenSearch Serverless API를 사용하여 OpenSearch Serverless용 인터페이스 엔드포인트를 생성할 수 있습니다.
OpenSearch Serverless 컬렉션용 인터페이스 엔드포인트 생성하기
-
https://console.aws.amazon.com/aos/home
에서 Amazon OpenSearch Service 콘솔을 엽니다. -
왼쪽 탐색 창에서 Serverless(서버리스)를 확장하고 VPC endpoints(VPC 엔드포인트)를 선택합니다.
-
Create VPC endpoint(VPC 엔드포인트 생성)를 선택합니다.
-
엔드포인트의 이름을 입력합니다.
-
VPC의 경우 OpenSearch Serverless에 액세스할 VPC를 선택합니다.
-
Subnets(서브넷)의 경우 OpenSearch Serverless에 액세스할 하나의 서브넷을 선택합니다.
-
엔드포인트의 IP 주소 및 DNS 유형이 서브넷 유형을 기반으로 하는 경우
-
이중 스택: 모든 서브넷에 IPv4 및 IPv6 주소 범위가 모두 있는 경우
-
IPv6: 모든 서브넷이 IPv6 전용 서브넷인 경우
-
IPv4: 모든 서브넷이 IPv4 주소 범위를 포함하는 경우
-
-
-
Security group(보안 그룹)의 경우 엔드포인트 네트워크 인터페이스에 연결할 보안 그룹을 선택합니다. 이것은 엔드포인트로 승인하는 인바운드 트래픽의 포트, 프로토콜, 소스를 제한하는 중요한 단계입니다. 보안 그룹 규칙이 VPC 엔드포인트를 사용하여 OpenSearch Serverless와 통신할 리소스가 엔드포인트 네트워크 인터페이스와 통신하도록 허용하는지 확인합니다.
-
Create endpoint(엔드포인트 생성)을 선택합니다.
OpenSearch Serverless API를 사용하여 VPC 엔드포인트를 생성하려면 CreateVpcEndpoint
명령을 사용합니다.
참고
엔드포인트를 생성한 후에는 해당 ID를 기록해 둡니다(예: vpce-050f79086ee71ac05
). 컬렉션에 대한 엔드포인트 액세스를 제공하려면 하나 이상의 네트워크 액세스 정책에 이 ID를 포함해야 합니다.
다음 단계: 컬렉션에 엔드포인트 액세스 권한 부여
인터페이스 엔드포인트를 생성한 후에는 네트워크 액세스 정책을 통해 컬렉션에 대한 액세스를 제공해야 합니다. 자세한 내용은 Amazon OpenSearch Serverless에 대한 네트워크 액세스 단원을 참조하십시오.