OpenSearch 서비스 OpenSearch 관리형 VPC 엔드포인트 () 를 사용하여 Amazon 서비스에 액세스AWS PrivateLink - 아마존 OpenSearch 서비스
고려 사항도메인에 대한 액세스 제공인터페이스 VPC 엔드포인트 생성서비스 API 작업을 사용한 관리 OpenSearch

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

OpenSearch 서비스 OpenSearch 관리형 VPC 엔드포인트 () 를 사용하여 Amazon 서비스에 액세스AWS PrivateLink

OpenSearch 서비스 OpenSearch 관리형 VPC 엔드포인트 (제공) 를 설정하여 Amazon 서비스 도메인에 액세스할 수 있습니다. AWS PrivateLink이러한 엔드포인트는 VPC와 Amazon OpenSearch 서비스 간에 프라이빗 연결을 생성합니다. 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 연결을 사용하지 않고도 VPC에 있는 것처럼 OpenSearch 서비스 VPC 도메인에 액세스할 수 있습니다. AWS Direct Connect VPC의 인스턴스는 서비스에 액세스하는 OpenSearch 데 퍼블릭 IP 주소가 필요하지 않습니다.

동일한 VPC, 다른 VPC 또는 다른 VPC 내의 퍼블릭 또는 프라이빗 서브넷에서 실행되는 추가 엔드포인트를 노출하도록 OpenSearch 서비스 도메인을 구성할 수 있습니다. AWS 계정따라서 인프라를 관리할 필요가 없고 도메인이 실행되는 위치와도 관계없이 도메인에 액세스할 수 있도록 추가 보안 계층을 추가할 수 있습니다. 다음 다이어그램은 동일한 VPC 내의 OpenSearch 서비스 관리형 VPC 엔드포인트를 보여줍니다.

이 프라이빗 연결은 전원이 공급되는 OpenSearch 서비스 관리형 인터페이스 VPC 엔드포인트를 생성하여 설정합니다. AWS PrivateLink인터페이스 VPC 엔드포인트에 대해 활성화하는 각 서브넷에 엔드포인트 네트워크 인터페이스를 생성합니다. 이는 서비스로 향하는 트래픽의 진입점 역할을 하는 서비스 관리형 네트워크 인터페이스입니다. OpenSearch 표준 AWS PrivateLink 인터페이스 엔드포인트 요금은 요금이 청구되는 OpenSearch 서비스 관리형 VPC 엔드포인트에 적용됩니다. AWS PrivateLink

모든 버전의 OpenSearch Elasticsearch와 기존 Elasticsearch를 실행하는 도메인에 대해 VPC 엔드포인트를 생성할 수 있습니다. 자세한 내용은AWS PrivateLink 가이드의 AWS PrivateLink를 통해 AWS 서비스 에 액세스를 참조하세요.

서비스 고려 사항 및 제한 OpenSearch

OpenSearch 서비스를 위한 인터페이스 VPC 엔드포인트를 설정하기 전에 가이드의 AWS PrivateLink 고려 사항을 검토하세요.

OpenSearch 서비스 관리형 VPC 엔드포인트를 사용할 때는 다음 사항을 고려하세요.

  • 인터페이스 VPC 엔드포인트만 사용하여 VPC 도메인에 연결할 수 있습니다. 퍼블릭 도메인은 지원되지 않습니다.

  • VPC 엔드포인트는 동일한 AWS 리전에 속한 도메인에만 연결할 수 있습니다.

  • HTTPS는 VPC 엔드포인트를 지원하는 유일한 프로토콜입니다. HTTP는 허용되지 않습니다.

  • OpenSearch 서비스는 인터페이스 VPC 엔드포인트를 통해 지원되는 모든 OpenSearch API 작업에 대한 호출을 지원합니다.

  • 계정당 최대 50개의 엔드포인트와 도메인당 최대 10개의 엔드포인트를 구성할 수 있습니다. 단일 도메인은 최대 10개의 인증된 보안 주체를 보유할 수 있습니다.

  • 현재는 인터페이스 VPC AWS CloudFormation 엔드포인트를 생성하는 데 사용할 수 없습니다.

  • OpenSearch 서비스 콘솔이나 서비스 API를 통해서만 인터페이스 VPC 엔드포인트를 생성할 수 있습니다. OpenSearch Amazon VPC 콘솔을 사용하여 OpenSearch 서비스에 대한 인터페이스 VPC 엔드포인트를 생성할 수 없습니다.

  • OpenSearch 서비스 관리형 VPC 엔드포인트는 인터넷에서 액세스할 수 없습니다. OpenSearch 서비스 관리형 VPC 엔드포인트는 라우팅 테이블 및 보안 그룹에서 허용하는 한 엔드포인트가 프로비저닝된 VPC 또는 엔드포인트가 프로비저닝된 VPC와 피어링된 VPC 내에서만 액세스할 수 있습니다.

  • VPC 엔드포인트 정책은 서비스에 지원되지 않습니다. OpenSearch 보안 그룹을 엔드포인트 네트워크 인터페이스와 연결하여 인터페이스 VPC 엔드포인트를 통해 OpenSearch 서비스에 대한 트래픽을 제어할 수 있습니다.

  • 서비스 연결 역할은 VPC 엔드포인트를 만들 때 사용하는 것과 동일한 AWS 계정에 있어야 합니다.

  • OpenSearch 서비스 VPC 엔드포인트를 생성, 업데이트 및 삭제하려면 Amazon 서비스 권한 외에도 다음과 같은 Amazon EC2 권한이 있어야 합니다. OpenSearch

    • ec2:CreateVpcEndpoint

    • ec2:DescribeVpcEndpoints

    • ec2:ModifyVpcEndpoint

    • ec2:DeleteVpcEndpoints

    • ec2:CreateTags

    • ec2:DescribeTags

    • ec2:DescribeSubnets

    • ec2:DescribeSecurityGroups

    • ec2:DescribeVpcs

참고

현재는 VPC 엔드포인트 생성을 서비스로 제한할 수 없습니다. OpenSearch 향후 업데이트에서 이를 가능하게 하기 위해 노력하고 있습니다.

도메인에 대한 액세스 제공

도메인에 액세스하려는 VPC가 다른 VPC에 있는 경우 AWS 계정, 인터페이스 VPC 엔드포인트를 만들려면 먼저 소유자 계정에서 VPC를 승인해야 합니다.

다른 VPC의 도메인 액세스를 AWS 계정 허용하려면

  1. https://console.aws.amazon.com/aos/home/ 에서 아마존 OpenSearch 서비스 콘솔을 엽니다.

  2. 탐색 창에서 Domains(도메인)를 선택하고 액세스를 제공하려는 도메인을 엽니다.

  3. 도메인에 액세스할 수 있는 계정 및 해당 VPC를 표시하는 VPC endpoints(VPC 엔드포인트) 탭으로 이동합니다.

  4. Authorize principal(보안 주체 인증)을 선택합니다.

  5. 도메인에 액세스할 계정의 AWS 계정 ID를 입력합니다. 이 단계는 도메인에 대해 VPC 엔드포인트를 생성하도록 지정된 계정에 권한을 부여합니다.

  6. Authorize를 선택합니다.

VPC 도메인에 대한 인터페이스 VPC 엔드포인트 생성

서비스 콘솔 또는 AWS Command Line Interface ()AWS CLI를 사용하여 OpenSearch 서비스에 대한 인터페이스 VPC 엔드포인트를 생성할 수 있습니다. OpenSearch

서비스 도메인용 인터페이스 VPC 엔드포인트를 만들려면 OpenSearch

  1. https://console.aws.amazon.com/aos/home/ 에서 아마존 OpenSearch 서비스 콘솔을 엽니다.

  2. 왼쪽 탐색 창에서 VPC endpoints(VPC 엔드포인트)를 선택합니다.

  3. Create endpoint(엔드포인트 생성)을 선택합니다.

  4. 도메인을 현재 도메인에 연결할지 AWS 계정 아니면 다른 도메인을 연결할지 선택합니다 AWS 계정.

  5. 이 엔드포인트로 연결할 도메인을 선택합니다. 도메인이 현재 AWS 계정상태인 경우 드롭다운을 사용하여 도메인을 선택합니다. 도메인이 다른 계정에 있는 경우 연결할 도메인의 Amazon 리소스 이름(ARN)을 입력합니다. 다른 계정에서 도메인을 선택하려면 소유자가 도메인에 대한 액세스 권한을 제공해야 합니다.

  6. VPC의 경우 서비스에 액세스할 VPC를 선택합니다. OpenSearch

  7. 서브넷의 경우 서비스에 액세스할 서브넷을 하나 이상 선택합니다. OpenSearch

  8. Security group(보안 그룹)의 경우 엔드포인트 네트워크 인터페이스에 연결할 보안 그룹을 선택합니다. 이는 엔드포인트에 대해 권한을 부여하는 인바운드 트래픽의 포트, 프로토콜, 소스를 제한하는 중요한 단계입니다. 보안 그룹 규칙은 VPC 엔드포인트를 사용하여 OpenSearch 서비스와 통신할 리소스가 엔드포인트 네트워크 인터페이스와 통신하도록 허용해야 합니다.

  9. Create endpoint(엔드포인트 생성)을 선택합니다. 엔드포인트는 2~5분 내에 활성화되어야 합니다.

구성 API를 사용하여 OpenSearch 서비스 관리형 VPC 엔드포인트와 작업하기

다음 API 작업을 사용하여 OpenSearch 서비스 관리형 VPC 엔드포인트를 생성하고 관리할 수 있습니다.

다음 API 작업을 사용하여 VPC 도메인에 대한 엔드포인트 액세스를 관리합니다.