As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Acesse o Amazon OpenSearch Serverless usando um endpoint de interface ()AWS PrivateLink
Você pode usar AWS PrivateLink para criar uma conexão privada entre você VPC e o Amazon OpenSearch Serverless. Você pode acessar o OpenSearch Serverless como se estivesse no seuVPC, sem o uso de um gateway de internet, NAT dispositivo, VPN conexão ou AWS Direct Connect conexão. As instâncias em seu VPC não precisam de endereços IP públicos para acessar o OpenSearch Serverless. Para obter mais informações sobre acesso à VPC rede, consulte Padrões de conectividade de rede para Amazon OpenSearch Serverless
Você estabelece essa conexão privada criando um endpoint de interface, alimentado pelo AWS PrivateLink. Criamos uma interface de rede de endpoint em cada sub-rede que você habilitar para o endpoint de interface. Essas são interfaces de rede gerenciadas pelo solicitante que servem como ponto de entrada para o tráfego destinado ao Serverless. OpenSearch
Para obter mais informações, consulte Acessar os Serviços da AWS pelo AWS PrivateLink no Guia do AWS PrivateLink .
Tópicos
DNSresolução dos pontos finais de coleta
Quando você cria um VPC endpoint, o serviço cria uma nova zona hospedada Amazon Route 53 privada e a anexa ao. VPC Essa zona hospedada privada consiste em um registro para resolver o DNS registro curinga das coleções OpenSearch sem servidor (*.aoss.us-east-1.amazonaws.com) nos endereços de interface usados para o endpoint. Você só precisa de um VPC endpoint OpenSearch sem servidor em um VPC para acessar todas e quaisquer coleções e painéis em cada um. Região da AWS Cada um VPC com um endpoint para OpenSearch Serverless tem sua própria zona hospedada privada anexada.
OpenSearch O Serverless também cria um DNS registro curinga público do Route 53 para todas as coleções na região. O DNS nome é resolvido para os endereços OpenSearch IP públicos sem servidor. Clientes VPCs que não têm um VPC endpoint OpenSearch sem servidor ou clientes em redes públicas podem usar o resolvedor público do Route 53 e acessar as coleções e os painéis com esses endereços IP. O tipo de endereço IP (IPv4IPv6, ou Dualstack) do VPC endpoint é determinado com base nas sub-redes fornecidas quando você cria um endpoint de interface para Serverless. OpenSearch
nota
Você pode atualizar seu IPv4 VPC endpoint existente para o Dualstack usando o comando no update-vpc-endpoint. AWS CLI
O endereço do DNS resolvedor de um determinado VPC é o segundo endereço IP do VPCCIDR. Qualquer cliente VPC precisa usar esse resolvedor para obter o endereço do VPC endpoint para qualquer coleção. O resolvedor usa uma zona hospedada privada criada pelo OpenSearch Serverless. É suficiente usar esse resolvedor para todas as coleções em qualquer conta. Também é possível usar o VPC resolvedor para alguns endpoints de coleta e o resolvedor público para outros, embora isso normalmente não seja necessário.
VPCse políticas de acesso à rede
Para conceder permissão de rede OpenSearch APIs e painéis para suas coleções, você pode usar políticas de acesso à rede OpenSearch sem servidor. Você pode controlar esse acesso à rede a partir do (s) seu (s) VPC terminal (s) ou da Internet pública. Como sua política de rede controla apenas as permissões de tráfego, você também deve configurar uma política de acesso a dados que especifique a permissão para operar com os dados em uma coleção e seus índices. Pense em um VPC endpoint OpenSearch sem servidor como um ponto de acesso ao serviço, uma política de acesso à rede como o ponto de acesso em nível de rede para coleções e painéis e uma política de acesso a dados como o ponto de acesso para controle de acesso refinado para qualquer operação com dados na coleção.
Como você pode especificar vários VPC endpoints IDs em uma política de rede, recomendamos criar um VPC endpoint para cada um VPC que precise acessar uma coleção. Eles VPCs podem pertencer a AWS contas diferentes da conta que possui a política de rede e coleção OpenSearch Serverless. Não recomendamos que você crie uma solução de VPC-to-VPC emparelhamento ou outra solução de proxy entre duas contas para que uma conta VPC possa usar o endpoint de outra conta. VPC Isso é menos seguro e econômico do que cada um VPC ter seu próprio endpoint. O primeiro não VPC será facilmente visível para o administrador VPC do outro, que configurou o acesso ao endpoint na política de rede. VPC
VPCse políticas de endpoint
O Amazon OpenSearch Serverless oferece suporte a políticas de endpoint para. VPCs Uma política de endpoint é uma política IAM baseada em recursos que você anexa a um VPC endpoint para controlar quais AWS entidades principais podem usar o endpoint para acessar seu serviço. AWS Para obter mais informações, consulte Controlar o acesso aos VPC endpoints usando políticas de endpoint.
Para usar uma política de endpoint, primeiro você deve criar um endpoint de interface. Você pode criar um endpoint de interface usando o console Serverless ou o OpenSearch Serverless. OpenSearch API Depois de criar seu endpoint de interface, você precisará adicionar a política de endpoint a esse endpoint. Para obter mais informações, consulte Acesse o Amazon OpenSearch Serverless usando um endpoint de interface ().AWS PrivateLink
nota
Você não pode definir uma política de endpoint diretamente no console OpenSearch de serviço.
Uma política de endpoint não substitui políticas baseadas em recursos, políticas de rede nem políticas de acesso a dados que você possa ter configurado. Para obter mais informações sobre a atualização de políticas de endpoint, consulte Controlar o acesso aos VPC endpoints usando políticas de endpoint.
Por padrão, uma política de endpoint concede acesso total ao seu VPC endpoint.
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } ] }
Embora a política de VPC endpoint padrão conceda acesso total ao endpoint, você pode configurar uma política de VPC endpoint para permitir o acesso a funções e usuários específicos. Para fazer isso, veja o exemplo a seguir:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "123456789012", "987654321098" ] }, "Action": "*", "Resource": "*" } ] }
Você pode especificar uma coleção OpenSearch Serverless para ser incluída como um elemento condicional em sua VPC política de endpoint. Para fazer isso, veja o exemplo a seguir:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aoss:collection": [ "coll-abc" ] } } } ] }
O suporte para aoss:CollectionId é suportado.
Condition": { "StringEquals": { "aoss:CollectionId": "collection-id" } }
Você pode usar SAML identidades em sua política de VPC endpoint para determinar o acesso ao VPC endpoint. Você deve usar um caractere curinga (*) na seção principal da sua política de VPC endpoint. Para fazer isso, veja o exemplo a seguir:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:SamlGroups": [ "saml/123456789012/idp123/group/football", "saml/123456789012/idp123/group/soccer", "saml/123456789012/idp123/group/cricket" ] } } } ] }
Além disso, você pode configurar sua política de endpoint para incluir uma política SAML principal específica. Para isso, veja o seguinte:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aoss:SamlPrincipal": [ "saml/123456789012/idp123/user/user1234"] } } } ] }
Para obter mais informações sobre o uso da SAML autenticação com o Amazon OpenSearch Serverless, consulte SAMLAutenticação para o Amazon OpenSearch Serverless.
Você também pode incluir IAM SAML usuários na mesma política de VPC endpoint. Para fazer isso, veja o exemplo a seguir:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aoss:SamlGroups": [ "saml/123456789012/idp123/group/football", "saml/123456789012/idp123/group/soccer", "saml/123456789012/idp123/group/cricket" ] } } }, { "Effect": "Allow", "Principal": { "AWS": [ "123456789012" ] }, "Action": "*", "Resource": "*" } ] }
Considerações
Antes de configurar um endpoint de interface para OpenSearch Serverless, considere o seguinte:
-
OpenSearch O Serverless oferece suporte para fazer chamadas para todas as OpenSearch APIoperações suportadas (não operações de configuraçãoAPI) por meio do endpoint da interface.
-
Depois de criar um endpoint de interface para OpenSearch Serverless, você ainda precisa incluí-lo nas políticas de acesso à rede para que ele acesse coleções sem servidor.
-
Por padrão, o acesso total ao OpenSearch Serverless é permitido por meio do endpoint da interface. Você pode associar um grupo de segurança às interfaces de rede do endpoint para controlar o tráfego para o OpenSearch Serverless por meio do endpoint da interface.
-
Um único Conta da AWS pode ter no máximo 50 endpoints OpenSearch sem servidorVPC.
-
Se você habilitar o acesso público à Internet para sua coleção API ou painéis em uma política de rede, sua coleção poderá ser acessada por qualquer VPC pessoa e pela Internet pública.
-
Se você estiver no local e fora doVPC, não poderá usar um DNS resolvedor diretamente para a resolução do VPC endpoint OpenSearch sem servidor. Se você precisar de VPN acesso, VPC precisará de um resolvedor de DNS proxy para uso por clientes externos. O Route 53 fornece uma opção de endpoint de entrada que você pode usar para resolver DNS consultas VPC de sua rede local ou de outra. VPC
-
A zona hospedada privada que o OpenSearch Serverless cria e anexa à VPC é gerenciada pelo serviço, mas aparece em seus Amazon Route 53 recursos e é cobrada em sua conta.
-
Para outras considerações, consulte Considerações no Guia do AWS PrivateLink .
Permissões obrigatórias
VPCO acesso para OpenSearch Serverless usa as seguintes permissões AWS Identity and Access Management (IAM). Você pode especificar IAM condições para restringir os usuários a coleções específicas.
-
aoss:CreateVpcEndpoint— Crie um VPC endpoint. -
aoss:ListVpcEndpoints— Liste todos os VPC endpoints. -
aoss:BatchGetVpcEndpoint— Veja detalhes sobre um subconjunto de VPC endpoints. -
aoss:UpdateVpcEndpoint— Modifique um VPC endpoint. -
aoss:DeleteVpcEndpoint— Exclua um VPC endpoint.
Além disso, você precisa das seguintes permissões da Amazon EC2 e do Route 53 para criar um VPC endpoint.
-
ec2:CreateTags -
ec2:CreateVpcEndpoint -
ec2:DeleteVpcEndPoints -
ec2:DescribeSecurityGroups -
ec2:DescribeSubnets -
ec2:DescribeVpcEndpoints -
ec2:DescribeVpcs -
ec2:ModifyVpcEndPoint -
route53:AssociateVPCWithHostedZone -
route53:ChangeResourceRecordSets -
route53:CreateHostedZone -
route53:DeleteHostedZone -
route53:GetChange -
route53:GetHostedZone -
route53:ListHostedZonesByName -
route53:ListHostedZonesByVPC -
route53:ListResourceRecordSets
Crie um endpoint de interface para Serverless OpenSearch
Você pode criar um endpoint de interface para OpenSearch Serverless usando o console ou o Serverless. OpenSearch API
Para criar um endpoint de interface para uma coleção sem OpenSearch servidor
-
Abra o console do Amazon OpenSearch Service em https://console.aws.amazon.com/aos/casa
. -
No painel de navegação esquerdo, expanda Sem servidor e escolha endpoints. VPC
-
Escolha Criar VPC endpoint.
-
Forneça um nome para o endpoint.
-
Para VPC, selecione VPC aquele do qual você acessará o OpenSearch Serverless.
-
Em Sub-redes, selecione uma sub-rede a partir da qual você OpenSearch acessará o Serverless.
-
O endereço IP e o tipo do endpoint são baseados no DNS tipo de sub-rede
-
Dualstack: se todas as sub-redes tiverem intervalos de endereço e de endereço IPv4 IPv6
-
IPv6: Se todas as sub-redes forem IPv6 somente sub-redes
-
IPv4: Se todas as sub-redes tiverem intervalos de endereços IPv4
-
-
-
Em Grupos de segurança, selecione os grupos de segurança para associar às interfaces de rede do endpoint. Essa é uma etapa crítica na qual você limita as portas, os protocolos e as origens para o tráfego de entrada que você está autorizando para o seu endpoint. Certifique-se de que as regras do grupo de segurança permitam que os recursos que usarão o VPC endpoint para se comunicar com o OpenSearch Serverless se comuniquem com a interface de rede do endpoint.
-
Escolha Criar endpoint.
Para criar um VPC endpoint usando o OpenSearch ServerlessAPI, use o comando. CreateVpcEndpoint
nota
Depois de criar um endpoint, anote seu ID (por exemplo, vpce-050f79086ee71ac05. Para fornecer ao endpoint acesso às suas coleções, será necessário incluir esse ID em uma ou mais políticas de acesso à rede.
Próxima etapa: conceder ao endpoint acesso a uma coleção
Depois de criar um endpoint da interface, você deverá fornecer a ele acesso às coleções por meio de políticas de acesso à rede. Para obter mais informações, consulte Acesso de rede do Amazon OpenSearch Sem Servidor.
