Considerações Fornecimento de acesso a um domínio Criar um VPC endpoint de interface Gerenciamento usando as operações da API do OpenSearch Service

Acesse o Amazon OpenSearch Service usando um endpoint da VPC gerenciado pelo OpenSearch Service (AWS PrivateLink)

É possível acessar um domínio do Amazon OpenSearch Service configurando um endpoint da VPC gerenciado pelo OpenSearch Service (habilitado pelo AWS PrivateLink). Esses endpoints criam uma conexão privada entre a sua VPC e o Amazon OpenSearch Service. É possível acessar domínios da VPC do OpenSearch Service como se estivessem em sua VPC, sem usar um gateway da Internet, um dispositivo NAT, uma conexão VPN ou uma conexão AWS Direct Connect. As instâncias na sua VPC não precisam de endereços IP públicos para acessar o OpenSearch Service.

É possível configurar domínios do OpenSearch Service para expor endpoints adicionais em execução em sub-redes públicas ou privadas dentro da mesma VPC, em uma VPC diferente ou Contas da AWS diferentes. Isso permite que você adicione uma camada adicional de segurança para acessar seus domínios, independentemente de onde eles sejam executados, sem nenhuma infraestrutura para gerenciar. O diagrama a seguir ilustra os endpoints da VPC gerenciados pelo OpenSearch Service dentro da mesma VPC:

VPC diagram showing Amazon PrivateLink in public subnet connecting to OpenSearch Service in private subnet.

Você estabelece essa conexão privada criando um endpoint da VPC de interface gerenciado pelo OpenSearch Service, alimentado pelo AWS PrivateLink. Criaremos uma interface de rede de endpoint em cada sub-rede que você habilitar para o endpoint da VPC de interface. Essas são interfaces de rede gerenciadas pelo serviço que servem como ponto de entrada para o tráfego destinado ao OpenSearch Service. Os preços de endpoint de interface do AWS PrivateLink padrão se aplicam aos endpoints da VPC gerenciados pelo OpenSearch Service e cobrados sob o AWS PrivateLink.

É possível criar endpoints da VPC para domínios que executem todas as versões do OpenSearch e do antigo Elasticsearch. Para obter mais informações, consulte Acessar os Serviços da AWS pelo AWS PrivateLink no Guia do AWS PrivateLink.

Considerações e limitações do OpenSearch Service

Antes de configurar um endpoint da VPC de interface para o OpenSearch Service, analise as Considerações no Guia do AWS PrivateLink.

Ao usar endpoints da VPC gerenciados pelo OpenSearch Service, considere o seguinte:

É possível apenas usar endpoints da VPC de interface para se conectar a domínios da VPC. Não há suporte para domínios públicos.
Os endpoints da VPC só podem se conectar a domínios dentro da mesma Região da AWS.
O HTTPS é o único protocolo com suporte para endpoints da VPC. O HTTP não é permitido.
O OpenSearch Service suporta fazer chamadas para todas as operações da API do OpenSearch com suporte por meio de um endpoint da VPC de interface.
É possível configurar no máximo 50 endpoints por conta, e no máximo 10 endpoints por domínio. Um único domínio pode ter no máximo 10 entidades principais autorizadas.
No momento, não é possível usar AWS CloudFormation para criar endpoints da VPC de interface.
Só é possível criar endpoints da VPC de interface por meio do console do OpenSearch Service ou usando a API do OpenSearch Service. Não é possível criar endpoints da VPC de interface para OpenSearch Service usando o console do Amazon VPC.
Os endpoints da VPC gerenciados pelo OpenSearch Service não são acessíveis pela Internet. Um endpoint da VPC gerenciado pelo OpenSearch Service é acessível somente dentro da VPC onde o endpoint está provisionado ou qualquer VPCs emparelhadas com a VPC onde o endpoint está provisionado, conforme permitido pelas tabelas de rota e grupos de segurança.
Não há suporte para as políticas de endpoint da VPC para o OpenSearch Service. É possível associar um grupo de segurança às interfaces de rede do endpoint para controlar o tráfego para o OpenSearch Service por meio do endpoint da VPC de interface.
Seu perfil vinculado ao serviço deve estar na mesma conta da AWS que você usa para criar o endpoint da VPC.
Para criar, atualizar e excluir o endpoint da VPC do OpenSearch Service, você deve ter as seguintes permissões do Amazon EC2, além das permissões do Amazon OpenSearch Service:
- ec2:CreateVpcEndpoint
- ec2:DescribeVpcEndpoints
- ec2:ModifyVpcEndpoint
- ec2:DeleteVpcEndpoints
- ec2:CreateTags
- ec2:DescribeTags
- ec2:DescribeSubnets
- ec2:DescribeSecurityGroups
- ec2:DescribeVpcs

nota

Atualmente, você não pode limitar a criação de endpoints da VPC ao OpenSearch Service. Estamos trabalhando para tornar isso possível em uma atualização futura.

Fornecimento de acesso a um domínio

Se a VPC à qual você deseja que acesse seu domínio estiver em outra Conta da AWS, você precisará autorizá-la a partir da conta do proprietário para criar um endpoint da VPC de interface.

Para permitir que uma VPC em outra Conta da AWS acesse seu domínio

Abra o console do Amazon OpenSearch Service em https://console.aws.amazon.com/aos/home/.
No painel de navegação, escolha Domínios e abra o domínio ao qual você deseja fornecer acesso.
Acesse a guia Endpoints da VPC, que mostra as contas e as VPCs correspondentes que têm acesso ao domínio.
Escolha Autorizar principal.
Insira o ID da Conta da AWS da conta que acessará seu domínio. Essa etapa autoriza a conta especificada a criar endpoints da VPC no domínio.
Escolha Authorize.

Criação de uma endpoint da VPC de interface para um domínio de VPC

É possível criar endpoints da VPC de interface para o OpenSearch Service por meio do console do OpenSearch Service ou usando a AWS Command Line Interface (AWS CLI).

Como criar um endpoint da VPC de interface para um domínio do OpenSearch Service

Abra o console do Amazon OpenSearch Service em https://console.aws.amazon.com/aos/home/.
No painel de navegação à esquerda, escolha Endpoints da VPC.
Escolha Criar endpoint.
Selecione se deseja conectar um domínio à Conta da AWS atual ou a outra Conta da AWS.
Selecione o domínio ao qual você se conecta com esse endpoint. Se o domínio estiver na Conta da AWS atual, use o menu suspenso para escolher o domínio. Se o domínio estiver em uma conta diferente, insira o nome do recurso da Amazon (ARN) do domínio ao qual você deseja se conectar. Para escolher um domínio em uma conta diferente, o proprietário precisa fornecer acesso ao domínio.
Em VPC, selecione a VPC de onde você acessará o OpenSearch Service.
Em Sub-redes, selecione uma ou mais sub-redes das quais você acessará o OpenSearch Service.
Em Grupos de segurança, selecione os grupos de segurança para associar às interfaces de rede do endpoint. Essa é uma etapa crítica na qual você limita as portas, os protocolos e as origens para o tráfego de entrada que você está autorizando para o seu endpoint. As regras do grupo de segurança devem permitir que os recursos que usarão o endpoint da VPC se comuniquem com o OpenSearch Service para comunicação com a interface de rede do endpoint.
Escolha Criar endpoint. O endpoint deverá estar ativo em 2 a 5 minutos.

Trabalho com endpoints da VPC gerenciados pelo OpenSearch Service usando a API de configuração

Use as seguintes operações da API para criar e gerenciar endpoints da VPC gerenciados pelo OpenSearch Service.

CreateVpcEndpoint
ListVpcEndpoints (Listar endpoints da VPC)
UpdateVpcEndpoint (Atualizar endpoints da VPC))
DeleteVpcEndpoint (Excluir endpoints da VPC)

Use as seguintes operações de API para gerenciar o acesso de endpoints aos domínios da VPC:

AuthorizeVpcEndpointAccess (Autorizar o acesso do endpoint da VPC)
ListVpcEndpointAccess (Listar o acesso do endpoint da VPC)
ListVpcEndpointsForDomain (Listar endpoints da VPC para o domínio)
RevokeVpcEndpointAccess (Revogar o acesso do endpoint da VPC)

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Segurança da infraestrutura

SAMLautenticação para OpenSearch painéis