Acesse o Amazon OpenSearch Service usando um VPC endpoint OpenSearch gerenciado pelo serviço ()AWS PrivateLink - OpenSearch Serviço Amazon
ConsideraçõesFornecimento de acesso a um domínioCrie um VPC endpoint de interfaceGerenciando usando API operações OpenSearch de serviço

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Acesse o Amazon OpenSearch Service usando um VPC endpoint OpenSearch gerenciado pelo serviço ()AWS PrivateLink

Você pode acessar um domínio do Amazon OpenSearch Service configurando um VPC endpoint OpenSearch gerenciado pelo serviço (desenvolvido por). AWS PrivateLink Esses endpoints criam uma conexão privada entre você VPC e o Amazon OpenSearch Service. Você pode acessar os VPC domínios do OpenSearch Serviço como se estivessem no seuVPC, sem o uso de um gateway de internet, NAT dispositivo, VPN conexão ou AWS Direct Connect conexão. As instâncias em seu VPC não precisam de endereços IP públicos para acessar o OpenSearch Serviço.

Você pode configurar domínios OpenSearch de serviço para expor endpoints adicionais em execução em sub-redes públicas ou privadas dentro da mesmaVPC, diferente ou diferente. VPC Contas da AWS Isso permite que você adicione uma camada adicional de segurança para acessar seus domínios, independentemente de onde eles sejam executados, sem nenhuma infraestrutura para gerenciar. O diagrama a seguir ilustra os VPC endpoints OpenSearch gerenciados por serviços dentro dos mesmos: VPC

VPC diagram showing Amazon PrivateLink in public subnet connecting to OpenSearch Service in private subnet.

Você estabelece essa conexão privada criando um VPCendpoint de interface OpenSearch gerenciada por serviços, desenvolvido por. AWS PrivateLink Criamos uma interface de rede de endpoint em cada sub-rede que você habilita para o endpoint da interfaceVPC. Essas são interfaces de rede gerenciadas por serviços que servem como ponto de entrada para o tráfego destinado ao Serviço. OpenSearch O preço padrão AWS PrivateLink do endpoint de interface se aplica aos VPC endpoints OpenSearch gerenciados pelo serviço cobrados abaixo. AWS PrivateLink

Você pode criar VPC endpoints para domínios que executam todas as versões do Elasticsearch antigo OpenSearch e do Elasticsearch. Para obter mais informações, consulte Acessar os Serviços da AWS pelo AWS PrivateLink no Guia do AWS PrivateLink .

Considerações e limitações do serviço OpenSearch

Antes de configurar um VPC endpoint de interface para o OpenSearch serviço, revise as considerações no AWS PrivateLink Guia.

Ao usar VPC endpoints OpenSearch gerenciados por serviços, considere o seguinte:

  • Você só pode usar VPC endpoints de interface para se conectar a VPCdomínios. Não há suporte para domínios públicos.

  • VPCos endpoints só podem se conectar a domínios dentro dos mesmos. Região da AWS

  • HTTPSé o único protocolo compatível com VPC endpoints. HTTPnão é permitido.

  • OpenSearch O serviço oferece suporte para fazer chamadas para todas as OpenSearch APIoperações suportadas por meio de um VPC endpoint de interface.

  • É possível configurar no máximo 50 endpoints por conta, e no máximo 10 endpoints por domínio. Um único domínio pode ter no máximo 10 entidades principais autorizadas.

  • Atualmente, você não pode usar AWS CloudFormation para criar VPC endpoints de interface.

  • Você só pode criar VPC endpoints de interface por meio do console OpenSearch de serviço ou usando o OpenSearch serviço API. Você não pode criar VPC endpoints de interface para o OpenSearch Service usando o VPC console da Amazon.

  • OpenSearch Os VPC endpoints gerenciados por serviços não podem ser acessados pela Internet. Um VPC endpoint OpenSearch gerenciado por serviços pode ser acessado somente dentro do VPC local em que o endpoint está provisionado ou em qualquer lugar VPCs emparelhado com o VPC local em que o endpoint é provisionado, conforme permitido pelas tabelas de rotas e grupos de segurança.

  • VPCas políticas de endpoint não são suportadas pelo OpenSearch Serviço. Você pode associar um grupo de segurança às interfaces de rede do endpoint para controlar o tráfego para o OpenSearch Serviço por meio do VPC endpoint da interface.

  • Sua função vinculada ao serviço deve estar na mesma AWS conta que você usa para criar o VPC endpoint.

  • Para criar, atualizar e excluir o VPC endpoint do OpenSearch Serviço, você deve ter as seguintes EC2 permissões da Amazon, além das permissões do Amazon OpenSearch Service:

    • ec2:CreateVpcEndpoint

    • ec2:DescribeVpcEndpoints

    • ec2:ModifyVpcEndpoint

    • ec2:DeleteVpcEndpoints

    • ec2:CreateTags

    • ec2:DescribeTags

    • ec2:DescribeSubnets

    • ec2:DescribeSecurityGroups

    • ec2:DescribeVpcs

nota

Atualmente, você não pode limitar a criação de VPC endpoints ao OpenSearch Serviço. Estamos trabalhando para tornar isso possível em uma atualização futura.

Fornecimento de acesso a um domínio

Se o domínio VPC que você deseja acessar estiver em outro Conta da AWS, você precisará autorizá-lo na conta do proprietário antes de criar um VPC endpoint de interface.

Para permitir que um VPC em outro Conta da AWS acesse seu domínio

  1. Abra o console do Amazon OpenSearch Service em https://console.aws.amazon.com/aos/casa/.

  2. No painel de navegação, escolha Domínios e abra o domínio ao qual você deseja fornecer acesso.

  3. Acesse a guia de VPCendpoints, que mostra as contas e os correspondentes VPCs que têm acesso ao seu domínio.

  4. Escolha Autorizar principal.

  5. Insira o Conta da AWS ID da conta que acessará seu domínio. Essa etapa autoriza a conta especificada a criar VPC endpoints no domínio.

  6. Escolha Authorize.

Crie um VPC endpoint de interface para um domínio VPC

Você pode criar um VPC endpoint de interface para o OpenSearch Service usando o console do OpenSearch Service ou o AWS Command Line Interface (AWS CLI).

Para criar um VPC endpoint de interface para um domínio OpenSearch de serviço

  1. Abra o console do Amazon OpenSearch Service em https://console.aws.amazon.com/aos/casa/.

  2. No painel de navegação esquerdo, escolha VPCendpoints.

  3. Escolha Criar endpoint.

  4. Selecione se deseja conectar um domínio no atual Conta da AWS ou em outro Conta da AWS.

  5. Selecione o domínio ao qual você se conecta com esse endpoint. Se o domínio estiver no atual Conta da AWS, use o menu suspenso para escolher o domínio. Se o domínio estiver em uma conta diferente, insira o Amazon Resource Name (ARN) do domínio ao qual se conectar. Para escolher um domínio em uma conta diferente, o proprietário precisa fornecer acesso ao domínio.

  6. Para VPC, selecione a VPC partir da qual você acessará o OpenSearch Serviço.

  7. Para Sub-redes, selecione uma ou mais sub-redes a partir das quais você acessará o Serviço. OpenSearch

  8. Em Grupos de segurança, selecione os grupos de segurança para associar às interfaces de rede do endpoint. Essa é uma etapa crítica na qual você limita as portas, os protocolos e as origens para o tráfego de entrada que você está autorizando para o seu endpoint. As regras do grupo de segurança devem permitir que os recursos que usarão o VPC endpoint para se comunicar com o OpenSearch Serviço se comuniquem com a interface de rede do endpoint.

  9. Escolha Criar endpoint. O endpoint deverá estar ativo em 2 a 5 minutos.

Trabalhando com VPC endpoints OpenSearch gerenciados por serviços usando a configuração API

Use as API operações a seguir para criar e gerenciar endpoints OpenSearch gerenciados pelo serviçoVPC.

Use as seguintes API operações para gerenciar o acesso do endpoint aos VPC domínios: