注册手动快照存储库 - 亚马逊 OpenSearch 服务

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

注册手动快照存储库

您需要先向 S OpenSearch ervice 注册快照存储库,然后才能手动拍摄索引快照。此一次性操作要求您使用允许访问的凭据签署 AWS 请求TheSnapshotRole,如中所述先决条件

步骤 1:在 OpenSearch 仪表板中映射快照角色(如果使用精细的访问控制)

注册存储库时,精细访问控制会引入额外的步骤。即使您将HTTP基本身份验证用于所有其他目的,也需要将manage_snapshots角色映射到具有传递iam:PassRole权限的IAM角色TheSnapshotRole

  1. 导航到您的 OpenSearch 服务域的 OpenSearch 仪表板插件。您可以在 OpenSearch 服务控制台的域控制面板上找到控制面板终端节点。

  2. 从主菜单中选择安全角色,然后选择 manage_snapshots 角色。

  3. 选择映射的用户管理映射

  4. 添加有权ARN传递的角色TheSnapshotRole。将角色置ARNs于后端角色下。

    arn:aws:iam::123456789123:role/role-name
  5. 选择映射并确认在映射的用户下显示的用户或角色。

第 2 步:注册存储库

以下快照选项卡演示如何注册快照目录。有关在迁移到新域后加密手动快照和注册快照的特定选项,请参阅相关选项卡。

Snapshots

要注册快照存储库,请向 OpenSearch 服务域端点发送PUT请求。您可以使用 curl示例 Python 客户端Postman 或某种其他方式发送已签名请求以注册快照存储库。请注意,您不能使用控制 OpenSearch 面板控制台中的PUT请求来注册存储库。

此请求采用以下形式:

PUT domain-endpoint/_snapshot/my-snapshot-repo-name { "type": "s3", "settings": { "bucket": "s3-bucket-name", "base_path": "my/snapshot/directory", "region": "region", "role_arn": "arn:aws:iam::123456789012:role/TheSnapshotRole" } }
注意

存储库名称不能以“cs-”开头。此外,您不应该从多个域写入同一个存储库。应该只有一个域具有对存储库的写入权限。

如果您的域位于虚拟私有云中 (VPC),则必须将您的计算机连接到,请求才能成功注册快照存储库。VPC访问因网络配置VPC而异,但可能涉及连接到VPN或公司网络。要检查您是否可以访问 OpenSearch 服务域,请https://your-vpc-domain.region.es.amazonaws.com在 Web 浏览器中导航到并确认收到默认JSON响应。

当您的 Amazon S3 存储桶位于 AWS 区域 其他 OpenSearch域中时,请将参数"endpoint": "s3.amazonaws.com"添加到请求中。

Encrypted snapshots

你目前无法使用 AWS Key Management Service (KMS) 密钥来加密手动快照,但你可以使用服务器端加密 (SSE) 来保护它们。

要为用作快照存储库的存储桶启用 S3 管理的密钥,请"server_side_encryption": true添加到请求"settings"块中PUT。SSE有关更多信息,请参阅 Amazon Simple Storage Service 开发人员指南中的使用采用 Amazon S3 托管加密密钥的服务器端加密保护数据。

或者,您可以使用 AWS KMS 密钥对用作快照存储库的 S3 存储桶进行服务器端加密。如果您使用这种方法,请确保为用于加密 S3 存储桶的 AWS KMS 密钥提供TheSnapshotRole权限。有关更多信息,请参阅AWS KMS中的密钥策略

Domain migration

注册快照存储库是一次性操作。但要从一个域迁移到另一个域,您必须在旧域和新域中注册相同的快照存储库。存储库名称是任意的。

迁移到新域或使用多个域注册同一存储库时,请考虑以下准则:

  • 在新域上注册存储库时,请"readonly": true添加到PUT请求"settings"块中。此设置可防止您意外覆盖旧域中的数据。应该只有一个域具有对存储库的写入权限。

  • 如果您要将数据迁移到其他域中的域(例如 AWS 区域,从 us-east-2 中的旧域和存储桶迁移到 us-west-2 中的新域),请在语句中替换为,然后重试请求。"region": "region" "endpoint": "s3.amazonaws.com" PUT

使用示例 Python 客户端

Python 客户端比简单的HTTP请求更容易实现自动化,并且具有更好的可重用性。如果您选择使用此方法注册快照存储库,请将下面的示例 Python 代码保存为 Python 文件,如 register-repo.py。客户端需要 AWS SDK for Python (Boto3)requestsrequests-aws4auth 程序包。客户端包含其他快照操作的带注释示例。

更新示例代码中的以下变量:hostregionpathpayload

import boto3 import requests from requests_aws4auth import AWS4Auth host = '' # domain endpoint region = '' # e.g. us-west-1 service = 'es' credentials = boto3.Session().get_credentials() awsauth = AWS4Auth(credentials.access_key, credentials.secret_key, region, service, session_token=credentials.token) # Register repository path = '/_snapshot/my-snapshot-repo-name' # the OpenSearch API endpoint url = host + path payload = { "type": "s3", "settings": { "bucket": "s3-bucket-name", "base_path": "my/snapshot/directory", "region": "us-west-1", "role_arn": "arn:aws:iam::123456789012:role/snapshot-role" } } headers = {"Content-Type": "application/json"} r = requests.put(url, auth=awsauth, json=payload, headers=headers) print(r.status_code) print(r.text) # # Take snapshot # # path = '/_snapshot/my-snapshot-repo-name/my-snapshot' # url = host + path # # r = requests.put(url, auth=awsauth) # # print(r.text) # # # Delete index # # path = 'my-index' # url = host + path # # r = requests.delete(url, auth=awsauth) # # print(r.text) # # # Restore snapshot (all indexes except Dashboards and fine-grained access control) # # path = '/_snapshot/my-snapshot-repo-name/my-snapshot/_restore' # url = host + path # # payload = { # "indices": "-.kibana*,-.opendistro_security,-.opendistro-*", # "include_global_state": False # } # # headers = {"Content-Type": "application/json"} # # r = requests.post(url, auth=awsauth, json=payload, headers=headers) # # print(r.text) # # # Restore snapshot (one index) # # path = '/_snapshot/my-snapshot-repo-name/my-snapshot/_restore' # url = host + path # # payload = {"indices": "my-index"} # # headers = {"Content-Type": "application/json"} # # r = requests.post(url, auth=awsauth, json=payload, headers=headers) # # print(r.text)