Konfiguration von OpenSearch Ingestion-Pipelines für die kontoübergreifende Erfassung - OpenSearch Amazon-Dienst
Bevor Sie beginnenGewähren Sie Verbindungskonten Zugriff auf eine PipelineErstellen Sie eine Pipeline-Endpunktverbindung für jede verbindende VPCPipeline-Endpunkte werden entfernt

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration von OpenSearch Ingestion-Pipelines für die kontoübergreifende Erfassung

Für Push-basierte Quellen wie HTTP und OTel ermöglicht Ihnen Amazon OpenSearch Ingestion die gemeinsame Nutzung von Pipelines AWS-Konten von einer Virtual Private Cloud (VPC) bis zu einem Pipeline-Endpunkt in einer separaten VPC. Teams, die Analysen mit anderen Teams in ihrer Organisation teilen, nutzen diese Funktion, um beispielsweise Protokollanalysen einfacher zu nutzen.

In diesem Abschnitt wird die folgende Terminologie verwendet:

  • Pipeline-Besitzer — Das Konto, das die OpenSearch Ingestion-Pipeline besitzt und verwaltet. Nur ein Konto kann Eigentümer einer Pipeline sein.

  • Verbindungskonto — Ein Konto, das eine Verbindung zu einer gemeinsam genutzten Pipeline herstellt und diese verwendet. Mehrere Konten können eine Verbindung zu derselben Pipeline herstellen.

Um die gemeinsame VPCs Nutzung von OpenSearch Ingestion-Pipelines zu konfigurieren AWS-Konten, führen Sie die folgenden Aufgaben aus, wie hier beschrieben:

Bevor Sie beginnen

Bevor Sie die Konfiguration VPCs für die gemeinsame Nutzung OpenSearch von Ingestion-Pipelines konfigurieren AWS-Konten, führen Sie die folgenden Aufgaben aus:

Aufgabe Details

Erstellen Sie eine oder mehrere Ingestion-Pipelines OpenSearch

Stellen Sie die Mindestanzahl an OpenSearch Recheneinheiten (OSUs) auf 2 oder höher ein. Weitere Informationen finden Sie unter Amazon OpenSearch Ingestion-Pipelines erstellen. Informationen zum Aktualisieren einer Pipeline finden Sie unterAktualisierung der Amazon OpenSearch Ingestion-Pipelines.

Erstellen Sie eine oder mehrere VPCs für OpenSearch Ingestion

Um die kontoübergreifende Pipeline-Freigabe zu aktivieren, müssen alle an der Pipeline beteiligten VPC und die Pipeline-Endpoints mit den folgenden DNS-Werten konfiguriert werden:

  • enableDnsSupport=true

  • enableDnsHostnames=true

Weitere Infomationen finden Sie unter DNS-Attribute für Ihre VPC im Amazon VPC-Benutzerhandbuch.

Gewähren Sie Verbindungskonten Zugriff auf eine Pipeline

Die Verfahren in diesem Abschnitt beschreiben, wie Sie die OpenSearch Servicekonsole verwenden und den kontenübergreifenden AWS CLI Pipeline-Zugriff einrichten, indem Sie eine Ressourcenrichtlinie erstellen. Eine Ressourcenrichtlinie ermöglicht es einem Pipeline-Besitzer, andere Konten anzugeben, die auf eine Pipeline zugreifen können. Nach der Erstellung existieren Pipeline-Richtlinien so lange, wie die Pipeline existiert oder bis die Richtlinie gelöscht wird.

Anmerkung

Ressourcenrichtlinien ersetzen nicht die standardmäßige Autorisierung OpenSearch von Ingestions mithilfe von IAM-Berechtigungen. Ressourcenrichtlinien sind ein zusätzlicher Autorisierungsmechanismus, um den kontoübergreifenden Pipeline-Zugriff zu ermöglichen.

Gewähren Sie Verbindungskonten Zugriff auf eine Pipeline (Konsole)

Gehen Sie wie folgt vor, um verbindenden Konten mithilfe der Amazon OpenSearch Service-Konsole Zugriff auf eine Pipeline zu gewähren.

Um eine Pipeline-Endpunktverbindung herzustellen

  1. Erweitern Sie in der Amazon OpenSearch Service-Konsole im Navigationsbereich die Option Ingestion und wählen Sie dann Pipelines aus.

  2. Wählen Sie im Abschnitt Pipelines den Namen einer Pipeline aus, der Sie Zugriff für ein Verbindungskonto gewähren möchten.

  3. Wählen Sie die Registerkarte VPC-Endpoints.

  4. Wählen Sie im Abschnitt Autorisierte Principals die Option Konto autorisieren aus.

  5. Geben Sie im Feld AWS-Konto ID die 12-stellige Konto-ID ein und wählen Sie dann Autorisieren aus.

Verbindungskonten Zugriff auf eine Pipeline gewähren (CLI)

Gehen Sie wie folgt vor, um Verbindungskonten Zugriff auf eine Pipeline zu gewähren, indem Sie die verwenden AWS CLI.

So gewähren Sie Konten, die eine Verbindung herstellen, Zugriff auf die Pipeline

  1. Aktualisieren Sie auf die neueste Version von AWS CLI (Version 2.0). Weitere Informationen finden Sie unter Installation oder Aktualisierung auf die neueste Version von AWS CLI.

  2. Öffnen Sie die CLI im Konto und AWS-Region mit der Pipeline, die Sie teilen möchten.

  3. Führen Sie den folgenden Befehl aus, um eine Ressourcenrichtlinie für die Pipeline zu erstellen. Diese Richtlinie erteilt die osis:CreatePipelineEndpoint Genehmigung für die Pipeline. Die Richtlinie enthält einen Parameter, in dem Sie angeben können AWS-Konto IDs , ob Sie zulassen möchten.

    Anmerkung

    Im folgenden Befehl müssen Sie die Kurzform der Konto-ID verwenden und nur die zwölfstellige Konto-ID angeben. Die Verwendung eines ARN funktioniert nicht. Sie müssen auch den Amazon-Ressourcennamen (ARN) der Pipeline im CLI-Parameter für resource-arn und in der Richtlinie JSON unter angebenResource, wie gezeigt.

    aws --region region osis-cross-account put-resource-policy \
  --resource-arn arn:aws:osis:region:pipeline-owner-account-ID:pipeline/pipeline-name
  --policy 'IAM-policy'

    Verwenden Sie eine Richtlinie wie die folgende für IAM-policy

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
  {
  "Sid": "AllowAccess",
  "Effect": "Allow",
  "Principal": {
  "AWS": [
  "111122223333",
  "444455556666"
  ]
  },
  "Action": 
  "osis:CreatePipelineEndpoint",
  "Resource": "arn:aws:osis:us-east-1:123456789012:pipeline/pipeline-name"
  }
  ]
 }

Erstellen Sie eine Pipeline-Endpunktverbindung für jede verbindende VPC

Nachdem der Pipeline-Besitzer mithilfe des vorherigen Verfahrens Zugriff auf eine Pipeline in seiner VPC gewährt hat, erstellt ein Benutzer des Verbindungskontos einen Pipeline-Endpunkt in seiner VPC. Dieser Abschnitt enthält Verfahren zum Erstellen von Endpunkten mithilfe der OpenSearch Servicekonsole und der. AWS CLI Wenn Sie einen Endpunkt erstellen, führt OpenSearch Ingestion die folgenden Aktionen aus:

  • Erstellt die AWSServiceRoleForAmazonOpenSearchIngestionServicedienstverknüpfte Rolle in Ihrem Konto, falls sie noch nicht vorhanden ist. Diese Rolle gibt dem Benutzer im Verbindungskonto die Berechtigung, die CreatePipelineEndpointAPI-Aktion aufzurufen.

  • Erstellt den Pipeline-Endpunkt.

  • Konfiguriert den Pipeline-Endpunkt so, dass er Daten aus der gemeinsam genutzten Pipeline in der VPC des Pipeline-Besitzers aufnimmt.

Erstellen einer Pipeline-Endpunktverbindung (Konsole)

Gehen Sie wie folgt vor, um mithilfe der OpenSearch Servicekonsole eine Pipeline-Endpunktverbindung herzustellen.

So erstellen Sie eine Pipeline-Endpunktverbindung

  1. Erweitern Sie in der Amazon OpenSearch Service-Konsole im Navigationsbereich die Option Ingestion und wählen Sie dann VPC-Endpoints aus.

  2. Wählen Sie auf der Seite VPC-Endpoints die Option Create aus.

  3. Wählen Sie für den Standort der Pipeline eine Option aus. Wenn Sie Girokonto wählen, wählen Sie die Pipeline aus der Liste aus. Wenn Sie Kontoübergreifend wählen, geben Sie den Pipeline-ARN in das Feld ein. Der Pipeline-Besitzer muss Zugriff auf die Pipeline gewährt haben, wie unter beschriebenGewähren Sie Verbindungskonten Zugriff auf eine Pipeline.

  4. Wählen Sie im Abschnitt VPC-Einstellungen für VPC eine VPC aus der Liste aus.

  5. Wählen Sie im Feld Subnets (Subnetze) ein Subnetz aus.

  6. Wählen Sie für Sicherheitsgruppen eine Gruppe aus.

  7. Wählen Sie Endpunkt erstellen aus.

Warten Sie auf den Status des Endpunkts, zu dem Sie den Übergang erstellt habenACTIVE. Sobald die Pipeline fertig istACTIVE, sehen Sie ein neues Feld mit dem NameningestEndpointUrl. Verwenden Sie diesen Endpunkt, um über einen Client wie FluentBit auf die Pipeline zuzugreifen und Daten aufzunehmen. Weitere Hinweise zur Verwendung FluentBit zum Ingestieren von Daten finden Sie unter. Verwenden einer OpenSearch Ingestion-Pipeline mit Fluent Bit

Anmerkung

Das ingestEndpointUrl ist dieselbe URL für alle Konten, die eine Verbindung herstellen.

Eine Pipeline-Endpunktverbindung (CLI) erstellen

Gehen Sie wie folgt vor, um eine Pipeline-Endpunktverbindung mithilfe von zu erstellen. AWS CLI

Um eine Pipeline-Endpunktverbindung zu erstellen

  1. Falls Sie dies noch nicht getan haben, aktualisieren Sie auf die neueste Version von AWS CLI (Version 2.0). Weitere Informationen finden Sie unter Installation oder Aktualisierung auf die neueste Version von AWS CLI.

  2. Öffnen Sie die CLI im Verbindungskonto in der AWS-Region mit der gemeinsam genutzten Pipeline.

  3. Führen Sie den folgenden Befehl aus, um einen Pipeline-Endpunkt zu erstellen.

    Anmerkung

    Sie müssen mindestens ein Subnetz und eine Sicherheitsgruppe für die VPC des Verbindungskontos angeben. Die Sicherheitsgruppe muss Port 443 enthalten und Clients beim Verbindungskonto VPC unterstützen.

    aws osis --region region create-pipeline-endpoint \
  --pipeline-arn arn:aws:osis:region:connecting-account-ID:pipeline/shared-pipeline-name
  --vpc-options SecurityGroupIds={sg-security-group-ID-1,sg-security-group-ID-2},SubnetIds=subnet-subnet-ID

  4. Führen Sie den folgenden Befehl aus, um Endpunkte in der Region aufzulisten, die im vorherigen Befehl angegeben wurde:

    aws osis-cross-account --region region list-pipeline-endpoints

Warten Sie auf den Status des Endpunkts, zu dem Sie den Übergang erstellt haben. ACTIVE Sobald die Pipeline fertig istACTIVE, sehen Sie ein neues Feld mit dem NameningestEndpointUrl. Verwenden Sie diesen Endpunkt, um über einen Client wie FluentBit auf die Pipeline zuzugreifen und Daten aufzunehmen. Weitere Hinweise zur Verwendung FluentBit zum Ingestieren von Daten finden Sie unter. Verwenden einer OpenSearch Ingestion-Pipeline mit Fluent Bit

Anmerkung

Das ingestEndpointUrl ist dieselbe URL für alle Konten, die eine Verbindung herstellen.

Pipeline-Endpunkte werden entfernt

Wenn Sie keinen Zugriff mehr auf eine gemeinsam genutzte Pipeline gewähren möchten, können Sie einen Pipeline-Endpunkt mit einer der folgenden Methoden entfernen:

  • Löschen Sie den Pipeline-Endpunkt (Verbindungskonto).

  • Widerrufen Sie den Pipeline-Endpunkt (Pipeline-Besitzer).

Gehen Sie wie folgt vor, um einen Pipeline-Endpunkt in einem Verbindungskonto zu löschen.

So löschen Sie einen Pipeline-Endpunkt (Verbindungskonto)

  1. Öffnen Sie die CLI im Verbindungskonto in der AWS-Region mit der gemeinsam genutzten Pipeline.

  2. Führen Sie den folgenden Befehl aus, um die Pipeline-Endpunkte in der Region aufzulisten:

    aws osis-cross-account --region region list-pipeline-endpoints

    Notieren Sie sich die Pipeline-ID, die Sie löschen möchten.

  3. Führen Sie den folgenden Befehl aus, um den Pipeline-Endpunkt zu löschen:

    aws osis-cross-account --region region delete-pipeline-endpoint \
  --endpoint-id 'ID'

Verwenden Sie als Pipeline-Besitzer der gemeinsam genutzten Pipeline das folgende Verfahren, um einen Pipeline-Endpunkt zu sperren.

Um einen Pipeline-Endpunkt zu sperren (Pipeline-Besitzer)

  1. Öffnen Sie die CLI im Verbindungskonto in der AWS-Region mit der gemeinsam genutzten Pipeline.

  2. Führen Sie den folgenden Befehl aus, um die Pipeline-Endpunktverbindungen in der Region aufzulisten:

    aws osis-cross-account --region region list-pipeline-endpoint-connections

    Notieren Sie sich die Pipeline-ID, die Sie löschen möchten.

  3. Führen Sie den folgenden Befehl aus, um den Pipeline-Endpunkt zu löschen:

    aws osis-cross-account --region region revoke-pipeline-endpoint-connections \
  --pipeline-arn pipeline-arn --endpoint-ids ID

    Der Befehl unterstützt die Angabe nur einer Endpunkt-ID.