Amazon OpenSearch Ingestion-Pipelines Zugriff auf Sammlungen gewähren - OpenSearch Amazon-Dienst
Schritt 1: Erstellen Sie die Pipeline-RolleSchritt 2: Konfigurieren Sie den Daten- und Netzwerkzugriff für die Sammlung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon OpenSearch Ingestion-Pipelines Zugriff auf Sammlungen gewähren

Eine Amazon OpenSearch Ingestion-Pipeline kann in eine OpenSearch serverlose öffentliche Sammlung oder VPC-Sammlung schreiben. Um Zugriff auf die Sammlung zu gewähren, konfigurieren Sie eine AWS Identity and Access Management (IAM-) Pipeline-Rolle mit einer Berechtigungsrichtlinie, die Zugriff auf die Sammlung gewährt. Die Pipeline übernimmt diese Rolle, um Anfragen an die OpenSearch serverlose Sammelsenke zu signieren.

Wichtig

Sie können wählen, ob Sie die Pipeline-Rolle manuell erstellen möchten, oder Sie können sie von OpenSearch Ingestion während der Pipelineerstellung für Sie erstellen lassen. Wenn Sie sich für die automatische Rollenerstellung entscheiden, fügt OpenSearch Ingestion der Pipeline-Rollenzugriffsrichtlinie alle erforderlichen Berechtigungen hinzu, basierend auf der von Ihnen ausgewählten Quelle und Senke. Es erstellt eine Pipeline-Rolle in IAM mit dem Präfix OpenSearchIngestion- und dem Suffix, die Sie eingeben. Weitere Informationen finden Sie unter Rolle „Pipeline“.

Wenn Sie OpenSearch Ingestion die Pipeline-Rolle für Sie erstellen lassen, müssen Sie die Rolle dennoch in die Datenzugriffsrichtlinie der Sammlung aufnehmen, entweder vor oder nach dem Erstellen der Pipeline. Anweisungen finden Sie in Schritt 2.

Während der Pipelineerstellung stellt OpenSearch Ingestion eine AWS PrivateLink Verbindung zwischen der Pipeline und der OpenSearch Serverless-Sammlung her. Der gesamte Datenverkehr von der Pipeline durchläuft diesen VPC-Endpunkt und wird an die Sammlung weitergeleitet. Um die Sammlung zu erreichen, muss dem Endpunkt über eine Netzwerkzugriffsrichtlinie Zugriff auf die Sammlung gewährt werden.

OpenSearch Ingestion pipeline connecting to OpenSearch Serverless collection via PrivateLink VPC endpoint.

Schritt 1: Erstellen Sie die Pipeline-Rolle

Der Pipeline-Rolle muss eine zugehörige Berechtigungsrichtlinie zugeordnet sein, die es ihr ermöglicht, Daten an die Sammelsenke zu senden. Außerdem muss sie über eine Vertrauensbeziehung verfügen, die es OpenSearch Ingestion ermöglicht, die Rolle zu übernehmen. Anweisungen zum Anhängen einer Richtlinie an eine Rolle finden Sie unter Hinzufügen von IAM-Identitätsberechtigungen im IAM-Benutzerhandbuch.

Die folgende Beispielrichtlinie zeigt die geringsten Rechte, die Sie in einer Pipeline-Rollenzugriffsrichtlinie für das Schreiben in Sammlungen gewähren können:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "aoss:APIAccessAll",
                "aoss:BatchGetCollection",
                "aoss:CreateSecurityPolicy",
                "aoss:GetSecurityPolicy",
                "aoss:UpdateSecurityPolicy"
            ],
            "Resource": "*"
        }
    ]
}

Die Rolle muss über die folgende Vertrauensstellung verfügen, damit OpenSearch Ingestion sie übernehmen kann:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "osis-pipelines.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Schritt 2: Konfigurieren Sie den Daten- und Netzwerkzugriff für die Sammlung

Erstellen Sie eine OpenSearch serverlose Sammlung mit den folgenden Einstellungen. Anweisungen zum Erstellen einer Sammlung finden Sie unterErstellen von Sammlungen.

Richtlinie für den Datenzugriff

Erstellen Sie eine Datenzugriffsrichtlinie für die Sammlung, die der Pipeline-Rolle die erforderlichen Berechtigungen gewährt. Zum Beispiel:

[
  {
    "Rules": [
      {
        "Resource": [
          "index/collection-name/*"
        ],
        "Permission": [
          "aoss:CreateIndex",
          "aoss:UpdateIndex",
          "aoss:DescribeIndex",
          "aoss:WriteDocument"
        ],
        "ResourceType": "index"
      }
    ],
    "Principal": [
      "arn:aws:iam::account-id:role/pipeline-role"
    ],
    "Description": "Pipeline role access"
  }
]
Anmerkung

Geben Sie im Principal Element den Amazon-Ressourcennamen (ARN) der Pipeline-Rolle an.

Richtlinie für den Netzwerkzugriff

Jeder Sammlung, die Sie in OpenSearch Serverless erstellen, ist mindestens eine Netzwerkzugriffsrichtlinie zugeordnet. Netzwerkzugriffsrichtlinien bestimmen, ob auf die Sammlung über das Internet von öffentlichen Netzwerken aus zugegriffen werden kann oder ob privat darauf zugegriffen werden muss. Weitere Informationen zu Netzwerkrichtlinien finden Sie unterNetzwerkzugriff für Amazon OpenSearch Serverless.

Innerhalb einer Netzwerkzugriffsrichtlinie können Sie nur OpenSearch serverlos verwaltete VPC-Endpunkte angeben. Weitere Informationen finden Sie unter Greifen Sie über einen Schnittstellenendpunkt auf Amazon OpenSearch Serverless zu ()AWS PrivateLink. Damit die Pipeline jedoch in die Sammlung schreiben kann, muss die Richtlinie auch Zugriff auf den VPC-Endpunkt gewähren, den OpenSearch Ingestion automatisch zwischen der Pipeline und der Sammlung erstellt. Wenn Sie also eine OpenSearch serverlose Sammlung als Zielsenke für eine Pipeline wählen, müssen Sie den Namen der zugehörigen Netzwerkrichtlinie in das Feld Netzwerkrichtlinienname eingeben.

Bei der Erstellung der Pipeline überprüft OpenSearch Ingestion, ob die angegebene Netzwerkrichtlinie existiert. Wenn sie nicht existiert, wird sie von OpenSearch Ingestion erstellt. Falls sie existiert, aktualisiert OpenSearch Ingestion sie, indem ihr eine neue Regel hinzugefügt wird. Die Regel gewährt Zugriff auf den VPC-Endpunkt, der die Pipeline und die Sammlung verbindet.

Zum Beispiel:

{
   "Rules":[
      {
         "Resource":[
            "collection/my-collection"
         ],
         "ResourceType":"collection"
      }
   ],
   "SourceVPCEs":[
      "vpce-0c510712627e27269" # The ID of the VPC endpoint that OpenSearch Ingestion creates between the pipeline and collection
   ],
   "Description":"Created by Data Prepper"
}

In der Konsole erhalten alle Regeln, die OpenSearch Ingestion Ihren Netzwerkrichtlinien hinzufügt, den Namen Created by Data Prepper:

Configuration details for OpenSearch endpoint access, including VPC endpoint and resources.
Anmerkung

Im Allgemeinen hat eine Regel, die den öffentlichen Zugriff auf eine Sammlung festlegt, Vorrang vor einer Regel, die privaten Zugriff festlegt. Wenn für die Richtlinie bereits öffentlicher Zugriff konfiguriert war, ändert diese neue Regel, die OpenSearch Ingestion hinzufügt, das Verhalten der Richtlinie also nicht. Weitere Informationen finden Sie unter Vorrang der Richtlinie.

Wenn Sie die Pipeline beenden oder löschen, löscht OpenSearch Ingestion den VPC-Endpunkt zwischen der Pipeline und der Sammlung. Es ändert auch die Netzwerkrichtlinie, um den VPC-Endpunkt aus der Liste der zulässigen Endpunkte zu entfernen. Wenn Sie die Pipeline neu starten, erstellt sie den VPC-Endpunkt neu und aktualisiert die Netzwerkrichtlinie erneut mit der Endpunkt-ID.