View a markdown version of this page

Zugriff auf Datenebene über AWS PrivateLink - OpenSearch Amazon-Dienst
Methoden zur Erstellung von VPC-EndpunktenDNS-Auflösung von Classic-SammlungsendpunktenVPCs und NetzwerkzugriffsrichtlinienVPCs und EndpunktrichtlinienÜberlegungenErforderliche BerechtigungenErstellen Sie einen Standardschnittstellenendpunkt () NextGenErstellen Sie einen OpenSearch Serverless-managed Schnittstellenendpunkt (Classic)Gemeinsames VPC-Setup für Amazon Serverless OpenSearch

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zugriff auf Datenebene über AWS PrivateLink

Amazon OpenSearch Serverless unterstützt zwei Arten von AWS PrivateLink Verbindungen für den Betrieb auf der Steuerungsebene und der Datenebene. Zu den Vorgängen auf der Kontrollebene gehören das Erstellen und Löschen von Sammlungen sowie die Verwaltung von Zugriffsrichtlinien. Operationen auf Datenebene dienen der Indizierung und Abfrage von Daten innerhalb einer Sammlung. Diese Seite behandelt VPC-Endpunkte auf Datenebene. Informationen zu AWS PrivateLink Endpunkten der Steuerungsebene finden Sie unter. Steuern Sie den Flugzeug-Zugriff über AWS PrivateLink

Sie können AWS PrivateLink es verwenden, um eine private Verbindung zwischen Ihrer VPC und Amazon OpenSearch Serverless herzustellen. Sie können auf OpenSearch Serverless zugreifen, als wäre es in Ihrer VPC, ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder Direct Connect eine Verbindung zu verwenden. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um auf OpenSearch Serverless zuzugreifen. Weitere Informationen zum VPC-Netzwerkzugriff finden Sie unter Netzwerkverbindungsmuster für Amazon OpenSearch Serverless.

Sie stellen diese private Verbindung her, indem Sie einen Schnittstellen-Endpunkt erstellen, der von AWS PrivateLink unterstützt wird. Wir erstellen eine Endpunkt-Netzwerkschnittstelle in jedem Subnetz, das Sie für den Schnittstellen-Endpunkt angeben. Dabei handelt es sich um vom Anforderer verwaltete Netzwerkschnittstellen, die als Einstiegspunkt für den Datenverkehr dienen, der für Serverless bestimmt ist. OpenSearch

Weitere Informationen finden Sie unter Zugriff auf AWS-Services über AWS PrivateLink im AWS PrivateLink -Leitfaden.

Methoden zur Erstellung von VPC-Endpunkten

Amazon OpenSearch Serverless unterstützt zwei Möglichkeiten, einen VPC-Endpunkt auf Datenebene zu erstellen, je nachdem, auf welchen Typ von Sammelendpunkt Sie zugreifen möchten. Weitere Informationen zu Formaten für Erfassungsendpunkte finden Sie unter. Sammelendpunkte für Amazon Serverless OpenSearch

  • AWS PrivateLink Standard-VPC-Endpunkt (NextGen) — Verwenden Sie diese Methode, um auf die OpenSearch serverlosen NextGen Sammlungsendpunkte zuzugreifen on.aws (Formate pro Sammlung und pro Konto). Sie erstellen den VPC-Endpunkt über die Amazon VPC-Konsole oder die Amazon EC2 CreateVpcEndpoint EC2-API, genauso wie Sie einen VPC-Schnittstellen-Endpunkt für jeden anderen erstellen. AWS-Service Informationen zum Erstellen dieses Endpunkttyps finden Sie unter. Erstellen Sie einen Standard AWS PrivateLink Schnittstellen-Endpunkt (OpenSearch Serverlos NextGen)

  • OpenSearch Serverless-managed VPC-Endpunkt (Classic) — Verwenden Sie diese Methode, um auf OpenSearch Serverless Classic-Endpoints pro Sammlung zuzugreifen. aoss.amazonaws.com Sie erstellen den VPC-Endpunkt über die OpenSearch Serverless-Konsole, die OpenSearch Serverless CreateVpcEndpoint API oder den Serverless. OpenSearch AWS CLI Der Service erstellt in Ihrem Namen den VPC-Endpunkt der Schnittstelle und eine private gehostete Amazon Route 53-Zone in Ihrem Konto. Informationen zum Erstellen dieses Endpunkttyps finden Sie unterErstellen Sie einen OpenSearch Serverless-managed Schnittstellenendpunkt (Serverless Classic) OpenSearch.

DNS-Auflösung von Classic-Sammlungsendpunkten

Wenn Sie über die OpenSearch Serverless-Konsole einen VPC-Endpunkt auf Datenebene erstellen, erstellt der Service eine neue Amazon Route 53 private gehostete Zone und fügt sie der VPC hinzu. Diese private gehostete Zone besteht aus einem Datensatz zur Auflösung des Platzhalter-DNS-Eintrags für OpenSearch serverlose Sammlungen (*.us-east-1.aoss.amazonaws.com) in die für den Endpunkt verwendeten Schnittstellenadressen. Sie benötigen nur einen OpenSearch serverlosen VPC-Endpunkt in einer VPC, um auf alle Sammlungen und Dashboards in jeder VPC zuzugreifen. AWS-Region Jeder VPC mit einem Endpunkt für OpenSearch Serverless ist eine eigene private Hosting-Zone zugeordnet.

Anmerkung

Ein einzelner VPC-Endpunkt bietet keine Multi-AZ Redundanz. Wenn hohe Verfügbarkeit erforderlich ist, sollten Sie die Bereitstellung von VPC-Endpunkten in mehreren Subnetzen in verschiedenen Availability Zones in Betracht ziehen.

Der Endpunkt der OpenSearch serverlosen Schnittstelle erstellt außerdem einen öffentlichen Route 53-Platzhalter-DNS-Eintrag für alle Sammlungen in der Region. Der DNS-Name wird in die OpenSearch serverlosen öffentlichen IP-Adressen aufgelöst. Clients in VPCs, die keinen OpenSearch serverlosen VPC-Endpunkt haben, oder Clients in öffentlichen Netzwerken können den öffentlichen Route 53-Resolver verwenden und mit diesen IP-Adressen auf die Sammlungen und Dashboards zugreifen. Der IP-Adresstyp (IPv4, IPv6 oder Dualstack) des VPC-Endpunkts wird anhand der Subnetze bestimmt, die beim Erstellen eines Schnittstellenendpunkts für Serverless bereitgestellt werden. OpenSearch

Anmerkung

OpenSearch Serverless erstellt eine zusätzliche private gehostete Amazon Route 53-Zone (`<region>.opensearch.amazonaws.com`) für die Auflösung einer OpenSearch Service-Domain. Sie können Ihren vorhandenen IPv4-VPC-Endpunkt auf Dualstack aktualisieren, indem Sie den Befehl update-vpc-endpoint in der verwenden. AWS CLI

Die DNS-Resolver-Adresse für eine bestimmte VPC ist die zweite IP-Adresse der VPC CIDR. Jeder Client in der VPC muss diesen Resolver verwenden, um die VPC-Endpunktadresse für jede Sammlung abzurufen. Der Resolver verwendet eine private gehostete Zone, die von Serverless erstellt wurde. OpenSearch Es reicht aus, diesen Resolver für alle Sammlungen in einem beliebigen Konto zu verwenden. Es ist auch möglich, den VPC-Resolver für einige Sammlungsendpunkte und den öffentlichen Resolver für andere zu verwenden, obwohl dies normalerweise nicht erforderlich ist.

VPCs und Netzwerkzugriffsrichtlinien

Um OpenSearch APIs und Dashboards für Ihre Sammlungen Netzwerkberechtigungen zu gewähren, können Sie Richtlinien für den OpenSearch serverlosen Netzwerkzugriff verwenden. Sie können diesen Netzwerkzugriff entweder von Ihren VPC-Endpunkten oder dem öffentlichen Internet aus steuern. Da Ihre Netzwerkrichtlinie nur die Zugriffsberechtigungen steuert, müssen Sie auch eine Datenzugriffsrichtlinie einrichten, die die Erlaubnis festlegt, mit den Daten in einer Sammlung und ihren Indizes zu arbeiten. Stellen Sie sich einen OpenSearch serverlosen VPC-Endpunkt als Zugriffspunkt für den Service, eine Netzwerkzugriffsrichtlinie als Zugriffspunkt auf Netzwerkebene für Sammlungen und Dashboards und eine Datenzugriffsrichtlinie als Zugriffspunkt für eine detaillierte Zugriffskontrolle für jeden Vorgang mit Daten in der Sammlung vor.

Da Sie in einer Netzwerkrichtlinie mehrere VPC-Endpunkt-IDs angeben können, empfehlen wir, für jede VPC, die auf eine Sammlung zugreifen muss, einen VPC-Endpunkt zu erstellen. Diese VPCs können zu anderen AWS Konten gehören als das Konto, dem die OpenSearch Serverless-Sammlung und die Netzwerkrichtlinie gehören. Es wird nicht empfohlen, eine VPC-to-VPC Peering- oder andere Proxylösung zwischen zwei Konten zu erstellen, sodass die VPC eines Kontos den VPC-Endpunkt eines anderen Kontos verwenden kann. Dies ist weniger sicher und kostengünstiger als wenn jede VPC über einen eigenen Endpunkt verfügt. Die erste VPC wird für den Administrator der anderen VPC, der in der Netzwerkrichtlinie den Zugriff auf den Endpunkt dieser VPC eingerichtet hat, nicht ohne weiteres sichtbar sein.

VPCs und Endpunktrichtlinien

Amazon OpenSearch Serverless unterstützt Endpunktrichtlinien für VPCs. Eine Endpunktrichtlinie ist eine ressourcenbasierte IAM-Richtlinie, die Sie an einen VPC-Endpunkt anhängen, um zu steuern, welche AWS Principals den Endpunkt für den Zugriff auf Ihren Service verwenden können. AWS Weitere Informationen finden Sie unter Steuern des Zugriffs auf VPC-Endpoints mithilfe von Endpunktrichtlinien.

Um eine Endpunktrichtlinie zu verwenden, müssen Sie zunächst einen Schnittstellenendpunkt erstellen. Sie können einen Schnittstellenendpunkt entweder mit der OpenSearch Serverless-Konsole oder der OpenSearch Serverless-API erstellen. Nachdem Sie Ihren Schnittstellenendpunkt erstellt haben, müssen Sie die Endpunktrichtlinie zum Endpunkt hinzufügen. Weitere Informationen finden Sie unter Erstellen Sie einen OpenSearch Serverless-managed Schnittstellenendpunkt (Serverless Classic) OpenSearch.

Anmerkung

Sie können eine Endpunktrichtlinie nicht direkt in der OpenSearch Servicekonsole definieren.

Eine Endpunktrichtlinie überschreibt oder ersetzt keine anderen identitätsbasierten Richtlinien, ressourcenbasierten Richtlinien, Netzwerkrichtlinien oder Datenzugriffsrichtlinien, die Sie möglicherweise konfiguriert haben. Weitere Informationen zur Aktualisierung von Endpunktrichtlinien finden Sie unter Steuern des Zugriffs auf VPC-Endpunkte mithilfe von Endpunktrichtlinien.

Standardmäßig gewährt eine Endpunktrichtlinie vollen Zugriff auf Ihren VPC-Endpunkt. 

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

Obwohl die standardmäßige VPC-Endpunktrichtlinie vollen Endpunktzugriff gewährt, können Sie eine VPC-Endpunktrichtlinie konfigurieren, um den Zugriff auf bestimmte Rollen und Benutzer zu ermöglichen. Sehen Sie sich dazu das folgende Beispiel an:

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "123456789012",
                    "987654321098"
                ]
            },
            "Action": "*",
            "Resource": "*"
        }
    ]
}

Sie können eine OpenSearch serverlose Sammlung angeben, die als bedingtes Element in Ihre VPC-Endpunktrichtlinie aufgenommen werden soll. Sehen Sie sich dazu das folgende Beispiel an:

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aoss:collection": [
                        "coll-abc"
                    ]
                }
            }
        }
    ]
}

Support für aoss:CollectionId wird unterstützt.

Condition": {
         "StringEquals": {
               "aoss:CollectionId": "collection-id"
          }
}

Sie können SAML-Identitäten in Ihrer VPC-Endpunktrichtlinie verwenden, um den VPC-Endpunktzugriff zu bestimmen. Sie müssen (*) im Hauptbereich Ihrer VPC-Endpunktrichtlinie einen Platzhalter verwenden. Sehen Sie sich dazu das folgende Beispiel an:

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "saml:cn": [
                        "saml/111122223333/idp123/group/football",
                        "saml/111122223333/idp123/group/soccer",
                        "saml/111122223333/idp123/group/cricket"
                    ]
                }
            }
        }
    ]
}

Darüber hinaus können Sie Ihre Endpunktrichtlinie so konfigurieren, dass sie eine bestimmte SAML-Prinzipalrichtlinie enthält. Sehen Sie sich dazu Folgendes an:

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalTag/Department": [
                        "Engineering"]
                    }
                }
            }
        ]
    }

Weitere Informationen zur Verwendung der SAML-Authentifizierung mit Amazon OpenSearch Serverless finden Sie unter SAML-Authentifizierung für Amazon Serverless. OpenSearch

Sie können auch IAM- und SAML-Benutzer in dieselbe VPC-Endpunktrichtlinie aufnehmen. Sehen Sie sich dazu das folgende Beispiel an:

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "saml:cn": [
                        "saml/111122223333/idp123/group/football",
                        "saml/111122223333/idp123/group/soccer",
                        "saml/111122223333/idp123/group/cricket"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "111122223333"
                ]
            },
            "Action": "*",
            "Resource": "*"
        }
    ]
}

Sie können auch von Amazon EC2 aus über Schnittstellen-VPC-Endpunkte auf eine Amazon OpenSearch Serverless-Sammlung zugreifen. Weitere Informationen finden Sie unter Zugriff auf eine OpenSearch serverlose Sammlung von Amazon EC2 aus (über VPC-Endpunkte mit Schnittstelle).

Überlegungen

Bevor Sie einen Schnittstellenendpunkt für OpenSearch Serverless einrichten, sollten Sie Folgendes beachten:

  • OpenSearch Serverless unterstützt Aufrufe aller unterstützten OpenSearch API-Operationen (nicht Konfigurations-API-Operationen) über den Schnittstellenendpunkt.

  • Nachdem Sie einen Schnittstellenendpunkt für OpenSearch Serverless erstellt haben, müssen Sie ihn dennoch in die Netzwerkzugriffsrichtlinien aufnehmen, damit er auf serverlose Sammlungen zugreifen kann.

  • Standardmäßig ist der vollständige Zugriff auf OpenSearch Serverless über den Schnittstellenendpunkt zulässig. Sie können den Endpunkt-Netzwerkschnittstellen eine Sicherheitsgruppe zuordnen, um den Datenverkehr zu OpenSearch Serverless über den Schnittstellenendpunkt zu steuern.

  • Ein einzelner AWS-Konto kann maximal 50 OpenSearch serverlose VPC-Endpunkte haben.

  • Wenn Sie in einer Netzwerkrichtlinie den öffentlichen Internetzugriff auf die API oder die Dashboards Ihrer Sammlung aktivieren, ist Ihre Sammlung von jeder VPC und über das öffentliche Internet zugänglich.

  • Wenn Sie sich vor Ort und außerhalb der VPC befinden, können Sie einen DNS-Resolver nicht direkt für die OpenSearch serverlose VPC-Endpunktlösung verwenden. Wenn Sie VPN-Zugriff benötigen, benötigt die VPC einen DNS-Proxy-Resolver, den externe Clients verwenden können. Route 53 bietet eine Option für eingehende Endpunkte, mit der Sie DNS-Abfragen an Ihre VPC von Ihrem lokalen Netzwerk oder einer anderen VPC aus auflösen können.

  • Die private gehostete Zone, die OpenSearch Serverless erstellt und an die VPC anhängt, wird vom Service verwaltet, sie wird jedoch in Ihren Amazon Route 53 Ressourcen angezeigt und Ihrem Konto in Rechnung gestellt.

  • Weitere Überlegungen finden Sie unter Überlegungen im AWS PrivateLink -Leitfaden.

Erforderliche Berechtigungen

Der VPC-Zugriff für OpenSearch Serverless verwendet die folgenden AWS Identity and Access Management (IAM-) Berechtigungen. Sie können IAM-Bedingungen festlegen, um Benutzer auf bestimmte Sammlungen zu beschränken.

  • aoss:CreateVpcEndpoint – Erstellt einen VPC-Endpunkt.

  • aoss:ListVpcEndpoints – Listet alle VPC-Endpunkte auf.

  • aoss:BatchGetVpcEndpoint – Zeigt Details zu einer Untergruppe von VPC-Endpunkten an.

  • aoss:UpdateVpcEndpoint – Ändert einen VPC-Endpunkt.

  • aoss:DeleteVpcEndpoint – Löscht einen VPC-Endpunkt.

Darüber hinaus benötigen Sie die folgenden Amazon-EC2- und Route-53-Berechtigungen, um einen VPC-Endpunkt zu erstellen.

  • ec2:CreateTags

  • ec2:CreateVpcEndpoint

  • ec2:DeleteVpcEndPoints

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeVpcs

  • ec2:ModifyVpcEndPoint

  • route53:AssociateVPCWithHostedZone

  • route53:ChangeResourceRecordSets

  • route53:CreateHostedZone

  • route53:DeleteHostedZone

  • route53:GetChange

  • route53:GetHostedZone

  • route53:ListHostedZonesByName

  • route53:ListHostedZonesByVPC

  • route53:ListResourceRecordSets

Erstellen Sie einen Standard AWS PrivateLink Schnittstellen-Endpunkt (OpenSearch Serverlos NextGen)

Wenn OpenSearch serverlose NextGen Sammlungsendpunkte aktiviert sindon.aws, erstellen Sie den VPC-Endpunkt als VPC-Endpunkt mit Standardschnittstelle — genauso wie bei allen anderen. AWS-Service Sie können die Amazon VPC-Konsole oder die Amazon EC2 CreateVpcEndpoint EC2-API verwenden. Sie müssen die OpenSearch serverlose CreateVpcEndpoint API für diese Endpunkte nicht verwenden.

Der Endpunkt löst alle Sammlungen in der Region unter *.aoss.region.on.aws (und in Regionen, *.aoss-fips.region.on.aws in denen FIPS unterstützt wird) auf.

Verwenden Sie den folgenden Dienstnamen, wenn Sie den VPC-Endpunkt erstellen:

com.amazonaws.region.aoss-data

In der us-east-1 Region lautet com.amazonaws.us-east-1.aoss-data der Dienstname beispielsweise.

So erstellen Sie einen VPC-Endpunkt mit Standardschnittstelle für Serverless OpenSearch NextGen

  1. Folgen Sie dem Verfahren unter Zugriff und AWS-Service Verwenden eines VPC-Schnittstellen-Endpunkts im AWS PrivateLink Handbuch.

  2. Wählen com.amazonaws.region.aoss-data Sie für den Dienstnamen.

  3. Wählen Sie die VPC, Subnetze und Sicherheitsgruppen für den Endpunkt aus. Stellen Sie sicher, dass Ihre Sicherheitsgruppen eingehenden HTTPS-Verkehr (Port 443) von den Ressourcen zulassen, die den Endpunkt verwenden werden.

  4. Aktivieren Sie privates DNS für den Endpunkt, um die AWS PrivateLink verwaltete DNS-Auflösung für OpenSearch NextGen Serverless-Sammlungs-Hostnamen zu verwenden.

Nachdem Sie den Endpunkt erstellt haben, können Sie die vpce-abc123def4EXAMPLE ID in den Richtlinien für den OpenSearch serverlosen Netzwerkzugriff verwenden, um dem Endpunkt Zugriff auf Ihre Sammlungen zu gewähren, genauso wie Sie es für OpenSearch Serverless-managed VPC-Endpunkte tun.

Erstellen Sie einen OpenSearch Serverless-managed Schnittstellenendpunkt (Serverless Classic) OpenSearch

Wenn OpenSearch Serverless Classic-Endpoints pro Sammlung aktiviert sind, erstellen Sie einen OpenSearch Serverless-managed Schnittstellenendpunktaoss.amazonaws.com, indem Sie entweder die OpenSearch Serverless-Konsole oder die Serverless-API verwenden. OpenSearch

Um einen Schnittstellenendpunkt für eine Serverless Classic-Sammlung zu erstellen OpenSearch

  1. Öffnen Sie die Amazon OpenSearch Service-Konsole unter https://console.aws.amazon.com/aos/home.

  2. Erweitern Sie im linken Navigationsbereich Serverless und wählen Sie VPC endpoints (VPC-Endpunkte) aus.

  3. Wählen Sie Create VPC endpoint (VPC-Endpunkt) erstellen.

  4. Geben Sie einen Namen für den Endpunkt an.

  5. Wählen Sie für VPC die VPC aus, von der aus Sie auf OpenSearch Serverless zugreifen möchten.

  6. Wählen Sie für Subnetze ein Subnetz aus, von dem aus Sie auf Serverless zugreifen möchten. OpenSearch

    • Die IP-Adresse und der DNS-Typ des Endpunkts basieren auf dem Subnetztyp

      • Dualstack: Wenn alle Subnetze sowohl IPv4- als auch IPv6-Adressbereiche haben

      • IPv6: Wenn alle Subnetze nur IPv6-Subnetze sind

      • IPv4: Wenn alle Subnetze IPv4-Adressbereiche haben

  7. Wählen Sie für Sicherheitsgruppen die Sicherheitsgruppen aus, die den Security groups (Endpunkt-Netzwerkschnittstellen) zugeordnet werden sollen. Dies ist ein wichtiger Schritt, bei dem Sie die Ports, Protokolle und Quellen für eingehenden Datenverkehr einschränken, den Sie für Ihren Endpunkt autorisieren. Stellen Sie sicher, dass die Sicherheitsgruppenregeln den Ressourcen, die den VPC-Endpunkt für die Kommunikation mit OpenSearch Serverless verwenden, die Kommunikation mit der Endpunkt-Netzwerkschnittstelle ermöglichen.

  8. Wählen Sie Endpunkt erstellen aus.

Verwenden Sie den Befehl, um einen VPC-Endpunkt mithilfe der OpenSearch Serverless API zu erstellen. CreateVpcEndpoint

Anmerkung

Nachdem Sie einen Endpunkt erstellt haben, notieren Sie sich seine ID, z. B. vpce-abc123def4EXAMPLE. Um dem Endpunkt Zugriff auf Ihre Sammlungen zu gewähren, müssen Sie diese ID in eine oder mehrere Netzwerkzugriffsrichtlinien aufnehmen.

Nachdem Sie einen Schnittstellen-Endpunkt erstellt haben, müssen Sie ihm über Netzwerkzugriffsrichtlinien Zugriff auf Sammlungen gewähren. Weitere Informationen finden Sie unter Netzwerkzugriff für Amazon OpenSearch Serverless.

Gemeinsames VPC-Setup für Amazon Serverless OpenSearch

Sie können Amazon Virtual Private Cloud (VPC) verwenden, um VPC-Subnetze mit anderen AWS-Konten in Ihrer Organisation zu teilen und Netzwerkinfrastruktur wie ein VPN zwischen mehreren Ressourcen gemeinsam zu nutzen. AWS-Konten

Derzeit unterstützt Amazon OpenSearch Serverless das Herstellen einer AWS PrivateLink Verbindung zu einer gemeinsam genutzten VPC nur, wenn Sie Eigentümer dieser VPC sind. AWS PrivateLink unterstützt auch nicht die gemeinsame Nutzung von Verbindungen zwischen. AWS-Konten

Basierend auf der flexiblen und modularen Architektur von OpenSearch Serverless können Sie jedoch weiterhin eine gemeinsam genutzte VPC einrichten. Dies liegt daran, dass die OpenSearch serverlose Netzwerkinfrastruktur von der Infrastruktur für individuelle Datenerfassungen (OpenSearch Dienste) getrennt ist. Sie können daher einen AWS PrivateLink vPCe-Endpunkt für ein Konto erstellen, auf dem sich eine VPC befindet, und dann eine vPCe-ID in der Netzwerkrichtlinie anderer Konten verwenden, um den Datenverkehr so zu beschränken, dass er nur von dieser gemeinsam genutzten VPC kommt.

Die folgenden Verfahren beziehen sich auf ein Besitzerkonto und ein Verbraucherkonto.

Ein Besitzerkonto fungiert als gemeinsames Netzwerkkonto, mit dem Sie eine VPC einrichten und sie mit anderen Konten teilen. Verbraucherkonten sind Konten, die ihre OpenSearch serverlosen Sammlungen in der VPC erstellen und verwalten, die ihnen vom Eigentümerkonto zur Verfügung gestellt werden.

Voraussetzungen

Stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind, bevor Sie die gemeinsam genutzte VPC einrichten:

  • Das Konto des beabsichtigten Besitzers muss bereits eine VPC, Subnetze, eine Routing-Tabelle und andere erforderliche Ressourcen in Amazon Virtual Private Cloud eingerichtet haben. Weitere Informationen finden Sie im Amazon VPC-Benutzerhandbuch.

  • Das Konto des beabsichtigten Besitzers und die Benutzerkonten müssen derselben Organisation in gehören. AWS Organizations Weitere Informationen finden Sie im AWS Organizations -Benutzerhandbuch.

Um eine gemeinsam genutzte VPC in einem account/common Besitzer-Netzwerkkonto einzurichten.

  1. Melden Sie sich bei der Amazon OpenSearch Service-Konsole unter an https://console.aws.amazon.com/aos/home.

  2. Führen Sie die Schritte unter Erstellen Sie einen OpenSearch Serverless-managed Schnittstellenendpunkt (Serverless Classic) OpenSearch aus. Treffen Sie dabei die folgenden Auswahlen:

    • Wählen Sie eine VPC und Subnetze aus, die mit den Verbraucherkonten in Ihrer Organisation gemeinsam genutzt werden.

  3. Nachdem Sie den Endpunkt erstellt haben, notieren Sie sich die generierte vPCe-ID und geben Sie sie an die Administratoren weiter, die die Einrichtungsaufgabe für Verbraucherkonten ausführen sollen.

    vPCe-IDs haben das folgende Format. vpce-abc123def4EXAMPLE

So richten Sie eine gemeinsam genutzte VPC in einem Verbraucherkonto ein

  1. Melden Sie sich bei der Amazon OpenSearch Service-Konsole unter an https://console.aws.amazon.com/aos/home.

  2. Verwenden Sie die angegebenen Informationen, Verwaltung von Amazon OpenSearch Serverless-Sammlungen um eine Sammlung zu erstellen, falls Sie noch keine haben.

  3. Verwenden Sie die Informationen unterErstellen von Netzwerkrichtlinien (Konsole), um eine Netzwerkrichtlinie zu erstellen. Treffen Sie dabei die folgenden Auswahlen.

    Anmerkung

    Sie können zu diesem Zweck auch eine bestehende Netzwerkrichtlinie aktualisieren.

    1. Wählen Sie als Zugriffstyp die Option VPC (empfohlen) aus.

    2. Wählen Sie für VPC-Endpunkte für den Zugriff die vPCe-ID, die Sie vom Besitzerkonto erhalten haben, im folgenden Format aus. vpce-abc123def4EXAMPLE

    3. Gehen Sie im Bereich Ressourcentyp wie folgt vor:

      • Wählen Sie das Feld Zugriff auf OpenSearch Endpunkt aktivieren und wählen Sie dann den Sammlungsnamen oder das Sammlungsmuster aus, das verwendet werden soll, um den Zugriff von dieser gemeinsam genutzten VPC aus zu aktivieren.

      • Wählen Sie das Feld Zugriff auf OpenSearch Dashboard aktivieren und wählen Sie dann den Sammlungsnamen oder das Sammlungsmuster aus, das verwendet werden soll, um den Zugriff von dieser gemeinsam genutzten VPC aus zu ermöglichen.

  4. Wählen Sie Erstellen aus, um eine neue Richtlinie zu erstellen. Wählen Sie für eine bestehende Richtlinie die Option Aktualisieren aus.