Greifen Sie über einen Schnittstellenendpunkt auf Amazon OpenSearch Serverless zu ()AWS PrivateLink - OpenSearch Amazon-Dienst
DNS-Auflösung der SammlungsendpunkteVPCs und Richtlinien für den NetzwerkzugriffVPCs und EndpunktrichtlinienÜberlegungenErforderliche BerechtigungenErstellen eines SchnittstellenendpunktsGemeinsames VPC-Setup für Amazon Serverless OpenSearch

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Greifen Sie über einen Schnittstellenendpunkt auf Amazon OpenSearch Serverless zu ()AWS PrivateLink

Sie können AWS PrivateLink damit eine private Verbindung zwischen Ihrer VPC und Amazon OpenSearch Serverless herstellen. Sie können auf OpenSearch Serverless zugreifen, als wäre es in Ihrer VPC, ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder AWS Direct Connect eine Verbindung zu verwenden. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um auf OpenSearch Serverless zuzugreifen. Weitere Informationen zum VPC-Netzwerkzugriff finden Sie unter Netzwerkverbindungsmuster für Amazon OpenSearch Serverless.

Sie stellen diese private Verbindung her, indem Sie einen Schnittstellen-Endpunkt erstellen, der von AWS PrivateLink unterstützt wird. Wir erstellen eine Endpunkt-Netzwerkschnittstelle in jedem Subnetz, das Sie für den Schnittstellen-Endpunkt angeben. Dabei handelt es sich um vom Anforderer verwaltete Netzwerkschnittstellen, die als Einstiegspunkt für den Datenverkehr dienen, der für Serverless bestimmt ist. OpenSearch

Weitere Informationen finden Sie unter Zugriff auf AWS-Services über AWS PrivateLink im AWS PrivateLink -Leitfaden.

DNS-Auflösung der Sammlungsendpunkte

Wenn Sie einen VPC-Endpunkt erstellen, erstellt der Service eine neue Amazon Route 53 private gehostete Zone und fügt sie der VPC hinzu. Diese private gehostete Zone besteht aus einem Datensatz zur Auflösung des DNS-Wildcard-Eintrags für OpenSearch serverlose Sammlungen (*.aoss.us-east-1.amazonaws.com) in die für den Endpunkt verwendeten Schnittstellenadressen. Sie benötigen nur einen OpenSearch serverlosen VPC-Endpunkt in einer VPC, um auf alle Sammlungen und Dashboards in jeder VPC zuzugreifen. AWS-Region Jeder VPC mit einem Endpunkt für OpenSearch Serverless ist eine eigene private Hosting-Zone zugeordnet.

OpenSearch Serverless erstellt außerdem einen öffentlichen Route 53-Platzhalter-DNS-Eintrag für alle Sammlungen in der Region. Der DNS-Name wird in die öffentlichen IP-Adressen von OpenSearch Serverless aufgelöst. Clients OpenSearch ohne serverlosen VPC-Endpunkt oder Clients in öffentlichen Netzwerken können den öffentlichen Route 53-Resolver verwenden und mit VPCs diesen IP-Adressen auf die Sammlungen und Dashboards zugreifen. Der IP-Adresstyp (IPv4, IPv6, oder Dualstack) des VPC-Endpunkts wird anhand der Subnetze bestimmt, die beim Erstellen eines Schnittstellenendpunkts für Serverless bereitgestellt werden. OpenSearch

Anmerkung

OpenSearch Serverless erstellt eine zusätzliche private gehostete Amazon Route 53-Zone (`<region>.opensearch.amazonaws.com`) für die Auflösung einer OpenSearch Service-Domain. Sie können Ihren vorhandenen IPv4 VPC-Endpunkt auf Dualstack aktualisieren, indem Sie den update-vpc-endpointBefehl in der verwenden. AWS CLI

Die DNS-Resolver-Adresse für eine bestimmte VPC ist die zweite IP-Adresse der VPC CIDR. Jeder Client in der VPC muss diesen Resolver verwenden, um die VPC-Endpunktadresse für jede Sammlung abzurufen. Der Resolver verwendet eine private gehostete Zone, die von Serverless erstellt wurde. OpenSearch Es reicht aus, diesen Resolver für alle Sammlungen in einem beliebigen Konto zu verwenden. Es ist auch möglich, den VPC-Resolver für einige Sammlungsendpunkte und den öffentlichen Resolver für andere zu verwenden, obwohl dies normalerweise nicht erforderlich ist.

VPCs und Richtlinien für den Netzwerkzugriff

Um Netzwerkberechtigungen OpenSearch APIs und Dashboards für Ihre Sammlungen zu gewähren, können Sie Richtlinien für den OpenSearch serverlosen Netzwerkzugriff verwenden. Sie können diesen Netzwerkzugriff entweder von Ihren VPC-Endpunkten oder dem öffentlichen Internet aus steuern. Da Ihre Netzwerkrichtlinie nur die Zugriffsberechtigungen steuert, müssen Sie auch eine Datenzugriffsrichtlinie einrichten, die die Erlaubnis festlegt, mit den Daten in einer Sammlung und ihren Indizes zu arbeiten. Stellen Sie sich einen OpenSearch serverlosen VPC-Endpunkt als Zugriffspunkt für den Service, eine Netzwerkzugriffsrichtlinie als Zugriffspunkt auf Netzwerkebene für Sammlungen und Dashboards und eine Datenzugriffsrichtlinie als Zugriffspunkt für eine detaillierte Zugriffskontrolle für jeden Vorgang mit Daten in der Sammlung vor.

Da Sie IDs in einer Netzwerkrichtlinie mehrere VPC-Endpunkte angeben können, empfehlen wir, für jede VPC, die auf eine Sammlung zugreifen muss, einen VPC-Endpunkt zu erstellen. Diese VPCs können zu anderen AWS Konten gehören als dem Konto, dem die OpenSearch serverlose Sammlung und die Netzwerkrichtlinie gehören. Es wird nicht empfohlen, eine VPC-to-VPC Peering- oder andere Proxylösung zwischen zwei Konten zu erstellen, sodass die VPC eines Kontos den VPC-Endpunkt eines anderen Kontos verwenden kann. Dies ist weniger sicher und kostengünstiger als wenn jede VPC über einen eigenen Endpunkt verfügt. Die erste VPC wird für den Administrator der anderen VPC, der in der Netzwerkrichtlinie den Zugriff auf den Endpunkt dieser VPC eingerichtet hat, nicht ohne weiteres sichtbar sein.

VPCs und Endpunktrichtlinien

Amazon OpenSearch Serverless unterstützt Endpunktrichtlinien für VPCs. Eine Endpunktrichtlinie ist eine ressourcenbasierte IAM-Richtlinie, die Sie an einen VPC-Endpunkt anhängen, um zu steuern, welche AWS Principals den Endpunkt für den Zugriff auf Ihren Service verwenden können. AWS Weitere Informationen finden Sie unter Steuern des Zugriffs auf VPC-Endpoints mithilfe von Endpunktrichtlinien.

Um eine Endpunktrichtlinie zu verwenden, müssen Sie zunächst einen Schnittstellenendpunkt erstellen. Sie können einen Schnittstellenendpunkt entweder mit der OpenSearch Serverless-Konsole oder der OpenSearch Serverless-API erstellen. Nachdem Sie Ihren Schnittstellenendpunkt erstellt haben, müssen Sie die Endpunktrichtlinie zum Endpunkt hinzufügen. Weitere Informationen finden Sie unter Zugriff auf Amazon OpenSearch Serverless über einen Schnittstellenendpunkt (AWS PrivateLink).

Anmerkung

Sie können eine Endpunktrichtlinie nicht direkt in der OpenSearch Service-Konsole definieren.

Eine Endpunktrichtlinie überschreibt oder ersetzt keine anderen identitätsbasierten Richtlinien, ressourcenbasierten Richtlinien, Netzwerkrichtlinien oder Datenzugriffsrichtlinien, die Sie möglicherweise konfiguriert haben. Weitere Informationen zur Aktualisierung von Endpunktrichtlinien finden Sie unter Steuern des Zugriffs auf VPC-Endpunkte mithilfe von Endpunktrichtlinien.

Standardmäßig gewährt eine Endpunktrichtlinie vollen Zugriff auf Ihren VPC-Endpunkt. 

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

Obwohl die standardmäßige VPC-Endpunktrichtlinie vollen Endpunktzugriff gewährt, können Sie eine VPC-Endpunktrichtlinie konfigurieren, um den Zugriff auf bestimmte Rollen und Benutzer zu ermöglichen. Sehen Sie sich dazu das folgende Beispiel an:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "123456789012",
                    "987654321098"
                ]
            },
            "Action": "*",
            "Resource": "*"
        }
    ]
}

Sie können eine OpenSearch serverlose Sammlung angeben, die als bedingtes Element in Ihre VPC-Endpunktrichtlinie aufgenommen werden soll. Sehen Sie sich dazu das folgende Beispiel an:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aoss:collection": [
                        "coll-abc"
                    ]
                }
            }
        }
    ]
}

Support für aoss:CollectionId wird unterstützt.

Condition": {
         "StringEquals": {
               "aoss:CollectionId": "collection-id"
          }
}

Sie können SAML-Identitäten in Ihrer VPC-Endpunktrichtlinie verwenden, um den VPC-Endpunktzugriff zu bestimmen. Sie müssen (*) im Hauptbereich Ihrer VPC-Endpunktrichtlinie einen Platzhalter verwenden. Sehen Sie sich dazu das folgende Beispiel an:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:SamlGroups": [
                        "saml/123456789012/idp123/group/football",
                        "saml/123456789012/idp123/group/soccer",
                        "saml/123456789012/idp123/group/cricket"
                    ]
                }
            }
        }
    ]
}

Darüber hinaus können Sie Ihre Endpunktrichtlinie so konfigurieren, dass sie eine bestimmte SAML-Prinzipalrichtlinie enthält. Sehen Sie sich dazu Folgendes an:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aoss:SamlPrincipal": [
                        "saml/123456789012/idp123/user/user1234"]
                    }
                }
            }
        ]
    }

Weitere Informationen zur Verwendung der SAML-Authentifizierung mit Amazon OpenSearch Serverless finden Sie unter SAML-Authentifizierung für Amazon Serverless. OpenSearch

Sie können auch IAM- und SAML-Benutzer in dieselbe VPC-Endpunktrichtlinie aufnehmen. Sehen Sie sich dazu das folgende Beispiel an:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aoss:SamlGroups": [
                        "saml/123456789012/idp123/group/football",
                        "saml/123456789012/idp123/group/soccer",
                        "saml/123456789012/idp123/group/cricket"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            },
            "Action": "*",
            "Resource": "*"
        }
    ]
}

Sie können auch über VPC-Endpunkte mit Schnittstellen auf eine Amazon OpenSearch Serverless-Sammlung von EC2 Amazon zugreifen. Weitere Informationen finden Sie unter Zugriff auf eine OpenSearch serverlose Sammlung von Amazon EC2 (über Schnittstellen-VPC-Endpunkte).

Überlegungen

Bevor Sie einen Schnittstellenendpunkt für OpenSearch Serverless einrichten, sollten Sie Folgendes beachten:

  • OpenSearch Serverless unterstützt Aufrufe aller unterstützten OpenSearch API-Operationen (nicht Konfigurations-API-Operationen) über den Schnittstellenendpunkt.

  • Nachdem Sie einen Schnittstellenendpunkt für OpenSearch Serverless erstellt haben, müssen Sie ihn dennoch in die Netzwerkzugriffsrichtlinien aufnehmen, damit er auf serverlose Sammlungen zugreifen kann.

  • Standardmäßig ist der vollständige Zugriff auf OpenSearch Serverless über den Schnittstellenendpunkt zulässig. Sie können den Endpunkt-Netzwerkschnittstellen eine Sicherheitsgruppe zuordnen, um den Datenverkehr zu OpenSearch Serverless über den Schnittstellenendpunkt zu steuern.

  • Ein einzelner AWS-Konto kann maximal 50 OpenSearch serverlose VPC-Endpunkte haben.

  • Wenn Sie in einer Netzwerkrichtlinie den öffentlichen Internetzugriff auf die API oder die Dashboards Ihrer Sammlung aktivieren, ist Ihre Sammlung von jeder VPC und über das öffentliche Internet zugänglich.

  • Wenn Sie sich vor Ort und außerhalb der VPC befinden, können Sie einen DNS-Resolver nicht direkt für die OpenSearch serverlose VPC-Endpunktlösung verwenden. Wenn Sie VPN-Zugriff benötigen, benötigt die VPC einen DNS-Proxy-Resolver, den externe Clients verwenden können. Route 53 bietet eine Option für eingehende Endpunkte, mit der Sie DNS-Abfragen an Ihre VPC von Ihrem lokalen Netzwerk oder einer anderen VPC aus auflösen können.

  • Die private gehostete Zone, die OpenSearch Serverless erstellt und an die VPC anhängt, wird vom Service verwaltet, sie wird jedoch in Ihren Amazon Route 53 Ressourcen angezeigt und Ihrem Konto in Rechnung gestellt.

  • Weitere Überlegungen finden Sie unter Überlegungen im AWS PrivateLink -Leitfaden.

Erforderliche Berechtigungen

Der VPC-Zugriff für OpenSearch Serverless verwendet die folgenden AWS Identity and Access Management (IAM-) Berechtigungen. Sie können IAM-Bedingungen festlegen, um Benutzer auf bestimmte Sammlungen zu beschränken.

  • aoss:CreateVpcEndpoint – Erstellt einen VPC-Endpunkt.

  • aoss:ListVpcEndpoints – Listet alle VPC-Endpunkte auf.

  • aoss:BatchGetVpcEndpoint – Zeigt Details zu einer Untergruppe von VPC-Endpunkten an.

  • aoss:UpdateVpcEndpoint – Ändert einen VPC-Endpunkt.

  • aoss:DeleteVpcEndpoint – Löscht einen VPC-Endpunkt.

Darüber hinaus benötigen Sie die folgenden Amazon EC2 - und Route 53-Berechtigungen, um einen VPC-Endpunkt zu erstellen.

  • ec2:CreateTags

  • ec2:CreateVpcEndpoint

  • ec2:DeleteVpcEndPoints

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeVpcs

  • ec2:ModifyVpcEndPoint

  • route53:AssociateVPCWithHostedZone

  • route53:ChangeResourceRecordSets

  • route53:CreateHostedZone

  • route53:DeleteHostedZone

  • route53:GetChange

  • route53:GetHostedZone

  • route53:ListHostedZonesByName

  • route53:ListHostedZonesByVPC

  • route53:ListResourceRecordSets

Erstellen Sie einen Schnittstellenendpunkt für Serverless OpenSearch

Sie können einen Schnittstellenendpunkt für OpenSearch Serverless entweder mit der Konsole oder der OpenSearch Serverless API erstellen.

Um einen Schnittstellenendpunkt für eine serverlose Sammlung zu erstellen OpenSearch

  1. Öffnen Sie die Amazon OpenSearch Service-Konsole zu https://console.aws.amazon.com/aos/Hause.

  2. Erweitern Sie im linken Navigationsbereich Serverless und wählen Sie VPC endpoints (VPC-Endpunkte) aus.

  3. Wählen Sie Create VPC endpoint (VPC-Endpunkt) erstellen.

  4. Geben Sie einen Namen für den Endpunkt an.

  5. Wählen Sie für VPC die VPC aus, von der aus Sie auf OpenSearch Serverless zugreifen möchten.

  6. Wählen Sie für Subnetze ein Subnetz aus, von dem aus Sie auf Serverless zugreifen möchten. OpenSearch

    • Die IP-Adresse und der DNS-Typ des Endpunkts basieren auf dem Subnetztyp

      • Dualstack: Wenn alle Subnetze sowohl als auch Adressbereiche haben IPv4 IPv6

      • IPv6: Wenn alle Subnetze nur Subnetze sind IPv6

      • IPv4: Wenn alle Subnetze Adressbereiche haben IPv4

  7. Wählen Sie für Sicherheitsgruppen die Sicherheitsgruppen aus, die den Security groups (Endpunkt-Netzwerkschnittstellen) zugeordnet werden sollen. Dies ist ein entscheidender Schritt, bei dem Sie die Ports, Protokolle und Quellen für eingehenden Datenverkehr einschränken, den Sie für Ihren Endpunkt autorisieren. Stellen Sie sicher, dass die Sicherheitsgruppenregeln den Ressourcen, die den VPC-Endpunkt für die Kommunikation mit OpenSearch Serverless verwenden, die Kommunikation mit der Endpunkt-Netzwerkschnittstelle ermöglichen.

  8. Wählen Sie Endpunkt erstellen aus.

Verwenden Sie den Befehl, um einen VPC-Endpunkt mithilfe der OpenSearch Serverless API zu erstellen. CreateVpcEndpoint

Anmerkung

Nachdem Sie einen Endpunkt erstellt haben, notieren Sie sich seine ID, z. B. vpce-abc123def4EXAMPLE. Um dem Endpunkt Zugriff auf Ihre Sammlungen zu gewähren, müssen Sie diese ID in eine oder mehrere Netzwerkzugriffsrichtlinien aufnehmen.

Nachdem Sie einen Schnittstellen-Endpunkt erstellt haben, müssen Sie ihm über Netzwerkzugriffsrichtlinien Zugriff auf Sammlungen gewähren. Weitere Informationen finden Sie unter Netzwerkzugriff für Amazon OpenSearch Serverless.

Gemeinsames VPC-Setup für Amazon Serverless OpenSearch

Sie können Amazon Virtual Private Cloud (VPC) verwenden, um VPC-Subnetze mit anderen AWS-Konten in Ihrer Organisation zu teilen und Netzwerkinfrastruktur wie ein VPN zwischen mehreren Ressourcen gemeinsam zu nutzen. AWS-Konten

Derzeit unterstützt Amazon OpenSearch Serverless das Herstellen einer AWS PrivateLink Verbindung zu einer gemeinsam genutzten VPC nur, wenn Sie Eigentümer dieser VPC sind. AWS PrivateLink unterstützt auch nicht die gemeinsame Nutzung von Verbindungen zwischen. AWS-Konten

Basierend auf der flexiblen und modularen Architektur von OpenSearch Serverless können Sie jedoch weiterhin eine gemeinsam genutzte VPC einrichten. Dies liegt daran, dass die OpenSearch serverlose Netzwerkinfrastruktur von der Infrastruktur für individuelle Datenerfassungen (OpenSearch Dienste) getrennt ist. Sie können daher einen AWS PrivateLink VPCe Endpunkt für ein Konto erstellen, auf dem sich eine VPC befindet, und dann eine VPCe ID in der Netzwerkrichtlinie anderer Konten verwenden, um den Datenverkehr so zu beschränken, dass er nur von dieser gemeinsam genutzten VPC kommt.

Die folgenden Verfahren beziehen sich auf ein Besitzerkonto und ein Verbraucherkonto.

Ein Besitzerkonto fungiert als gemeinsames Netzwerkkonto, mit dem Sie eine VPC einrichten und sie mit anderen Konten teilen. Verbraucherkonten sind Konten, die ihre OpenSearch serverlosen Sammlungen in der VPC erstellen und verwalten, die ihnen vom Eigentümerkonto zur Verfügung gestellt werden.

Voraussetzungen

Stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind, bevor Sie die gemeinsam genutzte VPC einrichten:

  • Das Konto des beabsichtigten Besitzers muss bereits eine VPC, Subnetze, eine Routing-Tabelle und andere erforderliche Ressourcen in Amazon Virtual Private Cloud eingerichtet haben. Weitere Informationen finden Sie im Amazon VPC-Benutzerhandbuch.

  • Das Konto des beabsichtigten Besitzers und die Benutzerkonten müssen derselben Organisation in gehören. AWS Organizations Weitere Informationen finden Sie im AWS Organizations -Benutzerhandbuch.

Um eine gemeinsam genutzte VPC in einem account/common Besitzer-Netzwerkkonto einzurichten.

  1. Melden Sie sich zu https://console.aws.amazon.com/aos/Hause bei der Amazon OpenSearch Service-Konsole an.

  2. Führen Sie die Schritte unter Erstellen Sie einen Schnittstellenendpunkt für Serverless OpenSearch aus. Treffen Sie dabei die folgenden Auswahlen:

    • Wählen Sie eine VPC und Subnetze aus, die mit den Verbraucherkonten in Ihrer Organisation gemeinsam genutzt werden.

  3. Nachdem Sie den Endpunkt erstellt haben, notieren Sie sich die generierte VPCe ID und geben Sie sie an die Administratoren weiter, die die Einrichtungsaufgabe für Verbraucherkonten ausführen sollen.

    VPCe IDs sind im Formatvpce-abc123def4EXAMPLE.

So richten Sie eine gemeinsam genutzte VPC in einem Verbraucherkonto ein

  1. Melden Sie sich zu https://console.aws.amazon.com/aos/Hause bei der Amazon OpenSearch Service-Konsole an.

  2. Verwenden Sie die angegebenen Informationen, Verwaltung von Amazon OpenSearch Serverless-Sammlungen um eine Sammlung zu erstellen, falls Sie noch keine haben.

  3. Verwenden Sie die Informationen unterErstellen von Netzwerkrichtlinien (Konsole), um eine Netzwerkrichtlinie zu erstellen. Treffen Sie dabei die folgenden Auswahlen.

    Anmerkung

    Sie können zu diesem Zweck auch eine bestehende Netzwerkrichtlinie aktualisieren.

    1. Wählen Sie als Zugriffstyp VPC (empfohlen) aus.

    2. Wählen Sie für VPC-Endpunkte für den Zugriff die VPCe ID, die Sie vom Besitzerkonto erhalten haben, im folgenden Format aus. vpce-abc123def4EXAMPLE

    3. Gehen Sie im Bereich Ressourcentyp wie folgt vor:

      • Wählen Sie das Feld Zugriff auf OpenSearch Endpunkt aktivieren und wählen Sie dann den Sammlungsnamen oder das Sammlungsmuster aus, das verwendet werden soll, um den Zugriff von dieser gemeinsam genutzten VPC aus zu aktivieren.

      • Wählen Sie das Feld Zugriff auf OpenSearch Dashboard aktivieren und wählen Sie dann den Sammlungsnamen oder das Sammlungsmuster aus, das verwendet werden soll, um den Zugriff von dieser gemeinsam genutzten VPC aus zu ermöglichen.

  4. Wählen Sie für eine neue Richtlinie Create aus. Wählen Sie für eine bestehende Richtlinie die Option Aktualisieren aus.