Creación de una conexión privada entre una VPC y OpenSearch UI Actualización de la política de puntos de conexión de VPC para permitir el acceso a la aplicación de OpenSearch UI Revocación del acceso a OpenSearch UI en una política de punto de conexión de VPC

Administración del acceso a OpenSearch UI desde un punto de conexión de VPC

Puede usar un AWS PrivateLink para crear una conexión privada entre la VPC y OpenSearch UI. Con esta conexión, puede acceder a las aplicaciones de OpenSearch Server como si estuvieran en la misma VPC. De esta forma, no necesita configurar una puerta de enlace de internet, un dispositivo NAT, una conexión VPN ni AWS Direct Connect para establecer la conexión. Las instancias de la VPC no necesitan direcciones IP públicas para acceder a Amazon OpenSearch UI.

Esta conexión privada se establece mediante la creación de un punto de conexión de interfaz alimentado por AWS PrivateLink. Se crea una interfaz de red de punto de conexión en cada subred especificada para el punto de conexión de interfaz. Se trata de interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado a aplicaciones de OpenSearch UI.

Creación de una conexión privada entre una VPC y OpenSearch UI

Puede crear una conexión privada para acceder a OpenSearch UI desde una VPC mediante la Consola de administración de AWS o la AWS CLI.

Creación de una conexión privada entre una VPC y OpenSearch UI (consola)

Para crear una conexión privada entre una VPC y OpenSearch UI mediante la consola

Inicie sesión en la consola de Amazon OpenSearch Service en https://console.aws.amazon.com/aos/home.
En el panel de navegación de la izquierda, amplíe Sin servidor y seleccione Puntos de conexión de VPC.
Seleccione Crear punto de conexión de VPC.
En Nombre, ingrese un nombre para el punto de conexión.
Para VPC, seleccione la VPC desde la que accederá a las aplicaciones de OpenSearch UI.
En Subredes, seleccione la subred desde la que accederá a las aplicaciones de OpenSearch UI.
nota
La dirección IP y el tipo de DNS del punto de conexión se basan en el tipo de subred:
- Dualstack: si todas las subredes tienen rangos de direcciones IPv4 y IPv6.
- IPv6: si todas las subredes son subredes IPv6.
- IPv4: si todas las subredes tienen rangos de direcciones IPv4.
En Grupos de seguridad, seleccione el grupo de seguridad que se va a asociar con las interfaces de red de punto de conexión de VPC.

nota
Este es un paso fundamental en el que limita los puertos, protocolos y orígenes para el tráfico entrante que autoriza para el punto de conexión. Asegúrese de que las reglas del grupo de seguridad permitan a los recursos que utilizarán los puntos de conexión de VPC comunicarse con OpenSearch UI para, a su vez, comunicarse con la interfaz de la red del punto de conexión.
8. Seleccione Crear punto de conexión.

Creación de una conexión privada entre una VPC y OpenSearch UI (AWS CLI)

Para crear una conexión privada entre una VPC y OpenSearch UI mediante la AWS CLI

Ejecute el siguiente comando. Reemplace los valores de marcador de posición con su información.


aws opensearchserverless create-vpc-endpoint \
    --region region \
    --endpoint endpoint \
    --name vpc_endpoint_name \
    --vpc-id vpc_id \
    --subnet-ids subnet_ids

Actualización de la política de puntos de conexión de VPC para permitir el acceso a la aplicación de OpenSearch UI

Después de crear la conexión privada, actualice la política de puntos de conexión de VPC para permitir el acceso a la aplicación de OpenSearch UI en la política de puntos de conexión de VPC mediante la especificación del ID de la aplicación.

Para obtener más información sobre cómo actualizar la política de punto de conexión de VPC, consulte Actualización de una política de punto de conexión de VPC en la Guía de AWS PrivateLink.

Asegúrese de que la política de punto de conexión de VPC incluya la siguiente declaración. Reemplace el valor de marcador de posición con su propia información.


{
    "Statement": [{
        "Action": ["opensearch:*"],
        "Effect": "Allow",
        "Principal": "*",
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "opensearch:ApplicationId": ["opensearch-ui-application-id"]
            }
        }
    }]
}

Revocación del acceso a OpenSearch UI en una política de punto de conexión de VPC

OpenSearch UI requiere un permiso explícito en la política de punto de conexión de VPC para permitir a los usuarios acceder a la aplicación desde la VPC. Si ya no desea que los usuarios accedan a OpenSearch desde la VPC, puede eliminar el permiso en la política de punto de conexión. Después de esto, los usuarios reciben un mensaje de error 403 forbidden al intentar acceder a OpenSearch UI.

El siguiente es un ejemplo de una política de punto de conexión de VPC que deniega el acceso a las aplicaciones de la interfaz de usuario desde la VPC:


{
    "Statement": [{
        "Action": ["opensearch:*"],
        "Effect": "Allow",
        "Principal": "*",
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "opensearch:ApplicationId": [""]
            }
        }
    }]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Acceso a datos entre regiones y entre cuentas con búsqueda entre clústeres

Cuotas y puntos de conexión