Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Acceso a datos entre regiones a dominios OpenSearch
Puede configurar sus aplicaciones de OpenSearch interfaz de usuario en una sola Región de AWS para acceder a OpenSearch dominios de diferentes Región de AWS dominios. Esto le permite crear paneles unificados que agregan datos de OpenSearch dominios de varios Región de AWS s dentro de la misma partición. La compatibilidad con fuentes de datos entre regiones requiere que se habilite un control de acceso detallado en el dominio de destino. El control de acceso detallado proporciona una capa de autorización adicional que va más allá de la política de acceso al dominio, lo que le permite controlar el acceso a índices, documentos y campos individuales.
Conceptos clave
- Región de aplicación
-
El Región de AWS lugar donde está alojada la aplicación de OpenSearch interfaz de usuario.
- Región de destino.
-
El Región de AWS lugar donde reside el OpenSearch dominio. Puede ser cualquier región de la misma partición, independientemente de si la OpenSearch interfaz de usuario está disponible en esa región.
- Función multicuenta
-
Un rol de IAM en la cuenta de destino que se usa únicamente durante la asociación de fuentes de datos. OpenSearch Al llamar
es:DescribeDomain, la interfaz de usuario asume esta función, que recupera el punto final del dominio y verifica que el control de acceso detallado esté habilitado. Esta función solo es necesaria cuando el dominio está en una cuenta diferente a la de la aplicación. Para obtener más información, consulte Acceso a datos multicuenta a dominios OpenSearch. - Función de aplicación de IAM Identity Center
-
Función de IAM en la cuenta de la aplicación que se utiliza para acceder al plano de datos de los usuarios del IAM Identity Center.
- Regiones compatibles (para dominios de VPC)
-
En el caso de los dominios de VPC, debe incluir en la lista las Región de AWS s en las que se alojan las aplicaciones de OpenSearch interfaz de usuario al autorizar el punto final de la VPC. Esta lista de permisos es necesaria para que la OpenSearch interfaz de usuario pueda realizar llamadas al dominio de la VPC.
Requisitos previos
Antes de configurar el acceso a los datos entre regiones, asegúrate de disponer de lo siguiente:
-
AWS CLI instalado y configurado
-
Acceso tanto a la Cuenta de AWS región de la aplicación como a la región de destino
-
OpenSearch dominios con un control de acceso detallado habilitado. La asociación de fuentes de datos multirregionales solo se admite en dominios con un control de acceso detallado habilitado.
-
Para escenarios con varias cuentas: acceso tanto a la fuente como a la de destino Cuenta de AWS
-
Para los flujos del centro de identidad de IAM: una instancia de AWS IAM Identity Center organización. La aplicación de OpenSearch interfaz de usuario debe estar en la misma región que la instancia del IAM Identity Center.
Escenarios
Elija el escenario que coincida con su método de autenticación y configuración de dominio:
-
Escenario 1: un usuario de IAM accede a un dominio público en una región diferente
-
Escenario 2: un usuario del IAM Identity Center accede a un dominio público en una región diferente
-
Escenario 3: usuario de IAM que accede a un dominio de VPC en una región diferente
-
Escenario 4: Un usuario del IAM Identity Center accede a un dominio de VPC en una región diferente
Cada escenario cubre el acceso entre regiones con la misma cuenta. Para el acceso entre cuentas y regiones, combine los pasos de estos escenarios con la configuración de roles entre cuentas que se describe en. Acceso a datos multicuenta a dominios OpenSearch
Escenario 1: un usuario de IAM accede a un dominio público en una región diferente
En este escenario, se crea una aplicación de OpenSearch interfaz de usuario en una región y se conecta a un OpenSearch dominio público de otra región dentro de la misma cuenta.
Paso 1: Crea el OpenSearch dominio (región de destino)
Cree un OpenSearch dominio en la región de destino con un control de acceso detallado activado. Limite la política de acceso a la raíz de la cuenta o a los directores de IAM específicos.
aws opensearch create-domain \ --domain-namedomain-name\ --engine-version OpenSearch_2.19 \ --cluster-config InstanceType=m5.large.search,InstanceCount=1 \ --ebs-options "EBSEnabled=true,VolumeType=gp3,VolumeSize=100" \ --advanced-security-options '{"Enabled":true,"InternalUserDatabaseEnabled":true,"MasterUserOptions":{"MasterUserName":"admin","MasterUserPassword":"master-password"}}' \ --node-to-node-encryption-options '{"Enabled":true}' \ --encryption-at-rest-options '{"Enabled":true}' \ --domain-endpoint-options '{"EnforceHTTPS":true,"TLSSecurityPolicy":"Policy-Min-TLS-1-2-2019-07"}' \ --access-policies '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Principal":{"AWS":"arn:aws:iam::account-id:root"},"Action":"es:ESHttp*","Resource":"arn:aws:es:target-region:account-id:domain/domain-name/*"}]}' \ --regiontarget-region
Espere a que el estado del dominio cambie Active antes de continuar.
Paso 2: Crear la aplicación de OpenSearch interfaz de usuario (región de la aplicación)
Cree la aplicación en la región de la aplicación con la fuente de datos entre regiones. La región se extrae automáticamente del ARN de la fuente de datos.
aws opensearch create-application \ --regionapplication-region\ --name "cross-region-iam-app" \ --data-sources '[{ "dataSourceArn":"arn:aws:es:target-region:account-id:domain/domain-name", "dataSourceDescription":"Cross-region domain" }]' \ --app-configs '[{"key":"opensearchDashboards.dashboardAdmin.users","value":"[\"test-user\"]"}]'
Paso 3: Verificar y acceder
Recupere los detalles de la aplicación para obtener la URL del punto final:
aws opensearch get-application \ --regionapplication-region\ --idapplication-id
-
Navegue hasta la URL del punto final de la aplicación desde la respuesta.
-
Inicie sesión con las credenciales de IAM.
-
El usuario de IAM firma las solicitudes del plano de datos con sus propias credenciales.
-
La política de acceso del dominio de destino y las asignaciones de funciones de backend controlan a qué datos puede acceder el usuario.
Escenario 2: un usuario del IAM Identity Center accede a un dominio público en una región diferente
En este escenario, se crea una aplicación de OpenSearch interfaz de usuario con la autenticación del Centro de Identidad de IAM en una región y se conecta a un OpenSearch dominio público de otra región dentro de la misma cuenta.
Paso 1: Cree el OpenSearch dominio con el Centro de identidad de IAM activado (región de destino)
Cree un OpenSearch dominio en la región de destino con un control de acceso detallado y habilitada la integración con el Centro de Identidad de IAM. Utilice el --identity-center-options parámetro with IdentityCenterInstanceRegion para especificar la región en la que se encuentra la instancia del IAM Identity Center. Esta región debe ser la misma en la que está alojada la aplicación de OpenSearch interfaz de usuario.
aws opensearch create-domain \ --domain-namedomain-name\ --engine-version OpenSearch_2.19 \ --cluster-config InstanceType=m5.large.search,InstanceCount=1 \ --ebs-options "EBSEnabled=true,VolumeType=gp3,VolumeSize=100" \ --advanced-security-options '{"Enabled":true,"InternalUserDatabaseEnabled":true,"MasterUserOptions":{"MasterUserName":"admin","MasterUserPassword":"master-password"}}' \ --node-to-node-encryption-options '{"Enabled":true}' \ --encryption-at-rest-options '{"Enabled":true}' \ --domain-endpoint-options '{"EnforceHTTPS":true,"TLSSecurityPolicy":"Policy-Min-TLS-1-2-2019-07"}' \ --identity-center-options '{"EnabledAPIAccess":true,"IdentityCenterInstanceARN":"arn:aws:sso:::instance/ssoins-instance-id","IdentityCenterInstanceRegion":"idc-region","RolesKey":"GroupId","SubjectKey":"UserId"}' \ --access-policies '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Principal":{"AWS":"arn:aws:iam::account-id:role/NeoIdCAppRole"},"Action":"es:ESHttp*","Resource":"arn:aws:es:target-region:account-id:domain/domain-name/*"}]}' \ --regiontarget-region
Espere a que el estado del dominio cambie Active antes de continuar.
Paso 2: Cree el rol de IAM para la aplicación IAM Identity Center
Cree una función de IAM que la OpenSearch interfaz de usuario utilice para acceder al plano de datos de los usuarios del IAM Identity Center.
Para crear el rol de aplicación del Centro de Identidad de IAM
-
Cree una política de confianza con solo la
sts:AssumeRoledeclaración. En el siguiente paso, actualizará esta política para añadir lasts:SetContextdeclaración después de crear la aplicación.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "application.opensearchservice.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
Cree una política de permisos:
{ "Version": "2012-10-17", "Statement": [{ "Sid": "OpenSearchDomain", "Effect": "Allow", "Action": ["es:ESHttp*"], "Resource": "arn:aws:es:target-region:account-id:domain/domain-name/*" }] } -
Cree el rol y adjunte las políticas:
aws iam create-role \ --role-nameNeoIdCAppRole\ --assume-role-policy-document file://neoidc-trust-policy.jsonaws iam put-role-policy \ --role-nameNeoIdCAppRole\ --policy-nameNeoIdCAppPermissions\ --policy-document file://neoidc-permissions-policy.json
Paso 3: Cree la aplicación de OpenSearch interfaz de usuario con IAM Identity Center (región de la aplicación)
nota
Asegúrese de que la instancia del IAM Identity Center esté ubicada en la misma región que la región de la aplicación de la OpenSearch interfaz de usuario.
aws opensearch create-application \ --regionapplication-region\ --name "cross-region-idc-app" \ --iam-identity-center-options '{ "enabled":true, "iamIdentityCenterInstanceArn":"arn:aws:sso:::instance/ssoins-instance-id", "iamRoleForIdentityCenterApplicationArn":"arn:aws:iam::account-id:role/NeoIdCAppRole" }' \ --data-sources '[{ "dataSourceArn":"arn:aws:es:target-region:account-id:domain/domain-name", "dataSourceDescription":"Cross-region domain" }]' \ --app-configs '[{"key":"opensearchDashboards.dashboardAdmin.users","value":"[\"test-user\"]"}]'
Una vez creada la aplicación, anote el ID de la aplicación de SSO que aparece en la respuesta. A continuación, actualice la política de confianza del rol de aplicación del Centro de Identidad de IAM para añadir la sts:SetContext siguiente declaración:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "application.opensearchservice.amazonaws.com" }, "Action": "sts:AssumeRole" }, { "Effect": "Allow", "Principal": { "Service": "application.opensearchservice.amazonaws.com" }, "Action": "sts:SetContext", "Condition": { "ForAllValues:ArnEquals": { "sts:RequestContextProviders": "arn:aws:iam::account-id:oidc-provider/portal.sso.idc-region.amazonaws.com/apl/application-id" } } } ] }
aws iam update-assume-role-policy \ --role-nameNeoIdCAppRole\ --policy-document file://updated-trust-policy.json
Paso 4: Crear y asignar usuarios y grupos del Centro de Identidad de IAM
Cree un usuario del Centro de Identidad de IAM
Ejecute el comando siguiente. Sustituya placeholder
values por su propia información.
aws identitystore create-user \ --identity-store-idd-directory-id\ --user-nameuser-email\ --display-name "display-name" \ --name Formatted=string,FamilyName=last-name,GivenName=first-name\ --emails Value=user-email,Type=work,Primary=true
Cree un grupo del Centro de identidades de IAM y añada el usuario
Ejecute los siguientes comandos :
aws identitystore create-group \ --identity-store-idd-directory-id\ --display-name "OpenSearchUsers" \ --description "Users with OpenSearch access" aws identitystore create-group-membership \ --identity-store-idd-directory-id\ --group-idgroup-id\ --member-id UserId=user-id
Asigne el usuario o el grupo a la aplicación
Use el siguiente comando:
aws sso-admin create-application-assignment \ --application-arn "arn:aws:sso::account-id:application/ssoins-instance-id/apl-application-id" \ --principal-iduser-id-or-group-id\ --principal-typeUSER
Configure el mapeo de roles de backend en el dominio de destino
Asigne el grupo del centro de identidad de IAM a un rol OpenSearch de seguridad en el dominio de destino:
curl -XPATCH "https://domain-endpoint/_plugins/_security/api/rolesmapping/all_access" \ -uadmin:master-password\ -H 'Content-Type: application/json' \ -d '[{"op": "add", "path": "/backend_roles", "value": ["group-id"]}]'
Paso 5: Verificar y acceder
Recupere los detalles de la aplicación para obtener la URL del punto final:
aws opensearch get-application \ --regionapplication-region\ --idapplication-id
-
Navegue hasta la URL del punto final de la aplicación.
-
Inicie sesión con las credenciales de usuario del IAM Identity Center.
-
Las solicitudes de datos de los usuarios del IAM Identity Center se firman con el rol de aplicación del IAM Identity Center.
-
Las asignaciones de funciones de backend en el dominio controlan los permisos de acceso a los datos.
Escenario 3: usuario de IAM que accede a un dominio de VPC en una región diferente
En este escenario, crea una aplicación de OpenSearch interfaz de usuario en una región y la conecta a un OpenSearch dominio de VPC en una región diferente dentro de la misma cuenta. Los dominios de VPC requieren una configuración de red adicional y una autorización explícita de puntos de conexión de VPC con compatibilidad entre regiones.
Paso 1: Configurar la VPC (región de destino)
Omita este paso si ya existe una VPC en la región de destino.
# Create VPC aws ec2 create-vpc \ --cidr-block 10.0.0.0/16 \ --regiontarget-region# Create subnet aws ec2 create-subnet \ --vpc-idvpc-id\ --cidr-block 10.0.1.0/24 \ --availability-zonetarget-regiona \ --regiontarget-region# Create security group aws ec2 create-security-group \ --group-nameopensearch-vpc-sg\ --description "Security group for OpenSearch VPC domain" \ --vpc-idvpc-id\ --regiontarget-region# Allow inbound HTTPS aws ec2 authorize-security-group-ingress \ --group-idsecurity-group-id\ --protocol tcp \ --port 443 \ --cidr 10.0.0.0/16 \ --regiontarget-region
Más información sobre la creación de dominios de VPC.
Paso 2: Crear el dominio de VPC (región de destino)
aws opensearch create-domain \ --domain-namevpc-domain-name\ --engine-version OpenSearch_2.19 \ --cluster-config InstanceType=m5.large.search,InstanceCount=1 \ --ebs-options "EBSEnabled=true,VolumeType=gp3,VolumeSize=100" \ --vpc-options "SubnetIds=subnet-id,SecurityGroupIds=security-group-id" \ --advanced-security-options '{"Enabled":true,"InternalUserDatabaseEnabled":true,"MasterUserOptions":{"MasterUserName":"admin","MasterUserPassword":"master-password"}}' \ --node-to-node-encryption-options '{"Enabled":true}' \ --encryption-at-rest-options '{"Enabled":true}' \ --domain-endpoint-options '{"EnforceHTTPS":true,"TLSSecurityPolicy":"Policy-Min-TLS-1-2-2019-07"}' \ --access-policies '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Principal":{"AWS":"arn:aws:iam::account-id:root"},"Action":"es:ESHttp*","Resource":"arn:aws:es:target-region:account-id:domain/vpc-domain-name/*"}]}' \ --regiontarget-region
Espere a que el estado del dominio pase a ser Active antes de continuar.
Paso 3: Autorizar el punto final de la VPC para el principal del servicio de OpenSearch interfaz de usuario con soporte multiregional (región de destino)
# Authorize the service principal with cross-region support aws opensearch authorize-vpc-endpoint-access \ --domain-namevpc-domain-name\ --service "application.opensearchservice.amazonaws.com" \ --service-options '{"SupportedRegions":["target-region","application-region"]}' \ --regiontarget-region# Verify authorization aws opensearch list-vpc-endpoint-access \ --domain-namevpc-domain-name\ --regiontarget-region
Respuesta esperada:
{ "AuthorizedPrincipalList": [ { "PrincipalType": "AWS_SERVICE", "Principal": "application.opensearchservice.amazonaws.com", "ServiceOptions": { "SupportedRegions": ["target-region", "application-region"] } } ] }
Paso 4: Crear la aplicación de OpenSearch interfaz de usuario (región de la aplicación)
aws opensearch create-application \ --regionapplication-region\ --name "cross-region-vpc-iam-app" \ --data-sources '[{ "dataSourceArn":"arn:aws:es:target-region:account-id:domain/vpc-domain-name", "dataSourceDescription":"Cross-region VPC domain" }]' \ --app-configs '[{"key":"opensearchDashboards.dashboardAdmin.users","value":"[\"test-user\"]"}]'
Paso 5: Verificar y acceder
Recupere los detalles de la aplicación para obtener la URL del punto final:
aws opensearch get-application \ --regionapplication-region\ --idapplication-id
-
Navegue hasta la URL del punto final de la aplicación desde la respuesta.
-
Inicie sesión con las credenciales de IAM.
-
El usuario de IAM firma las solicitudes del plano de datos con sus propias credenciales.
-
La política de acceso del dominio de destino y las asignaciones de funciones de backend controlan a qué datos puede acceder el usuario.
Escenario 4: Un usuario del IAM Identity Center accede a un dominio de VPC en una región diferente
En este escenario, debe crear una aplicación de OpenSearch interfaz de usuario con autenticación del Centro de Identidad de IAM en una región y conectarla a un dominio de OpenSearch VPC en una región diferente dentro de la misma cuenta.
Paso 1: Configurar la VPC (región de destino)
Omita este paso si ya existe una VPC en la región de destino.
# Create VPC aws ec2 create-vpc \ --cidr-block 10.0.0.0/16 \ --regiontarget-region# Create subnet aws ec2 create-subnet \ --vpc-idvpc-id\ --cidr-block 10.0.1.0/24 \ --availability-zonetarget-regiona \ --regiontarget-region# Create security group aws ec2 create-security-group \ --group-nameopensearch-vpc-sg\ --description "Security group for OpenSearch VPC domain" \ --vpc-idvpc-id\ --regiontarget-region# Allow inbound HTTPS aws ec2 authorize-security-group-ingress \ --group-idsecurity-group-id\ --protocol tcp \ --port 443 \ --cidr 10.0.0.0/16 \ --regiontarget-region
Más información sobre la creación de dominios de VPC.
Paso 2: Cree el dominio de VPC con el Centro de identidad de IAM habilitado (región de destino)
Cree un OpenSearch dominio en la región de destino con un control de acceso detallado, una integración con el centro de identidad de IAM y una configuración de VPC habilitada. Actualice la política de acceso para permitir el rol de la aplicación IAM Identity Center y añada el parámetro: --identity-center-options
aws opensearch create-domain \ --domain-namevpc-domain-name\ --engine-version OpenSearch_2.19 \ --cluster-config InstanceType=m5.large.search,InstanceCount=1 \ --ebs-options "EBSEnabled=true,VolumeType=gp3,VolumeSize=100" \ --vpc-options "SubnetIds=subnet-id,SecurityGroupIds=security-group-id" \ --advanced-security-options '{"Enabled":true,"InternalUserDatabaseEnabled":true,"MasterUserOptions":{"MasterUserName":"admin","MasterUserPassword":"master-password"}}' \ --node-to-node-encryption-options '{"Enabled":true}' \ --encryption-at-rest-options '{"Enabled":true}' \ --domain-endpoint-options '{"EnforceHTTPS":true,"TLSSecurityPolicy":"Policy-Min-TLS-1-2-2019-07"}' \ --identity-center-options '{"EnabledAPIAccess":true,"IdentityCenterInstanceARN":"arn:aws:sso:::instance/ssoins-instance-id","IdentityCenterInstanceRegion":"idc-region","RolesKey":"GroupId","SubjectKey":"UserId"}' \ --access-policies '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Principal":{"AWS":"arn:aws:iam::account-id:role/NeoIdCAppRole"},"Action":"es:ESHttp*","Resource":"arn:aws:es:target-region:account-id:domain/vpc-domain-name/*"}]}' \ --regiontarget-region
Espere a que el estado del dominio cambie Active antes de continuar.
Paso 3: Autorizar el punto final de la VPC para el principal del servicio de OpenSearch interfaz de usuario con soporte multiregional (región de destino)
importante
Este es un paso fundamental que es exclusivo de los dominios de VPC con acceso entre regiones. El servicio de OpenSearch interfaz de usuario debe estar autorizado de forma explícita para acceder al punto final de la VPC y debes incluir la región de la aplicación en la SupportedRegions lista.
# Authorize the service principal with cross-region support aws opensearch authorize-vpc-endpoint-access \ --domain-namevpc-domain-name\ --service "application.opensearchservice.amazonaws.com" \ --service-options '{"SupportedRegions":["target-region","application-region"]}' \ --regiontarget-region# Verify authorization aws opensearch list-vpc-endpoint-access \ --domain-namevpc-domain-name\ --regiontarget-region
Respuesta esperada:
{ "AuthorizedPrincipalList": [ { "PrincipalType": "AWS_SERVICE", "Principal": "application.opensearchservice.amazonaws.com", "ServiceOptions": { "SupportedRegions": ["target-region", "application-region"] } } ] }
Paso 4: Cree el rol de IAM para la aplicación IAM Identity Center
Cree una función de IAM que la OpenSearch interfaz de usuario utilice para acceder al plano de datos de los usuarios del IAM Identity Center.
Para crear el rol de aplicación del Centro de Identidad de IAM
-
Cree una política de confianza con solo la
sts:AssumeRoledeclaración. En el siguiente paso, actualizará esta política para añadir lasts:SetContextdeclaración después de crear la aplicación.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "application.opensearchservice.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
Cree una política de permisos:
{ "Version": "2012-10-17", "Statement": [{ "Sid": "OpenSearchDomain", "Effect": "Allow", "Action": ["es:ESHttp*"], "Resource": "arn:aws:es:target-region:account-id:domain/vpc-domain-name/*" }] } -
Cree el rol y adjunte las políticas:
aws iam create-role \ --role-nameNeoIdCAppRole\ --assume-role-policy-document file://neoidc-trust-policy.jsonaws iam put-role-policy \ --role-nameNeoIdCAppRole\ --policy-nameNeoIdCAppPermissions\ --policy-document file://neoidc-permissions-policy.json
Paso 5: Cree la aplicación de OpenSearch interfaz de usuario con IAM Identity Center (región de la aplicación)
aws opensearch create-application \ --regionapplication-region\ --name "cross-region-vpc-idc-app" \ --iam-identity-center-options '{ "enabled":true, "iamIdentityCenterInstanceArn":"arn:aws:sso:::instance/ssoins-instance-id", "iamRoleForIdentityCenterApplicationArn":"arn:aws:iam::account-id:role/NeoIdCAppRole" }' \ --data-sources '[{ "dataSourceArn":"arn:aws:es:target-region:account-id:domain/vpc-domain-name", "dataSourceDescription":"Cross-region VPC domain" }]' \ --app-configs '[{"key":"opensearchDashboards.dashboardAdmin.users","value":"[\"test-user\"]"}]'
Una vez creada la aplicación, anote el ID de la aplicación de SSO que aparece en la respuesta. A continuación, actualice la política de confianza del rol de aplicación del Centro de Identidad de IAM para añadir la sts:SetContext siguiente declaración:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "application.opensearchservice.amazonaws.com" }, "Action": "sts:AssumeRole" }, { "Effect": "Allow", "Principal": { "Service": "application.opensearchservice.amazonaws.com" }, "Action": "sts:SetContext", "Condition": { "ForAllValues:ArnEquals": { "sts:RequestContextProviders": "arn:aws:iam::account-id:oidc-provider/portal.sso.idc-region.amazonaws.com/apl/application-id" } } } ] }
aws iam update-assume-role-policy \ --role-nameNeoIdCAppRole\ --policy-document file://updated-trust-policy.json
Paso 6: Crear y asignar usuarios y grupos del Centro de Identidad de IAM
Siga los mismos pasos Paso 4: Crear y asignar usuarios y grupos del Centro de Identidad de IAM que para crear usuarios y grupos, asignarlos a la aplicación y configurar la asignación de funciones de back-end en el dominio de destino.
Paso 7: Verificar y acceder
Recupere los detalles de la aplicación para obtener la URL del punto final:
aws opensearch get-application \ --regionapplication-region\ --idapplication-id
-
Navegue hasta la URL del punto final de la aplicación.
-
Inicie sesión con las credenciales de usuario del IAM Identity Center.
-
Las solicitudes de datos de los usuarios del IAM Identity Center se firman con el rol de aplicación del IAM Identity Center.
-
Las asignaciones de funciones de backend en el dominio controlan los permisos de acceso a los datos.
Administración de las aplicaciones de
Actualice una aplicación con fuentes de datos entre regiones
Ejecute el comando siguiente. Sustituya placeholder
values por su propia información.
aws opensearch update-application \ --regionapplication-region\ --idapplication-id\ --data-sources '[{ "dataSourceArn":"arn:aws:es:target-region-1:account-id:domain/domain-1", "dataSourceDescription":"Domain in target Region 1" },{ "dataSourceArn":"arn:aws:es:target-region-2:account-id:domain/domain-2", "dataSourceDescription":"Domain in target Region 2" }]'
importante
La operación de actualización reemplaza toda la matriz de fuentes de datos. Incluya todas las fuentes de datos que desee conservar.
Enumerar aplicaciones
Use el siguiente comando:
aws opensearch list-applications \ --regionapplication-region
Eliminación de una aplicación de
Use el siguiente comando:
aws opensearch delete-application \ --regionapplication-region\ --idapplication-id
Revocar el acceso al punto final de la VPC para regiones específicas
Para revocar el acceso entre regiones a determinadas Región de AWS regiones y conservar otras, utiliza el --service-options parámetro junto con las regiones para revocar:
aws opensearch revoke-vpc-endpoint-access \ --domain-namevpc-domain-name\ --service "application.opensearchservice.amazonaws.com" \ --service-options '{"SupportedRegions":["region-to-revoke"]}' \ --regiontarget-region
Referencia rápida
En las siguientes tablas se resumen las principales diferencias entre los tipos de dominio, los métodos de autenticación y el acceso entre la misma región y el acceso entre regiones.
| Aspecto | Dominio público | Dominio de VPC |
|---|---|---|
| Autorización de puntos finales de VPC | No obligatorio | Obligatorio: debe application.opensearchservice.amazonaws.com autorizarse con SupportedRegions |
| Configuración de la red | Ninguno | VPC, subred y grupo de seguridad con HTTPS (443) entrante |
| Política de acceso de IAM | Obligatorio | Obligatorio |
| Aspecto | Usuario de IAM | Usuario de IAM Identity Center |
|---|---|---|
| Credenciales del plano de datos | Credenciales de IAM propias del usuario | Función de aplicación del Centro de Identidad de IAM |
| Control de acceso | Política de acceso al dominio y asignación de funciones de back-end | Política de acceso al dominio y asignaciones de roles de back-end |
| Restricción de región de aplicación | Cualquier región | Debe estar en la misma región que la instancia del IAM Identity Center |
| Configuración del dominio | Standard | Se requiere --identity-center-options con IdentityCenterInstanceRegion |
| Configuración adicional | Ninguno | Rol de aplicación de IAM Identity Center, user/group creación, asignación de aplicaciones, mapeo de roles de back-end |
| Aspecto | Misma región | Entre regiones |
|---|---|---|
| Fuente de datos ARN | La misma región que la aplicación | Región diferente de la aplicación (misma partición) |
| Autorización de puntos finales de VPC | Omitir --service-options |
Incluir --service-options con SupportedRegions |
| Configuración del dominio de IAM Identity Center | IdentityCenterInstanceRegion opcional |
IdentityCenterInstanceRegion obligatorio |
| Soporte para particiones cruzadas | N/A | No se admite: las fuentes de datos deben estar en la misma partición |
Notas importantes
-
La asociación de fuentes de datos entre regiones requiere que se habilite un control de acceso detallado en el dominio de destino.
-
Las fuentes de datos entre regiones deben estar dentro de la misma partición. No se admite el acceso entre particiones (por ejemplo, de
awsaaws-cn). -
La región de la fuente de datos se extrae automáticamente del ARN de la fuente de datos. No se necesita ningún parámetro de región adicional en el
CreateApplicationquirófanoUpdateApplicationAPIs. -
No es obligatorio para las fuentes de datos entre regiones y cuentas de la misma cuenta.
iamRoleForDataSourceArnSolo es necesario para las fuentes de datos entre cuentas. -
En el caso de los dominios de VPC, debes incluir la región de la aplicación en el
SupportedRegionsparámetro cuando llames.AuthorizeVpcEndpointAccessSi se omite, solo se--service-optionsautoriza el acceso a la misma región. -
Para los flujos del IAM Identity Center, la aplicación de OpenSearch interfaz de usuario debe estar en la misma región que la instancia del IAM Identity Center.
-
En el caso de los flujos de IAM Identity Center con dominios entre regiones, el dominio de destino debe incluirlo
--identity-center-optionspara permitir la introspección de losIdentityCenterInstanceRegiontokens entre regiones. -
Versiones de motor compatibles: 1.3 y superiores. OpenSearch
Resolución de problemas
| Problema | Resolución |
|---|---|
| La creación de la aplicación falla y aparece el mensaje «No se puede acceder al dominio» | Compruebe que el dominio existe en la región de destino y que el control de acceso detallado está habilitado. En situaciones con varias cuentas, compruebe que la función multicuenta tenga el es:DescribeDomain permiso y que la política de confianza permita la cuenta de origen. |
| Se produce un error en el acceso al dominio de VPC entre regiones | Asegúrese de que el punto final de la VPC esté autorizado application.opensearchservice.amazonaws.com con la región de la aplicación incluida. SupportedRegions |
| Se ha denegado el acceso al plano de datos al usuario de IAM | Compruebe que la política de acceso al dominio de destino permita el usuario o rol principal de IAM y que las asignaciones detalladas de funciones del backend del control de acceso concedan los permisos adecuados. |
| Se ha denegado el acceso al plano de datos al usuario del IAM Identity Center | Compruebe que la asignación de funciones del servidor incluya el ID de grupo del IAM Identity Center, que la política de dominio permita la función de aplicación del IAM Identity Center y que IdentityCenterInstanceRegion esté correctamente configurada en la misma región que la aplicación de OpenSearch interfaz de usuario del dominio. |
| Se ha rechazado la fuente de datos entre particiones | No se admite el acceso entre particiones. Asegúrese de que el ARN de la fuente de datos esté en la misma partición que la aplicación. |
| La autenticación del Centro de Identidad de IAM falla en el dominio entre regiones | Compruebe que IdentityCenterInstanceRegion esté configurada en la región correcta en la que está habilitada su instancia del IAM Identity Center. La aplicación de OpenSearch interfaz de usuario también debe estar en esta misma región. |
