Configuración de canalizaciones OpenSearch de ingestión para la ingestión entre cuentas - OpenSearch Servicio Amazon
Antes de empezarConcede a las cuentas conectadas acceso a una canalizaciónCree una conexión de punto final de canalización para cada VPC que se conecteEliminar los puntos finales de la canalización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de canalizaciones OpenSearch de ingestión para la ingestión entre cuentas

En el caso de fuentes basadas en push, como HTTP y OTel, Amazon OpenSearch Ingestion le permite compartir canalizaciones Cuentas de AWS desde una nube privada virtual (VPC) a un punto final de canalización en una VPC independiente. Los equipos que comparten análisis con otros equipos de su organización utilizan esta función como medio más ágil de, por ejemplo, compartir los análisis de registros.

En esta sección se utiliza la siguiente terminología:

  • Propietario de la canalización: la cuenta que posee y administra la canalización OpenSearch de ingestión. Solo una cuenta puede ser propietaria de una canalización.

  • Cuenta de conexión: una cuenta que se conecta a una canalización compartida y la usa. Se pueden conectar varias cuentas a la misma canalización.

VPCs Para configurar el modo de compartir las canalizaciones de OpenSearch ingestión Cuentas de AWS, complete las siguientes tareas, tal y como se describe aquí:

Antes de empezar

Antes de configurar el modo de VPCs compartir las canalizaciones de OpenSearch ingestión Cuentas de AWS, complete las siguientes tareas:

Tarea Detalles

Cree una o más OpenSearch canalizaciones de ingestión

Establezca las unidades de OpenSearch cómputo mínimas (OSUs) en 2 o más. Para obtener más información, consulte Creación de canalizaciones OpenSearch de Amazon Ingestion. Para obtener información sobre la actualización de una canalización, consulteActualización de las canalizaciones OpenSearch de Amazon Ingestion.

Cree uno o varios VPCs para la OpenSearch ingestión

Para habilitar el uso compartido de canalizaciones entre cuentas, cualquier VPC implicada en la canalización y los puntos finales de la canalización debe configurarse con los siguientes valores de DNS:

  • enableDnsSupport=true

  • enableDnsHostnames=true

Para obtener más información, consulte Atributos de DNS para su VPC en la Guía del usuario de Amazon VPC.

Concede a las cuentas conectadas acceso a una canalización

Los procedimientos de esta sección describen cómo utilizar la consola de OpenSearch servicio y configurar el acceso AWS CLI a los canalizaciones entre cuentas mediante la creación de una política de recursos. Una política de recursos permite al propietario de una canalización especificar otras cuentas que pueden acceder a una canalización. Una vez creadas, las políticas de canalización existen mientras exista la canalización o hasta que se elimine la política.

nota

Las políticas de recursos no sustituyen a la autorización OpenSearch de ingestión estándar mediante permisos de IAM. Las políticas de recursos son un mecanismo de autorización adicional para permitir el acceso a la canalización entre cuentas.

Concede a las cuentas conectadas acceso a una canalización (consola)

Usa el siguiente procedimiento para conceder a las cuentas conectadas acceso a una canalización mediante la consola de Amazon OpenSearch Service.

Para crear una conexión de punto final de canalización

  1. En la consola de Amazon OpenSearch Service, en el panel de navegación, expande Ingestión y, a continuación, selecciona Pipelines.

  2. En la sección Pipelines, elige el nombre de la canalización a la que quieras conceder acceso a una cuenta conectada.

  3. Elija la pestaña de puntos finales de VPC.

  4. En la sección Entidades autorizadas, selecciona Autorizar cuenta.

  5. En el campo Cuenta de AWS ID, introduce el número de 12 dígitos (ID) de la cuenta y, a continuación, selecciona Autorizar.

Otorgue a las cuentas conectadas acceso a una canalización (CLI)

Utilice el siguiente procedimiento para conceder a las cuentas conectadas acceso a una canalización mediante el AWS CLI.

Para conceder a las cuentas conectadas acceso a la canalización

  1. Actualice a la última versión de AWS CLI (versión 2.0). Para obtener más información, consulte Instalación o actualización de la versión más reciente de la AWS CLI.

  2. Abre la CLI en la cuenta y Región de AWS con la canalización que quieras compartir.

  3. Ejecute el siguiente comando para crear una política de recursos para la canalización. Esta política otorga el osis:CreatePipelineEndpoint permiso a la canalización. La política incluye un parámetro en el que puede Cuenta de AWS IDs enumerar los permisos.

    nota

    En el siguiente comando, debe utilizar la forma abreviada del identificador de cuenta, proporcionando únicamente el identificador de cuenta de doce dígitos. El uso de un ARN no funcionará. También debes proporcionar el nombre de recurso de Amazon (ARN) de la canalización en el parámetro CLI de la política JSON resource-arn y en la política en la que se basaResource, como se muestra.

    aws --region region osis-cross-account put-resource-policy \
  --resource-arn arn:aws:osis:region:pipeline-owner-account-ID:pipeline/pipeline-name
  --policy 'IAM-policy'

    Utilice una política como la siguiente para IAM-policy

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
  {
  "Sid": "AllowAccess",
  "Effect": "Allow",
  "Principal": {
  "AWS": [
  "111122223333",
  "444455556666"
  ]
  },
  "Action": 
  "osis:CreatePipelineEndpoint",
  "Resource": "arn:aws:osis:us-east-1:123456789012:pipeline/pipeline-name"
  }
  ]
 }

Cree una conexión de punto final de canalización para cada VPC que se conecte

Después de que el propietario de la canalización conceda acceso a una canalización en su VPC mediante el procedimiento anterior, un usuario de la cuenta de conexión crea un punto final de canalización en su VPC. En esta sección se incluyen los procedimientos para crear puntos de enlace mediante la consola de OpenSearch servicio y la. AWS CLI Al crear un punto final, OpenSearch Ingestion realiza las siguientes acciones:

  • Crea el rol AWSServiceRoleForAmazonOpenSearchIngestionServicevinculado al servicio en tu cuenta, si aún no existe. Este rol otorga al usuario de la cuenta que se conecta permiso para llamar a la acción de la CreatePipelineEndpointAPI.

  • Crea el punto final de la canalización.

  • Configura el punto final de la canalización para ingerir datos de la canalización compartida en la VPC propietaria de la canalización.

Creación de una conexión de punto final de canalización (consola)

Utilice el siguiente procedimiento para crear una conexión de punto final de canalización mediante la consola OpenSearch de servicio.

Para crear una conexión de punto final de canalización

  1. En la consola de Amazon OpenSearch Service, en el panel de navegación, expanda Ingestión y, a continuación, seleccione puntos de enlace de VPC.

  2. En la página de puntos finales de la VPC, elija Crear.

  3. Para la ubicación de la canalización, elija una opción. Si eliges Cuenta corriente, selecciona la canalización de la lista. Si elige Cuenta cruzada, especifique el ARN de la canalización en el campo. El propietario de la canalización debe haber concedido el acceso a la canalización, tal y como se describe en. Concede a las cuentas conectadas acceso a una canalización

  4. En la sección de configuración de VPC, para VPC, elija una VPC de la lista.

  5. En Subnets (Subredes), elija una subred.

  6. En el caso de los grupos de seguridad, elija un grupo.

  7. Elija Crear punto de conexión.

Espere a que pase el estado del dispositivo de punto final que creóACTIVE. Una vez que la canalización esté listaACTIVE, verá un nuevo campo con el nombreingestEndpointUrl. Utilice este punto final para acceder a la canalización e ingerir datos mediante un cliente similar FluentBit. Para obtener más información sobre cómo utilizar FluentBit para ingerir datos, consulte. Uso de una canalización OpenSearch de ingestión con Fluent Bit

nota

ingestEndpointUrlEs la misma URL para todas las cuentas conectadas.

Creación de una conexión de punto final de canalización (CLI)

Utilice el siguiente procedimiento para crear una conexión de punto final de canalización mediante. AWS CLI

Para crear una conexión de punto final de canalización

  1. Si aún no lo has hecho, actualiza a la última versión de AWS CLI (versión 2.0). Para obtener más información, consulte Instalación o actualización de la versión más reciente de la AWS CLI.

  2. Abra la CLI en la cuenta de conexión en Región de AWS la canalización compartida.

  3. Ejecute el siguiente comando para crear un punto final de canalización.

    nota

    Debe proporcionar al menos una subred y un grupo de seguridad para la VPC de la cuenta que se conecta. El grupo de seguridad debe incluir el puerto 443 y los clientes de soporte en la VPC de la cuenta que se conecta.

    aws osis --region region create-pipeline-endpoint \
  --pipeline-arn arn:aws:osis:region:connecting-account-ID:pipeline/shared-pipeline-name
  --vpc-options SecurityGroupIds={sg-security-group-ID-1,sg-security-group-ID-2},SubnetIds=subnet-subnet-ID

  4. Ejecute el siguiente comando para enumerar los puntos finales de la región especificada en el comando anterior:

    aws osis-cross-account --region region list-pipeline-endpoints

Espere a que pase el estado del punto final que creó. ACTIVE Una vez que la canalización esté listaACTIVE, verá un nuevo campo con el nombreingestEndpointUrl. Utilice este punto final para acceder a la canalización e ingerir datos mediante un cliente similar FluentBit. Para obtener más información sobre cómo utilizar FluentBit para ingerir datos, consulte. Uso de una canalización OpenSearch de ingestión con Fluent Bit

nota

ingestEndpointUrlEs la misma URL para todas las cuentas conectadas.

Eliminar los puntos finales de la canalización

Si ya no quieres proporcionar acceso a una canalización compartida, puedes eliminar un punto final de la canalización mediante uno de los siguientes métodos:

  • Elimina el punto final de la canalización (cuenta de conexión).

  • Revoca el punto final de la canalización (propietario de la canalización).

Utilice el siguiente procedimiento para eliminar un punto final de canalización en una cuenta conectada.

Para eliminar un punto final de canalización (cuenta de conexión)

  1. Abra la CLI en la cuenta de conexión en Región de AWS la canalización compartida.

  2. Ejecute el siguiente comando para enumerar los puntos finales de la canalización en la región:

    aws osis-cross-account --region region list-pipeline-endpoints

    Anota el ID de la canalización que deseas eliminar.

  3. Ejecuta el siguiente comando para eliminar el punto final de la canalización:

    aws osis-cross-account --region region delete-pipeline-endpoint \
  --endpoint-id 'ID'

Como propietario de la canalización de la canalización compartida, utilice el siguiente procedimiento para revocar un punto final de la canalización.

Para revocar el punto final de una canalización (propietario de la canalización)

  1. Abra la CLI en la cuenta de conexión en Región de AWS la canalización compartida.

  2. Ejecute el siguiente comando para obtener una lista de las conexiones de los puntos finales de la canalización en la región:

    aws osis-cross-account --region region list-pipeline-endpoint-connections

    Anota el ID de canalización que deseas eliminar.

  3. Ejecuta el siguiente comando para eliminar el punto final de la canalización:

    aws osis-cross-account --region region revoke-pipeline-endpoint-connections \
  --pipeline-arn pipeline-arn --endpoint-ids ID

    El comando permite especificar solo un ID de punto final.