Configuración de canalizaciones OpenSearch de ingestión para la ingestión entre cuentas - OpenSearch Servicio Amazon
Antes de empezarConceder a las cuentas conectadas acceso a una canalizaciónCree una conexión de punto de conexión de canalización para cada VPC que se conecteEliminar los punto de conexión de la canalización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de canalizaciones OpenSearch de ingestión para la ingestión entre cuentas

En el caso de fuentes basadas en push, como HTTP y OTel, Amazon OpenSearch Ingestion le permite compartir canalizaciones Cuentas de AWS desde una nube privada virtual (VPC) a un punto final de canalización en una VPC independiente. Los equipos que comparten análisis con otros equipos de su organización utilizan esta característica como medio más ágil de, por ejemplo, compartir los análisis de registros.

En esta sección, se usan los siguientes términos:

  • Propietario de la canalización: la cuenta que posee y administra la canalización de ingestion. OpenSearch Solo una cuenta puede ser propietaria de una canalización.

  • Cuenta de conexión: una cuenta que se conecta a una canalización compartida y la utiliza. Se pueden conectar varias cuentas a la misma canalización.

VPCs Para configurar el modo de compartir las canalizaciones de OpenSearch ingestiónCuentas de AWS, complete las siguientes tareas, tal y como se describe aquí:

Antes de empezar

Antes de configurar el modo VPCs de compartir los canales OpenSearch de ingestiónCuentas de AWS, complete las siguientes tareas:

Tarea Details

Cree una o más OpenSearch canalizaciones de ingestión

Establezca las unidades de OpenSearch cómputo mínimas (OSUs) en 2 o más. Para obtener más información, consulte Creación de canalizaciones OpenSearch de Amazon Ingestion. Para obtener información acerca de cómo actualizar una canalización, consulte Actualización de las canalizaciones OpenSearch de Amazon Ingestion.

Cree una o más VPCs para la OpenSearch ingestión

Para habilitar el uso compartido de canalizaciones entre cuentas, cualquier VPC implicada en la canalización y los puntos de conexión de la canalización debe configurarse con los siguientes valores de DNS:

  • enableDnsSupport=true

  • enableDnsHostnames=true

Para obtener más información, consulte Atributos de DNS para su VPC en la Guía del usuario de Amazon VPC.

Conceder a las cuentas conectadas acceso a una canalización

Los procedimientos de esta sección describen cómo utilizar la consola de OpenSearch servicio y configurar el acceso AWS CLI a las canalizaciones multicuenta mediante la creación de una política de recursos. Una política de recursos permite al propietario de una canalización especificar otras cuentas que pueden acceder a una canalización. Una vez creadas, las políticas de canalización existen mientras exista la canalización o hasta que se elimine la política.

nota

Las políticas de recursos no sustituyen a la autorización OpenSearch de ingesta estándar mediante permisos de IAM. Las políticas de recursos son un mecanismo de autorización adicional para permitir el acceso a las canalizaciones entre cuentas.

Conceder a las cuentas conectadas acceso a una canalización (consola)

Usa el siguiente procedimiento para conceder a las cuentas conectadas acceso a una canalización mediante la consola de Amazon OpenSearch Service.

Para crear una conexión de punto de conexión en la canalización

  1. En la consola de Amazon OpenSearch Service, en el panel de navegación, expande Ingestión y, a continuación, selecciona Pipelines.

  2. En la sección Canalizaciones, elija el nombre de la canalización a la que desee conceder acceso a una cuenta conectada.

  3. Elija la pestaña de puntos de conexión de VPC.

  4. En la sección Entidades principales autorizadas, seleccione Autorizar cuenta.

  5. En el campo ID de Cuenta de AWS, escriba el número de 12 dígitos (ID) de la cuenta y, a continuación, seleccione Autorizar.

Conceder a las cuentas conectadas acceso a una canalización (CLI)

Utilice el siguiente procedimiento para conceder acceso a las cuentas conectadas a una canalización mediante la AWS CLI.

Para conceder a las cuentas conectadas acceso a la canalización

  1. Actualice a la última versión de AWS CLI (versión 2.0). Para obtener más información, consulte Instalación o actualización de la versión más reciente de la AWS CLI.

  2. Abre la CLI en la cuenta y Región de AWS con la canalización que quieras compartir.

  3. Ejecute el siguiente comando para crear una política de recursos para la canalización. Esta política otorga el permiso osis:CreatePipelineEndpoint a la canalización. La política incluye un parámetro en el que puede Cuenta de AWS IDs enumerar las opciones de autorización.

    nota

    En el siguiente comando, debe utilizar la forma abreviada del identificador de cuenta, proporcionando únicamente el identificador de cuenta de doce dígitos. El uso de un ARN no funcionará. También debe proporcionar el nombre de recurso de Amazon (ARN) de la canalización en el parámetro de la CLI para resource-arn y en la política JSON en Resource, como se muestra.

    aws --region region osis-cross-account put-resource-policy \
  --resource-arn arn:aws:osis:region:pipeline-owner-account-ID:pipeline/pipeline-name
  --policy 'IAM-policy'

    Utilice una política como la siguiente para IAM-policy

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
  {
  "Sid": "AllowAccess",
  "Effect": "Allow",
  "Principal": {
  "AWS": [
  "111122223333",
  "444455556666"
  ]
  },
  "Action": 
  "osis:CreatePipelineEndpoint",
  "Resource": "arn:aws:osis:us-east-1:123456789012:pipeline/pipeline-name"
  }
  ]
 }

Cree una conexión de punto de conexión de canalización para cada VPC que se conecte

Después de que el propietario de la canalización conceda acceso a una canalización en su VPC mediante el procedimiento anterior, un usuario de la cuenta de conexión crea un punto de conexión de la canalización en su VPC. En esta sección se incluyen los procedimientos para crear puntos finales mediante la consola OpenSearch de servicio y elAWS CLI. Al crear un punto final, OpenSearch Ingestion realiza las siguientes acciones:

  • Crea el rol AWSServiceRoleForAmazonOpenSearchIngestionServicevinculado al servicio en tu cuenta, si aún no existe. Este rol otorga al usuario de la cuenta que se conecta permiso para ejecutar la acción de la CreatePipelineEndpointAPI.

  • Crea el punto de conexión de la canalización.

  • Configura el punto de conexión de la canalización para ingerir datos de la canalización compartida en la VPC propietaria de la canalización.

Creación de una conexión de punto de conexión para la canalización (consola)

Utilice el siguiente procedimiento para crear una conexión de punto final de canalización mediante la consola OpenSearch de servicio.

Para crear una conexión de punto de conexión en la canalización

  1. En la consola de Amazon OpenSearch Service, en el panel de navegación, expanda Ingestión y, a continuación, seleccione puntos de enlace de VPC.

  2. En la página Puntos de conexión de VPC, elija Crear.

  3. En la ubicación de la canalización, elija una opción. Si elige Cuenta corriente, seleccione la canalización de la lista. Si elige Cuenta cruzada, especifique el ARN de la canalización en el campo. El propietario de la canalización debe haber concedido el acceso a la canalización, tal y como se describe en Conceder a las cuentas conectadas acceso a una canalización.

  4. En la sección de configuración de VPC, para VPC, elija una VPC de la lista.

  5. En Subnets (Subredes), elija una subred.

  6. En Grupos de seguridad, elija un grupo.

  7. Seleccione Crear punto de conexión.

Espere a que se produzca la transición del estado del punto de conexión que creó a ACTIVE. Una vez que la canalización esté ACTIVE, verá un nuevo campo con el nombre ingestEndpointUrl. Utilice este punto final para acceder a la canalización e ingerir datos mediante un cliente similar. FluentBit Para obtener más información sobre cómo utilizar FluentBit para ingerir datos, consulte. Uso de una canalización OpenSearch de ingestión con Fluent Bit

nota

ingestEndpointUrl es la misma URL para todas las cuentas conectadas.

Creación de una conexión de punto de conexión para la canalización (CLI)

Utilice el siguiente procedimiento para crear una conexión en el punto de conexión de canalización mediante AWS CLI.

Para crear una conexión de punto de conexión en la canalización

  1. Si aún no lo ha hecho, actualice a la última versión de AWS CLI (versión 2.0). Para obtener más información, consulte Instalación o actualización de la versión más reciente de la AWS CLI.

  2. Abra la CLI en la cuenta de conexión en Región de AWS la canalización compartida.

  3. Ejecute el siguiente comando para crear una canalización en el punto de conexión.

    nota

    Proporcione al menos una subred y un grupo de seguridad para la VPC de la cuenta conectada. El grupo de seguridad debe incluir el puerto 443 y los clientes de soporte en la VPC de la cuenta que se conecta.

    aws osis --region region create-pipeline-endpoint \
  --pipeline-arn arn:aws:osis:region:connecting-account-ID:pipeline/shared-pipeline-name
  --vpc-options SecurityGroupIds={sg-security-group-ID-1,sg-security-group-ID-2},SubnetIds=subnet-subnet-ID

  4. Ejecute el siguiente comando para enumerar los puntos de conexión en la región especificada en el comando anterior:

    aws osis-cross-account --region region list-pipeline-endpoints

Espere a que se produzca la transición del estado del punto de conexión que creó a ACTIVE. Una vez que la canalización esté ACTIVE, verá un nuevo campo con el nombre ingestEndpointUrl. Utilice este punto final para acceder a la canalización e ingerir datos mediante un cliente similar FluentBit. Para obtener más información sobre cómo utilizar FluentBit para ingerir datos, consulte. Uso de una canalización OpenSearch de ingestión con Fluent Bit

nota

ingestEndpointUrl es la misma URL para todas las cuentas conectadas.

Eliminar los punto de conexión de la canalización

Si ya no quiere proporcionar acceso a una canalización compartida, puede eliminar un punto de conexión de la canalización mediante uno de los siguientes métodos:

  • Elimine el punto de conexión de la canalización (cuenta de conexión).

  • Revoque el punto de conexión de la canalización (propietario de la canalización).

Siga este procedimiento para eliminar un punto de conexión de la canalización en una cuenta de conexión.

Para eliminar un punto de conexión de la canalización (cuenta de conexión)

  1. Abra la CLI en la cuenta de conexión en Región de AWS la canalización compartida.

  2. Ejecute el siguiente comando para enumerar un punto de conexión de las canalizaciones en la región:

    aws osis-cross-account --region region list-pipeline-endpoints

    Anote el ID de canalización que desea eliminar.

  3. Ejecute el siguiente comando para eliminar el punto de conexión de la canalización:

    aws osis-cross-account --region region delete-pipeline-endpoint \
  --endpoint-id 'ID'

Como propietario de la canalización compartida, utilice el siguiente procedimiento para revocar un punto de conexión de la canalización.

Para revocar un punto de conexión de la canalización (propietario de la canalización)

  1. Abra la CLI en la cuenta de conexión en Región de AWS la canalización compartida.

  2. Ejecute el siguiente comando para enumerar las conexiones de punto de conexión de las canalizaciones en la región:

    aws osis-cross-account --region region list-pipeline-endpoint-connections

    Anote el ID de canalización que desea eliminar.

  3. Ejecute el siguiente comando para eliminar el punto de conexión de la canalización:

    aws osis-cross-account --region region revoke-pipeline-endpoint-connections \
  --pipeline-arn pipeline-arn --endpoint-ids ID

    El comando permite especificar solo un ID de punto de conexión.