Tutorial: Introducción a la seguridad en Amazon OpenSearch sin servidor (consola) - Amazon OpenSearch Service
Paso 1: Configurar los permisosPaso 2: Crear una política de cifradoPaso 3: crear una política de redPaso 4: crear una política de acceso a datosPaso 5: crear una colecciónPaso 6: Cargar y buscar datos

Tutorial: Introducción a la seguridad en Amazon OpenSearch sin servidor (consola)

En este tutorial, se muestran los pasos básicos para crear y administrar políticas de seguridad con la consola de Amazon OpenSearch sin servidor.

En este tutorial, debe completar los siguientes pasos:

  1. Configurar permisos

  2. Crear una política de cifrado

  3. Crear una política de red

  4. Configurar la política de acceso a datos

  5. Crear una colección

  6. Cargar y buscar datos

Este tutorial le mostrará cómo configurar una colección con Consola de administración de AWS. Para conocer los mismos pasos que se siguen al utilizar AWS CLI, consulte Tutorial: Introducción a la seguridad en Amazon OpenSearch sin servidor (CLI).

Paso 1: Configurar los permisos

nota

Puedes omitir este paso si ya utilizas una política más amplia basada en la identidad, como Action":"aoss:*" o Action":"*". Sin embargo, en entornos de producción, le recomendamos que siga la entidad principal del privilegio mínimo y solo asigne los permisos mínimos necesarios para completar una tarea.

Para completar este tutorial, debe tener los permisos de IAM correctos. Su usuario o rol debe tener adjunta una política basada en la identidad con los siguientes permisos mínimos:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
        "aoss:ListCollections",
        "aoss:BatchGetCollection",
        "aoss:CreateCollection",
        "aoss:CreateSecurityPolicy",
        "aoss:GetSecurityPolicy",
        "aoss:ListSecurityPolicies",
        "aoss:CreateAccessPolicy",
        "aoss:GetAccessPolicy",
        "aoss:ListAccessPolicies"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Para obtener una lista completa de los permisos de OpenSearch sin servidor, consulte Identity and Access Management en Amazon OpenSearch sin servidor.

Paso 2: Crear una política de cifrado

Las políticas de cifrado especifican la clave AWS KMS que utilizará OpenSearch sin servidor para cifrar la colección. Puede cifrar colecciones con una clave Clave administrada de AWS o una clave diferente. Para simplificar este tutorial, cifraremos nuestra colección con un Clave administrada de AWS.

Para crear una política de cifrado

  1. Abra la consola de Amazon OpenSearch Service en https://console.aws.amazon.com/aos/home.

  2. Expanda Sin servidor en el panel de navegación de la izquierda y seleccione Políticas de red.

  3. Seleccione Crear política de cifrado.

  4. Asigne el nombre de esta política a los libros de políticas. Para la descripción, introduzca Política de cifrado para la colección de libros.

  5. En Recursos, introduzca libros, que es el nombre con el que llamará su colección. Si desea que este sea más extenso, puede incluir un asterisco (books*) para que la política se aplique a todas las colecciones que comiencen por la palabra “libros”.

  6. En Cifrado, mantenga seleccionado Utilizar clave propia de AWS.

  7. Seleccione Crear.

Paso 3: crear una política de red

Las políticas de red determinan si se puede acceder a las colecciones a través de Internet desde redes públicas, o si debe acceder a ella a través de puntos de conexión de VPC gestionados por OpenSearch sin servidor. En este tutorial, configuraremos el acceso público.

Crear una política de red

  1. Seleccione Políticas en el panel de navegación de la izquierda y, a continuación, Crear política.

  2. Asigne el nombre de esta política a los libros de políticas. Para la descripción, introduzca Política de redes para la colección de libros.

  3. En la Regla 1, asígnele un nombre a la regla Acceso público a la colección de libros.

  4. Para simplificar este tutorial, configuraremos el acceso público para la colección de libros. Para el tipo de acceso, seleccione Público.

  5. Vamos a acceder a la colección desde OpenSearch Dashboards. Para ello, debe configurar el acceso a la red de Dashboards y el punto de conexión de OpenSearch; de lo contrario, Dashboards no funcionará.

    Para el tipo de recurso, habilite tanto el acceso a los puntos de conexión de OpenSearch como el acceso a los cuadros de mando de OpenSearch.

  6. En ambos cuadros de entrada, introduzca Nombre de la colección = libros. Esta configuración reduce el alcance de la política para que solo se aplique a una única colección (books). La regla debe tener un aspecto similar al siguiente:

    Search interface showing two input fields for collection or prefix term selection, both set to "books".

  7. Seleccione Crear.

Paso 4: crear una política de acceso a datos

No podrá acceder a los datos de su colección hasta que configure el acceso a los datos. Las políticas de acceso a los datos son independientes de la política basada en identidades de IAM que configuró en el paso 1. Permiten a los usuarios acceder a los datos reales de una colección.

En este tutorial, le brindamos a un solo usuario los permisos necesarios para indexar datos en la colección de libros.

Para crear una política de acceso a datos

  1. En el panel de navegación de la izquierda, seleccione Políticas de acceso a datos y Crear política de acceso.

  2. Asigne el nombre de esta política a los libros de políticas. Para la descripción, introduzca Política de acceso de datos para la colección de libros.

  3. Seleccione JSON para el método de definición de políticas y pegue la siguiente política en el editor de JSON.

    Sustituya la entidad principal de ARN por el ARN de la cuenta que utilizará para iniciar sesión en OpenSearch Dashboards e indexar los datos.

    [
   {
      "Rules":[
         {
            "ResourceType":"index",
            "Resource":[
               "index/books/*"
            ],
            "Permission":[
               "aoss:CreateIndex",
               "aoss:DescribeIndex", 
               "aoss:ReadDocument",
               "aoss:WriteDocument",
               "aoss:UpdateIndex",
               "aoss:DeleteIndex"
            ]
         }
      ],
      "Principal":[
         "arn:aws:iam::123456789012:user/my-user"
      ]
   }
]

    Esta política proporciona a un solo usuario los permisos mínimos necesarios para crear un índice en la colección de libros, indexar algunos datos y buscarlos.

  4. Seleccione Crear.

Paso 5: crear una colección

Como ya configuró las políticas de cifrado y red, puede crear una colección coincidente y la configuración de seguridad se le aplicará automáticamente.

Para crear una colección de OpenSearch sin servidor

  1. Seleccione Colecciones en el panel de navegación de la izquierda y elija Crear colección.

  2. Nombre los libros de la colección.

  3. Para el tipo de colección, seleccione Buscar.

  4. En Cifrado, OpenSearch sin servidor le informa de que el nombre de la colección coincide con la política de cifrado de books-policy.

  5. En Configuración de acceso a la red, OpenSearch sin servidor le informa de que el nombre de la colección coincide con la política de red de books-policy.

  6. Seleccione Siguiente.

  7. En Opciones de política de acceso a datos, OpenSearch sin servidor informa de que el nombre de la colección coincide con la política de acceso a datos books-policy.

  8. Seleccione Siguiente.

  9. Revise la configuración de la colección y seleccione Enviar. Las colecciones suelen tardar menos de un minuto en inicializarse.

Paso 6: Cargar y buscar datos

Puede cargar datos en una colección de OpenSearch sin servidor con Postman o curl. Para ser breves, en estos ejemplos se utilizan las herramientas de desarrollo en la consola de OpenSearch Dashboards.

Para indexar y buscar datos en la colección

  1. Seleccione Colecciones en el panel de navegación de la izquierda y elija la colección de libros para abrir su página de detalles.

  2. Seleccione la URL de OpenSearch Dashboards para la colección. La URL toma el formato https://collection-id.us-east-1.aoss.amazonaws.com/_dashboards.

  3. Inicie sesión con las claves secretas y de acceso AWS de la entidad principal que especificó en su política de acceso a datos.

  4. En OpenSearch Dashboards, abra el menú de navegación izquierdo y seleccione Herramientas de desarrollo.

  5. Para crear un índice único denominado books-index, ejecute el siguiente comando:

    PUT books-index
    OpenSearch Dashboards console showing PUT request for books-index with JSON response.

  6. Para indexar un solo documento en books-index, ejecute el siguiente comando:

    PUT books-index/_doc/1
{ 
  "title": "The Shining",
  "author": "Stephen King",
  "year": 1977
}

  7. Para buscar datos en OpenSearch Dashboards, debe configurar al menos un patrón de índice. OpenSearch utiliza estos patrones para identificar los índices que desea analizar. Abra el menú principal de Dashboards, seleccione Gestión de pilas, luego seleccione Patrones de índice y, a continuación, seleccione Crear patrón de índice. Para este tutorial, introduzca books-index.

  8. seleccione Siguiente paso y, a continuación, seleccione Crear patrón de índice. Una vez creado el patrón, puede ver los diversos campos de documento, como author y title.

  9. Para comenzar a buscar los datos, vuelva a abrir el menú principal y elija Explorar o utilice la API de búsqueda.