View a markdown version of this page

Tutorial: Introducción a la seguridad en Amazon OpenSearch Serverless (consola) - OpenSearch Servicio Amazon
Paso 1: Configurar los permisosPaso 2: Crear una política de cifradoPaso 3: crear una política de redPaso 4: crear una política de acceso a datosPaso 5: crear una colecciónPaso 6: Cargar y buscar datos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Tutorial: Introducción a la seguridad en Amazon OpenSearch Serverless (consola)

En este tutorial, creará y gestionará políticas de seguridad mediante la consola Amazon OpenSearch Serverless.

En este tutorial, complete los siguientes pasos:

  1. Configurar permisos

  2. Crear una política de cifrado

  3. Crear una política de red

  4. Configurar la política de acceso a datos

  5. Crear una colección

  6. Cargar y buscar datos

En este tutorial se muestra cómo configurar una colección mediante Consola de administración de AWS. Para ver los mismos pasos con el AWS CLI, consulteTutorial: Introducción a la seguridad en Amazon OpenSearch Serverless (CLI).

Paso 1: Configurar los permisos

nota

Puedes omitir este paso si ya utilizas una política más amplia basada en la identidad, como Action":"aoss:*" o Action":"*". Sin embargo, en los entornos de producción, siga el principio de privilegios mínimos y asigne únicamente los permisos mínimos necesarios para completar una tarea.

Para completar este tutorial, debe tener los permisos de IAM correctos. Su usuario o rol debe tener adjunta una política basada en la identidad con los siguientes permisos mínimos:

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Action": [
        "aoss:ListCollections",
        "aoss:BatchGetCollection",
        "aoss:CreateCollection",
        "aoss:CreateSecurityPolicy",
        "aoss:GetSecurityPolicy",
        "aoss:ListSecurityPolicies",
        "aoss:CreateAccessPolicy",
        "aoss:GetAccessPolicy",
        "aoss:ListAccessPolicies"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Para obtener una lista completa de los permisos OpenSearch sin servidor, consulteIdentity and Access Management para Amazon OpenSearch Serverless.

Paso 2: Crear una política de cifrado

Las políticas de cifrado especifican la AWS KMS clave que OpenSearch Serverless utiliza para cifrar la colección. Puede cifrar las colecciones con una clave Clave administrada de AWS o una clave diferente. Para simplificar, en este tutorial, cifra su colección con una. Clave administrada de AWS

Para crear una política de cifrado

  1. Abre la consola OpenSearch de Amazon Service en https://console.aws.amazon.com/aos/home.

  2. Expanda Sin servidor en el panel de navegación de la izquierda y seleccione Políticas de red.

  3. Seleccione Crear política de cifrado.

  4. Llame a la política books-policy. Para ver la descripción, ingresaEncryption policy for books collection.

  5. En Recursosbooks, ingresa el nombre que le darás a tu colección. Si quieres ser más amplio, puedes incluir un asterisco (books*) para que la política se aplique a todas las colecciones que comiencen por la palabra «libros».

  6. Para el cifrado, mantén seleccionada la opción AWS Usar clave propia.

  7. Seleccione Crear.

Paso 3: crear una política de red

Las políticas de red determinan si se puede acceder a la colección a través de Internet desde redes públicas o si se debe acceder a ella a través de puntos de conexión de VPC OpenSearch gestionados sin servidor. En este tutorial, configurará el acceso público.

Crear una política de red

  1. Seleccione Políticas en el panel de navegación de la izquierda y, a continuación, Crear política.

  2. Llame a la política books-policy. Para ver la descripción, introduzcaNetwork policy for books collection.

  3. En Regla 1, asigne un nombre a la reglaPublic access for books collection.

  4. Para simplificar, en este tutorial, configure el acceso público a la colección de libros. Para el tipo de acceso, seleccione Público.

  5. Puede acceder a la colección desde los OpenSearch paneles de control. Para ello, debe configurar el acceso a la red para los paneles y el OpenSearch punto final; de lo contrario, los paneles no funcionarán.

    Para el tipo de recurso, habilite el acceso a los OpenSearch puntos finales y el acceso a los paneles. OpenSearch

  6. Introduzca en ambos cuadros de entrada. Collection Name = books Esta configuración reduce el alcance de la política para que solo se aplique a una única colección (books). La regla debe tener un aspecto similar al siguiente:

    Interfaz de búsqueda que muestra dos campos de entrada para la selección de términos de recopilación o prefijo, ambos configurados como «libros».

  7. Seleccione Crear.

Paso 4: crear una política de acceso a datos

No podrá acceder a los datos de su colección hasta que configure el acceso a los datos. Las políticas de acceso a los datos son independientes de la política basada en identidades de IAM que configuró en el paso 1. Permiten a los usuarios acceder a los datos reales de una colección.

En este tutorial, proporcionará a un único usuario los permisos necesarios para indexar los datos en la colección de libros.

Para crear una política de acceso a datos

  1. En el panel de navegación de la izquierda, seleccione Políticas de acceso a datos y Crear política de acceso.

  2. Llame a la política books-policy. Para la descripción, introduzcaData access policy for books collection.

  3. Seleccione JSON para el método de definición de políticas y pegue la siguiente política en el editor de JSON.

    Sustituya el ARN principal por el ARN de la cuenta que utiliza para iniciar sesión en los OpenSearch paneles e indexar datos.

    [
   {
      "Rules":[
         {
            "ResourceType":"index",
            "Resource":[
               "index/books/*"
            ],
            "Permission":[
               "aoss:CreateIndex",
               "aoss:DescribeIndex", 
               "aoss:ReadDocument",
               "aoss:WriteDocument",
               "aoss:UpdateIndex",
               "aoss:DeleteIndex"
            ]
         }
      ],
      "Principal":[
         "arn:aws:iam::123456789012:user/my-user"
      ]
   }
]

    Esta política proporciona a un solo usuario los permisos mínimos necesarios para crear un índice en la colección de libros, indexar algunos datos y buscarlos.

  4. Seleccione Crear.

Paso 5: crear una colección

Ahora que ha configurado las políticas de cifrado y de red, puede crear una colección que coincida con ellas. OpenSearch Serverless aplica automáticamente la configuración de seguridad.

Para crear una colección OpenSearch sin servidor

  1. Seleccione Colecciones en el panel de navegación de la izquierda y elija Crear colección.

  2. En el campo Generación sin servidor, selecciona Cambiar a la versión clásica si aún no tienes la versión clásica.

  3. Para el nombre de la colección, introduzcabooks.

  4. Para el tipo de colección, seleccione Buscar.

  5. En Cifrado, OpenSearch Serverless le informa de que el nombre de la colección coincide con la política de books-policy cifrado.

  6. En la configuración de acceso a la red, OpenSearch Serverless le informa de que el nombre de la colección coincide con la política de books-policy red.

  7. Elija Siguiente.

  8. En las opciones de la política de acceso a los datos, OpenSearch Serverless le informa de que el nombre de la colección coincide con la política de acceso a los books-policy datos.

  9. Elija Siguiente.

  10. En Configurar la OpenSearch interfaz de usuario, configure la OpenSearch aplicación y el espacio de trabajo de su colección. Elija Seleccionar una OpenSearch aplicación existente o Crear una nueva OpenSearch aplicación y seleccione o cree un espacio de trabajo. Elija Siguiente.

  11. Revise la configuración de la colección y seleccione Enviar. Las colecciones suelen tardar menos de un minuto en inicializarse.

nota

Este tutorial utiliza el flujo de creación de colecciones clásico para demostrar cómo las políticas de seguridad preconfiguradas se adaptan automáticamente durante la creación de la colección. Para obtener información sobre la creación de colecciones mediante el NextGen flujo, consulteCreación de colecciones.

Paso 6: Cargar y buscar datos

Puede cargar datos a una colección OpenSearch sin servidor mediante Postman o curl. Para abreviar, en estos ejemplos se utilizan las herramientas de desarrollo de la consola de Dashboards. OpenSearch

Para indexar y buscar datos en la colección

  1. Seleccione Colecciones en el panel de navegación de la izquierda y elija la colección de libros para abrir su página de detalles.

  2. Elija la URL de los OpenSearch paneles de control para la colección. La URL toma el formato https://collection-id.us-east-1.aoss.amazonaws.com/_dashboards.

  3. Inicie sesión en OpenSearch Dashboards con las claves de AWS acceso y secreta del director que especificó en su política de acceso a los datos.

  4. En los OpenSearch paneles, abra el menú de navegación de la izquierda y seleccione Herramientas de desarrollo.

  5. Para crear un índice único denominado books-index, ejecute el siguiente comando:

    PUT books-index
    OpenSearch La consola de paneles muestra la solicitud PUT para indexar libros con una respuesta en JSON.

  6. Para indexar un solo documento en books-index, ejecute el siguiente comando:

    PUT books-index/_doc/1
{ 
  "title": "The Shining",
  "author": "Stephen King",
  "year": 1977
}

  7. Para buscar datos en los OpenSearch paneles, debe configurar al menos un patrón de índice. OpenSearch utiliza estos patrones para identificar los índices que desea analizar. Abra el menú principal de Dashboards, seleccione Gestión de pilas, luego seleccione Patrones de índice y, a continuación, seleccione Crear patrón de índice. Para este tutorial, introduzca books-index.

  8. seleccione Siguiente paso y, a continuación, seleccione Crear patrón de índice. Una vez creado el patrón, puede ver los diversos campos de documento, como author y title.

  9. Para comenzar a buscar los datos, vuelva a abrir el menú principal y elija Explorar o utilice la API de búsqueda.