Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Otorgar a Amazon OpenSearch Ingestion pipelines acceso a las colecciones
Una canalización OpenSearch de Amazon Ingestion puede escribir en una colección pública OpenSearch sin servidor o en una colección de VPC. Para proporcionar acceso a la colección, debe configurar una función de canalización AWS Identity and Access Management (IAM) con una política de permisos que conceda el acceso a la colección. La canalización asume esta función para firmar las solicitudes que se envían al receptor de recopilación OpenSearch Serverless.
importante
Puedes elegir crear el rol de canalización manualmente o puedes hacer que OpenSearch Ingestion lo cree por ti durante la creación del canalización. Si eliges la creación automática de roles, OpenSearch Ingestion añadirá todos los permisos necesarios a la política de acceso a los roles de canalización en función de la fuente y el receptor que elijas. Crea un rol de canalización en IAM con el prefijo OpenSearchIngestion- y el sufijo que introduzcas. Para obtener más información, consulte Rol de canalización.
Si ha pedido a OpenSearch Ingestion que cree la función de canalización por usted, tendrá que incluirla en la política de acceso a los datos de la recopilación, antes o después de crear la canalización. Consulta el paso 2 para obtener instrucciones.
Durante la creación de la canalización, OpenSearch Ingestion crea una AWS PrivateLink conexión entre la canalización y la colección OpenSearch Serverless. Todo el tráfico de la canalización pasa por este punto de conexión de VPC y se enruta a la colección. Para llegar a la colección, el punto de conexión debe tener acceso a la colección mediante una política de acceso a la red.
Temas
Paso 1: crear el rol de canalización
La función de canalización debe tener una política de permisos adjunta que le permita enviar datos al receptor de recopilación. También debe tener una relación de confianza que permita a OpenSearch Ingestion asumir la función. Para ver instrucciones sobre cómo adjuntar una política a un rol, consulte Adición de permisos de identidad de IAM en la Guía del usuario de IAM.
El siguiente ejemplo de política muestra los privilegios mínimos que se pueden proporcionar en una política de acceso a un rol en proceso para que pueda escribir en las colecciones:
El rol debe tener la siguiente relación de confianza, que permita a OpenSearch Ingestion asumirlo:
Paso 2: Configurar el acceso a los datos y a la red para la recopilación
Cree una colección OpenSearch sin servidor con los siguientes ajustes. Para ver instrucciones sobre cómo crear una colección, consulte Creación de colecciones.
Política de acceso a los datos
Cree una política de acceso a los datos para la colección que conceda los permisos necesarios para el rol de canalización. Por ejemplo:
[ { "Rules": [ { "Resource": [ "index/collection-name/*" ], "Permission": [ "aoss:CreateIndex", "aoss:UpdateIndex", "aoss:DescribeIndex", "aoss:WriteDocument" ], "ResourceType": "index" } ], "Principal": [ "arn:aws:iam::account-id:role/pipeline-role" ], "Description": "Pipeline role access" } ]
nota
En el Principal elemento, especifique el nombre de recurso de Amazon (ARN) de la función de canalización.
Política de acceso a la red
Cada colección que cree en OpenSearch Serverless tiene asociada al menos una política de acceso a la red. Las políticas de acceso a la red determinan si se puede acceder a la colección a través de Internet desde redes públicas o si se debe acceder a ella de forma privada. Para obtener más información sobre las políticas de red, consulte Acceso a la red para Amazon OpenSearch Serverless.
Dentro de una política de acceso a la red, solo puede especificar puntos finales de OpenSearch VPC administrados sin servidor. Para obtener más información, consulte Acceda a Amazon OpenSearch Serverless mediante un punto final de interfaz ()AWS PrivateLink. Sin embargo, para que la canalización escriba en la colección, la política también debe conceder acceso al punto final de la VPC que OpenSearch Ingestion crea automáticamente entre la canalización y la colección. Por lo tanto, si eliges una colección OpenSearch sin servidor como destino de una canalización, debes introducir el nombre de la política de red asociada en el campo Nombre de la política de red.
Durante la creación de la canalización, OpenSearch Ingestion comprueba la existencia de la política de red especificada. Si no existe, OpenSearch Ingestion la crea. Si existe, OpenSearch Ingestión la actualiza añadiéndole una nueva regla. La regla concede acceso al punto de conexión de VPC que conecta la canalización y la colección.
Por ejemplo:
{ "Rules":[ { "Resource":[ "collection/my-collection" ], "ResourceType":"collection" } ], "SourceVPCEs":[ "vpce-0c510712627e27269" # The ID of the VPC endpoint that OpenSearch Ingestion creates between the pipeline and collection ], "Description":"Created by Data Prepper" }
En la consola, cualquier regla que OpenSearch Ingestion añada a las políticas de red se denomina Creada por Data Prepper:
nota
En general, una regla que especifica el acceso público a una colección anula una regla que especifica el acceso privado. Por lo tanto, si la política ya tenía configurado el acceso público, esta nueva regla que añade OpenSearch Ingestion en realidad no cambia el comportamiento de la política. Para obtener más información, consulte Prioridad política.
Si detiene o elimina la canalización, OpenSearch Ingestión elimina el punto final de la VPC entre la canalización y la colección. También modifica la política de red para eliminar el punto de conexión de VPC de la lista de puntos de conexión permitidos. Si reinicia la canalización, se vuelve a crear el punto de conexión de VPC y se vuelve a actualizar la política de red con el ID del punto de conexión.
