Otorgar a Amazon OpenSearch Ingestion pipelines acceso a los dominios - OpenSearch Servicio Amazon
Paso 1: crear el rol de canalizaciónPaso 2: Configurar el acceso a los datos para el dominio

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Otorgar a Amazon OpenSearch Ingestion pipelines acceso a los dominios

Una canalización OpenSearch de Amazon Ingestion necesita permiso para escribir en el dominio de OpenSearch servicio que está configurado como receptor. Para proporcionar acceso, debe configurar un rol AWS Identity and Access Management (IAM) con una política de permisos restrictiva que limite el acceso al dominio al que una canalización envía datos. Por ejemplo, es posible que desee limitar una canalización de incorporación únicamente al dominio y los índices necesarios para respaldar su caso de uso.

importante

Puede elegir crear el rol de canalización manualmente o puede hacer que OpenSearch Ingestion lo cree por usted durante la creación de la canalización. Si eliges la creación automática de roles, OpenSearch Ingestion añadirá todos los permisos necesarios a la política de acceso a los roles de canalización en función de la fuente y el receptor que elijas. Crea un rol de canalización en IAM con el prefijo OpenSearchIngestion- y el sufijo que introduzcas. Para obtener más información, consulte Rol de canalización.

Si ha pedido a OpenSearch Ingestion que cree el rol de canalización por usted, tendrá que incluirlo en la política de acceso al dominio y asignarlo a un rol de back-end (si el dominio usa un control de acceso preciso), antes o después de crear la canalización. Consulta el paso 2 para obtener instrucciones.

Paso 1: crear el rol de canalización

La función de canalización debe tener una política de permisos adjunta que le permita enviar datos al receptor del dominio. También debe tener una relación de confianza que permita a OpenSearch Ingestion asumir el rol. Para ver instrucciones sobre cómo adjuntar una política a un rol, consulte Adición de permisos de identidad de IAM en la Guía del usuario de IAM.

En el siguiente ejemplo de política se muestra el mínimo privilegio que se le puede conceder en un rol de canalización para escribir en un único dominio:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "es:DescribeDomain",
            "Resource": "arn:aws:es:*:111122223333:domain/*"
        },
        {
            "Effect": "Allow",
            "Action": "es:ESHttp*",
            "Resource": "arn:aws:es:*:111122223333:domain/domain-name/*"
        }
    ]
}

Si piensa reutilizar el rol para escribir en varios dominios, puede ampliar la política sustituyendo el nombre de dominio por un carácter comodín (*).

El rol debe tener la siguiente relación de confianza, lo que permite a OpenSearch Ingestion asumir el rol de canalización:

JSON
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"osis-pipelines.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Paso 2: Configurar el acceso a los datos para el dominio

Para que una canalización escriba datos en un dominio, el dominio debe tener una política de acceso a nivel de dominio que permita al rol de canalización acceder a ellos.

El siguiente ejemplo de política de acceso al dominio permite que el rol de canalización denominado pipeline-role escriba datos en el dominio denominado: ingestion-domain

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/pipeline-role"
            },
            "Action": [
                "es:DescribeDomain",
                "es:ESHttp*"
            ],
            "Resource": "arn:aws:es:us-east-1:111122223333:domain/domain-name/*"
        }
    ]
}

Asigne la función de canalización (solo para los dominios que utilizan un control de acceso detallado)

Si su dominio utiliza un control de acceso detallado para la autenticación, debe seguir algunos pasos adicionales para proporcionar a su canalización acceso a un dominio. Los pasos varían en función de la configuración del dominio:

  • Escenario 1: función de maestro y función de canalización diferentes: si utiliza un nombre de recurso de Amazon (ARN) de IAM como usuario maestro y es diferente de la función de canalización, debe asignar la función de canalización a la función de backend OpenSearchall_access. Esto añade la función de canalización como usuario maestro adicional. Para obtener más información, consulte Usuarios maestros adicionales.

  • Escenario 2: Usuario maestro en la base de datos de usuarios interna: si tu dominio utiliza un usuario maestro en la base de datos de usuarios interna y la autenticación básica mediante HTTP para los OpenSearch paneles, no podrás pasar el nombre de usuario y la contraseña maestros directamente a la configuración de la canalización. En su lugar, asigne la función de canalización a la función de OpenSearch all_access backend. Esto añade el rol de canalización como usuario maestro adicional. Para obtener más información, consulte Usuarios maestros adicionales.

  • Escenario 3: La misma función de maestro y función de canalización (poco común): si utiliza un ARN de IAM como usuario maestro y es el mismo ARN que utiliza como función de canalización, no necesita realizar ninguna otra acción. La canalización tiene los permisos necesarios para escribir en el dominio. Este escenario es poco común porque la mayoría de los entornos utilizan un rol de administrador o algún otro rol como rol de maestro.

La siguiente imagen muestra cómo asignar el rol de canalización a un rol de backend:

Backend roles section showing an AWSIAM role ARN for a pipeline role with a Remove option.