Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Acceso a la red para Amazon OpenSearch Serverless
La configuración de red de una colección de Amazon OpenSearch Serverless determina si se puede acceder a la colección a través de Internet desde redes públicas o si se debe acceder a ella de forma privada.
El acceso privado puede aplicarse a uno de los siguientes lugares o ambos:
+ OpenSearch Terminales de VPC gestionados sin servidor
+ Compatible Servicios de AWS , como Amazon Bedrock
Puede configurar el acceso a la red por separado para el *OpenSearch*punto final de una colección y el punto final de *OpenSearch Dashboards* correspondiente.
El acceso a la red es el mecanismo de aislamiento que permite el acceso desde diferentes redes de origen. Por ejemplo, si el punto final de los OpenSearch paneles de una colección es de acceso público, pero el punto final de la OpenSearch API no, el usuario solo podrá acceder a los datos de la recopilación a través de los paneles cuando se conecte desde una red pública. Si intenta llamarlos OpenSearch APIs directamente desde una red pública, se bloqueará. La configuración de red se puede utilizar para estas permutaciones de origen a tipo de recurso. Amazon OpenSearch Serverless es compatible con ambos tipos IPv4 de IPv6 conectividad.
**Topics**
+ [
## Políticas de red
](#serverless-network-policies)
+ [
## Consideraciones
](#serverless-network-considerations)
+ [
## Permisos necesarios para configurar políticas de red
](#serverless-network-permissions)
+ [
## Prioridad política
](#serverless-network-precedence)
+ [
## Creación de políticas de (consola)
](#serverless-network-console)
+ [
## Creación de políticas de (AWS CLI)
](#serverless-network-cli)
+ [
## Visualización de políticas de red
](#serverless-network-list)
+ [
## Actualización de las políticas de red
](#serverless-network-update)
+ [
## Eliminar las políticas de red
](#serverless-network-delete)
## Políticas de red
Las políticas de red le permiten administrar muchas colecciones a gran escala al asignar de forma automática la configuración de acceso a la red a las colecciones que cumplen con las reglas definidas en la política.
En una política de red, se especifican una serie de *reglas*. Estas reglas definen los permisos de acceso a los puntos de enlace de recopilación y a los puntos de enlace de OpenSearch Dashboards. Cada regla consta de un tipo de acceso (público o privado) y un tipo de recurso (punto final de colección o OpenSearch panel de control). Para cada tipo de recurso (`collection` y `dashboard`), especifique una serie de reglas que definen a qué colecciones se aplicará la política.
En este ejemplo de política, la primera regla especifica el acceso al punto de conexión de VPC tanto en el punto de conexión de la colección como al punto de conexión de Dashboards para todas las colecciones que comiencen por el término `marketing*`. También especifica el acceso a Amazon Bedrock.
**nota**
El acceso privado a Servicios de AWS Amazon Bedrock *solo* se aplica al punto final de la colección, no al OpenSearch punto final de OpenSearch Dashboards. Incluso si es así`dashboard`, Servicios de AWS no `ResourceType` se le puede conceder acceso a OpenSearch los paneles de control.
La segunda regla especifica el acceso público a la colección `finance`, pero solo para el punto de conexión de la colección (sin acceso a los paneles).
```
[
{
"Description":"Marketing access",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/marketing*"
]
},
{
"ResourceType":"dashboard",
"Resource":[
"collection/marketing*"
]
}
],
"AllowFromPublic":false,
"SourceVPCEs":[
"vpce-050f79086ee71ac05"
],
"SourceServices":[
"bedrock.amazonaws.com"
],
},
{
"Description":"Sales access",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/finance"
]
}
],
"AllowFromPublic":true
}
]
```
Esta política solo proporciona acceso público a los OpenSearch paneles de control para las colecciones que comiencen por «finanzas». Cualquier intento de acceder directamente a la OpenSearch API fallará.
```
[
{
"Description": "Dashboards access",
"Rules": [
{
"ResourceType": "dashboard",
"Resource": [
"collection/finance*"
]
}
],
"AllowFromPublic": true
}
]
```
Las políticas de red pueden aplicarse a las colecciones existentes, así como a las colecciones futuras. Por ejemplo, puede crear una colección y, a continuación, crear una política de red con una regla que coincida con el nombre de la colección. No es necesario crear políticas de red para crear colecciones.
## Consideraciones
Al configurar el acceso a la red para sus colecciones, tenga en cuenta lo siguiente:
+ Si planea configurar el acceso al punto de enlace de VPC para una colección, primero debe crear al [OpenSearch menos un punto de enlace de VPC administrado](serverless-vpc.md) sin servidor.
+ El acceso privado Servicios de AWS solo se aplica al punto final de la colección, no al OpenSearch punto final de Dashboards. OpenSearch Incluso si es así`dashboard`, Servicios de AWS no `ResourceType` se le puede conceder acceso a los OpenSearch paneles de control.
+ Si se puede acceder a una colección desde redes públicas, también se puede acceder a ella desde todos los puntos finales de VPC OpenSearch gestionados por Serverless y todos ellos. Servicios de AWS
+ Se pueden aplicar varias políticas de red a una sola colección. Para obtener más información, consulte [Prioridad política](#serverless-network-precedence).
## Permisos necesarios para configurar políticas de red
El acceso a la red para OpenSearch Serverless utiliza los siguientes permisos (IAM). AWS Identity and Access Management Puede especificar condiciones de IAM para restringir a los usuarios a las políticas de red asociadas con colecciones específicas.
+ `aoss:CreateSecurityPolicy`: cree una política de acceso a la red.
+ `aoss:ListSecurityPolicies`: enumere todas las políticas de red de la cuenta actual.
+ `aoss:GetSecurityPolicy`: vea una especificación de la política de acceso a la red.
+ `aoss:UpdateSecurityPolicy`: modifique una política de acceso a la red determinada y cambiar el ID de VPC o la designación de acceso público.
+ `aoss:DeleteSecurityPolicy`: elimine una política de acceso a la red (después de separarla de todas las colecciones).
La siguiente política de acceso basada en identidades permite al usuario ver todas las políticas de red y actualizarlas según el patrón de recursos`collection/application-logs`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aoss:UpdateSecurityPolicy"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aoss:collection": "application-logs"
}
}
},
{
"Effect": "Allow",
"Action": [
"aoss:ListSecurityPolicies",
"aoss:GetSecurityPolicy"
],
"Resource": "*"
}
]
}
```
------
**nota**
Además, OpenSearch Serverless requiere los `aoss:DashboardsAccessAll` permisos `aoss:APIAccessAll` y los permisos para los recursos de recopilación. Para obtener más información, consulte [Uso de operaciones OpenSearch de API](security-iam-serverless.md#security_iam_id-based-policy-examples-data-plane).
## Prioridad política
Puede haber situaciones en las que las reglas de la política de red se superpongan, dentro de las políticas o entre ellas. Cuando esto ocurre, una regla que especifica el acceso público anula la regla que especifica el acceso privado para cualquier colección que sea común a *ambas* reglas.
Por ejemplo, en la siguiente política, ambas reglas asignan acceso a la red de la colección `finance`, pero una regla especifica el acceso a la VPC y la otra especifica el acceso público. En esta situación, el acceso público anula el acceso a la VPC *únicamente para la recaudación de fondos* (porque existe en ambas reglas), por lo que se podrá acceder a la colección de fondos desde las redes públicas. La colección de ventas tendrá acceso a VPC desde el punto de conexión especificado.
```
[
{
"Description":"Rule 1",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/sales",
"collection/finance"
]
}
],
"AllowFromPublic":false,
"SourceVPCEs":[
"vpce-050f79086ee71ac05"
]
},
{
"Description":"Rule 2",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/finance"
]
}
],
"AllowFromPublic":true
}
]
```
Si se aplican varios puntos de conexión de VPC de diferentes reglas a una colección, las reglas son aditivas y se podrá acceder a la colección desde todos los puntos de conexión especificados. Si lo configura `AllowFromPublic` `true` pero también proporciona uno `SourceVPCEs` o más`SourceServices`, OpenSearch Serverless ignora los puntos finales de la VPC y los identificadores de servicio, y las colecciones asociadas tendrán acceso público.
## Creación de políticas de (consola)
Las políticas de red pueden aplicarse a las colecciones existentes, así como a las colecciones futuras. Se recomienda crear políticas de red antes de empezar a crear colecciones.
**Para crear una política de red sin servidor OpenSearch**
1. Abre la consola OpenSearch de Amazon Service en [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home ).
1. En el panel de navegación de la izquierda, expanda **Sin servidor** y seleccione **Políticas de red**.
1. Seleccione **Crear políticas de red**.
1. Escriba un nombre y una descripción para la política.
1. Proporcione una o más *reglas*. Estas reglas definen los permisos de acceso para sus colecciones OpenSearch sin servidor y sus puntos finales de OpenSearch Dashboards.
Cada regla contiene los siguientes elementos:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/serverless-network.html)
Para cada tipo de recurso que seleccione, puede elegir las colecciones existentes a las que aplicar la configuración de políticas y and/or crear uno o más patrones de recursos. Los patrones de recursos constan de un prefijo y un comodín (\$1) y definen a qué colecciones se aplicará la configuración de la política.
Por ejemplo, si incluye un patrón denominado `Marketing*`, a cualquier colección nueva o existente cuyo nombre comience por “Marketing” se le aplicará automáticamente la configuración de red de esta política. Un único comodín (`*`) aplica la política a todas las colecciones actuales y future.
Además, puede especificar el nombre de una colección *futura* sin caracteres comodín, como`Finance`. OpenSearch Serverless aplicará la configuración de la política a cualquier colección recién creada con ese nombre exacto.
1. Cuando esté satisfecho, seleccione **Crear**.
## Creación de políticas de (AWS CLI)
Para crear una política de red mediante las operaciones de la API OpenSearch sin servidor, debe especificar las reglas en formato JSON. La [CreateSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateSecurityPolicy.html)solicitud acepta políticas en línea y archivos.json. Todas las colecciones y patrones deben tomar la forma `collection/`.
**nota**
El tipo de recurso `dashboards` solo permite el acceso a los OpenSearch paneles, pero para que los OpenSearch paneles funcionen, también debes permitir el acceso a la colección desde las mismas fuentes. Consulte la segunda política a continuación para ver un ejemplo.
Para especificar el acceso privado, incluya uno o los siguientes elementos:
+ `SourceVPCEs`— Especifique uno o más puntos finales de VPC OpenSearch gestionados sin servidor.
+ `SourceServices`— Especifique el identificador de uno o más de los compatibles. Servicios de AWS Actualmente, se admiten los siguientes identificadores de servicio:
+ `bedrock.amazonaws.com`: Amazon Bedrock
El siguiente ejemplo de política de red proporciona acceso privado, a una punto de conexión de VPC y Amazon Bedrock, a los puntos de conexión de las colecciones solo para las colecciones que comienzan con el prefijo `log*`. Los usuarios autenticados no pueden iniciar sesión en los OpenSearch paneles; solo pueden acceder al punto final de la colección mediante programación.
```
[
{
"Description":"Private access for log collections",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/log*"
]
}
],
"AllowFromPublic":false,
"SourceVPCEs":[
"vpce-050f79086ee71ac05"
],
"SourceServices":[
"bedrock.amazonaws.com"
],
}
]
```
La siguiente política proporciona acceso público al OpenSearch punto final *y* a los OpenSearch paneles de control de una sola colección denominada. `finance` Si la colección no existe, la configuración de red se aplicará a la colección siempre y cuando se cree.
```
[
{
"Description":"Public access for finance collection",
"Rules":[
{
"ResourceType":"dashboard",
"Resource":[
"collection/finance"
]
},
{
"ResourceType":"collection",
"Resource":[
"collection/finance"
]
}
],
"AllowFromPublic":true
}
]
```
La siguiente solicitud crea la política de red anterior:
```
aws opensearchserverless create-security-policy \
--name sales-inventory \
--type network \
--policy "[{\"Description\":\"Public access for finance collection\",\"Rules\":[{\"ResourceType\":\"dashboard\",\"Resource\":[\"collection\/finance\"]},{\"ResourceType\":\"collection\",\"Resource\":[\"collection\/finance\"]}],\"AllowFromPublic\":true}]"
```
Para proporcionar la política en un archivo JSON, utilice el formato`--policy file://my-policy.json`
## Visualización de políticas de red
Antes de crear una colección, puede que desee obtener una vista previa de las políticas de red existentes en su cuenta para ver cuáles tienen un patrón de recursos que coincide con el nombre de su colección. La siguiente [ListSecurityPolicies](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_ListSecurityPolicies.html)solicitud muestra todas las políticas de red de su cuenta:
```
aws opensearchserverless list-security-policies --type network
```
La solicitud devuelve información sobre todas las políticas de red configuradas. Para ver las reglas de patrón definidas en una política específica, busque la información de la política en el contenido del elemento `securityPolicySummaries` en la respuesta. Tenga en cuenta el `name` `type` final de esta política y utilice estas propiedades en una [GetSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetSecurityPolicy.html)solicitud para recibir una respuesta con los siguientes detalles de la política:
```
{
"securityPolicyDetail": [
{
"type": "network",
"name": "my-policy",
"policyVersion": "MTY2MzY5MTY1MDA3Ml8x",
"policy": "[{\"Description\":\"My network policy rule\",\"Rules\":[{\"ResourceType\":\"dashboard\",\"Resource\":[\"collection/*\"]}],\"AllowFromPublic\":true}]",
"createdDate": 1663691650072,
"lastModifiedDate": 1663691650072
}
]
}
```
Para ver información detallada sobre una política específica, utilice el [GetSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetSecurityPolicy.html)comando.
## Actualización de las políticas de red
Al modificar los puntos de conexión de VPC o la designación de acceso público de una red, todas las colecciones asociadas se ven afectadas. Para actualizar una política de red en la consola OpenSearch sin servidor, expanda **Políticas de red**, seleccione la política que desee modificar y elija **Editar**. Realice los cambios y elija **Guardar**.
Para actualizar una política de red mediante la API OpenSearch sin servidor, utilice el [UpdateSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_UpdateSecurityPolicy.html)comando. Debe incluir un control de versiones de política en la solicitud. Puede recuperar el control de versiones de la política mediante los comandos `ListSecurityPolicies` o `GetSecurityPolicy`. Incluir la versión más reciente de la política garantiza que no se anule inadvertidamente un cambio realizado por otra persona.
La siguiente solicitud actualiza una política de red con un nuevo documento JSON de política:
```
aws opensearchserverless update-security-policy \
--name sales-inventory \
--type network \
--policy-version MTY2MzY5MTY1MDA3Ml8x \
--policy file://my-new-policy.json
```
## Eliminar las políticas de red
Para poder eliminar una política de red, debe desconectarla de todas las colecciones. **Para eliminar una política en la consola OpenSearch sin servidor, selecciónela y elija Eliminar.**
También puede usar el [DeleteSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_DeleteSecurityPolicy.html)comando:
```
aws opensearchserverless delete-security-policy --name my-policy --type network
```