View a markdown version of this page

Acceso al plano de datos a través de AWS PrivateLink - OpenSearch Servicio Amazon
Métodos de creación de terminales de VPCResolución de DNS de los puntos finales de la colección ClassicVPC y políticas de acceso a la redPolíticas de punto de conexión y VPCConsideracionesPermisos necesariosCree un punto final de interfaz estándar () NextGenCree un punto final OpenSearch Serverless-managed de interfaz (clásico)Configuración de VPC compartida para Amazon Serverless OpenSearch

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acceso al plano de datos a través de AWS PrivateLink

Amazon OpenSearch Serverless admite dos tipos de AWS PrivateLink conexiones para las operaciones del plano de control y del plano de datos. Las operaciones del plano de control incluyen la creación y eliminación de colecciones y la administración de las políticas de acceso. Las operaciones del plano de datos sirven para indexar y consultar los datos de una colección. En esta página se describen los puntos finales de VPC del plano de datos. Para obtener información sobre los AWS PrivateLink puntos finales del plano de control, consulte. Acceso al plano de control a través de AWS PrivateLink

Puede usarlo AWS PrivateLink para crear una conexión privada entre su VPC y Amazon OpenSearch Serverless. Puede acceder a OpenSearch Serverless como si estuviera en su VPC, sin el uso de una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una conexión. Direct Connect Las instancias de su VPC no necesitan direcciones IP públicas para acceder OpenSearch a Serverless. Para obtener más información sobre el acceso a la red de VPC, consulte Patrones de conectividad de red para Amazon OpenSearch Serverless.

Esta conexión privada se establece mediante la creación de un punto de conexión de interfaz alimentado por AWS PrivateLink. Creamos una interfaz de red de punto de conexión en cada subred especificada para el punto de conexión de interfaz. Se trata de interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado a Serverless. OpenSearch

Para obtener más información, consulte Acceso a los Servicios de AWS a través de AWS PrivateLink en la Guía de AWS PrivateLink .

Métodos de creación de terminales de VPC

Amazon OpenSearch Serverless admite dos formas de crear un punto de enlace de VPC del plano de datos, según el tipo de punto de enlace de recopilación al que desee acceder. Para obtener más información sobre los formatos de los puntos de enlace de recopilación, consulte. Puntos de enlace de recopilación para Amazon Serverless OpenSearch

  • Punto final de AWS PrivateLink VPC estándar (NextGen): utilice este método para acceder a los puntos finales de la colección OpenSearch Serverless en on.aws (formatos por NextGen colección y por cuenta). El punto de enlace de VPC se crea a través de la consola de Amazon VPC o la CreateVpcEndpoint API de Amazon EC2, del mismo modo que se crea un punto de enlace de VPC de interfaz para cualquier otro. Servicio de AWS Para crear este tipo de punto final, consulte. Cree un estándar AWS PrivateLink punto final de la interfaz (OpenSearch sin servidor NextGen)

  • OpenSearch Serverless-managed Punto final de VPC (clásico): utilice este método para acceder a los puntos finales por colección de OpenSearch Serverless Classic en. aoss.amazonaws.com El punto final de la VPC se crea a través de la consola OpenSearch Serverless, la CreateVpcEndpoint API OpenSearch Serverless o Serverless. OpenSearch AWS CLI El servicio crea el punto de enlace de la VPC de la interfaz y una zona alojada privada de Amazon Route 53 en su cuenta en su nombre. Para crear este tipo de punto final, consulteCree un punto final de OpenSearch Serverless-managed interfaz (Serverless Classic) OpenSearch.

Resolución de DNS de los puntos finales de la colección Classic

Al crear un punto final de VPC del plano de datos a través de la consola OpenSearch sin servidor, el servicio crea una nueva zona alojada Amazon Route 53 privada y la adjunta a la VPC. Esta zona alojada privada consta de un registro para convertir el registro DNS comodín de las colecciones OpenSearch sin servidor (*.us-east-1.aoss.amazonaws.com) en las direcciones de interfaz utilizadas para el punto final. Solo necesita un punto final de VPC OpenSearch sin servidor en una VPC para acceder a todas y cada una de las colecciones y paneles de control de cada una de ellas. Región de AWS Cada VPC con un punto final para OpenSearch Serverless tiene su propia zona alojada privada adjunta.

nota

Un único punto final de VPC no proporciona Multi-AZ redundancia. Si se requiere una alta disponibilidad, considere la posibilidad de implementar puntos de enlace de VPC en varias subredes de diferentes zonas de disponibilidad.

El punto final de la interfaz OpenSearch sin servidor también crea un registro DNS comodín público de Route 53 para todas las colecciones de la región. El nombre DNS se resuelve en las direcciones IP públicas OpenSearch sin servidor. Los clientes de las VPC que no tienen un punto final de OpenSearch VPC sin servidor o los clientes de las redes públicas pueden usar la resolución pública de Route 53 y acceder a las colecciones y los paneles con esas direcciones IP. El tipo de dirección IP (IPv4, IPv6 o Dualstack) del punto final de la VPC se determina en función de las subredes que se proporcionan al crear un punto final de interfaz para Serverless. OpenSearch

nota

OpenSearch Serverless crea una zona alojada privada `<region>.opensearch.amazonaws.com (`) de Amazon Route 53 adicional para OpenSearch una resolución de dominio de servicio. Puede actualizar el punto de conexión de VPC IPv4 existente a Dualstack mediante el comando update-vpc-endpoint de la AWS CLI.

La dirección de resolver de DNS de una VPC determinada es la segunda dirección IP del CIDR de la VPC. Todos los clientes de la VPC deben usar ese resolver para obtener la dirección de punto de conexión de VPC para cualquier colección. El solucionador utiliza una zona alojada privada creada por Serverless. OpenSearch Basta con usar ese resolverr para todas las colecciones de cualquier cuenta. También es posible utilizar el resolver de VPC para algunos puntos de conexión de colección y el resolver público para otros, aunque normalmente no es necesario.

VPC y políticas de acceso a la red

Para conceder permisos de red a OpenSearch las API y los paneles de control de sus colecciones, puede utilizar las políticas de acceso a la red OpenSearch sin servidor. Puede controlar este acceso a la red desde sus puntos de conexión de VPC o desde la Internet pública. Como su política de red solo controla los permisos de tráfico, también debe configurar una política de acceso a los datos que especifique los permisos para operar con los datos de una colección y sus índices. Piense en un punto final de VPC OpenSearch sin servidor como un punto de acceso al servicio, una política de acceso a la red como el punto de acceso a nivel de red a las colecciones y los paneles, y una política de acceso a los datos como el punto de acceso para un control de acceso detallado para cualquier operación con los datos de la recopilación.

Como puede especificar varios ID de punto de conexión de VPC en una política de red, le recomendamos que cree un punto de conexión de VPC para cada VPC que necesite acceder a una colección. Estas VPC pueden pertenecer a AWS cuentas distintas de la cuenta propietaria de la política de recopilación y red sin servidor. OpenSearch No le recomendamos que cree una VPC-to-VPC solución de interconexión u otra solución de proxy entre dos cuentas para que la VPC de una cuenta pueda utilizar el punto de enlace de VPC de otra cuenta. Esto es menos seguro y rentable que cada VPC que tenga su propio punto de conexión. El administrador de la otra VPC, que ha configurado el acceso al punto final de esa VPC en la política de red, no podrá ver fácilmente la primera VPC.

Políticas de punto de conexión y VPC

Amazon OpenSearch Serverless admite políticas de puntos de conexión para VPC. Una política de punto final es una política de IAM basada en recursos que se adjunta a un punto final de VPC para controlar qué entidades AWS principales pueden usar el punto final para acceder a su servicio. AWS Para obtener más información, consulte Controlar el acceso a puntos de conexión de VPC con políticas de punto de conexión.

Para usar una política de punto de conexión, primero debe crear un punto de conexión de interfaz. Puedes crear un punto final de interfaz mediante la consola sin servidor o la API OpenSearch sin servidor. OpenSearch Después de crear el punto de conexión de interfaz, tendrá que añadir la política del punto de conexión al punto de conexión. Para obtener más información, consulte Cree un punto final de OpenSearch Serverless-managed interfaz (Serverless Classic) OpenSearch.

nota

No puede definir una política de puntos finales directamente en la consola de OpenSearch servicio.

Una política de punto de conexión no anula ni reemplaza otras políticas basadas en identidades, políticas basadas en recursos, políticas de red o políticas de acceso a datos que haya configurado. Para obtener información sobre cómo actualizar la política de puntos de conexión, consulte Controlar el acceso a puntos de conexión de VPC con políticas de punto de conexión.

De forma predeterminada, una política de punto de conexión concede acceso completo al punto de conexión de VPC. 

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

Si bien la política de puntos de conexión de VPC predeterminada concede acceso total a los puntos de conexión, puede configurar una política de puntos de conexión de VPC para permitir el acceso a roles y usuarios específicos. Para eso, vea el siguiente ejemplo:

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "123456789012",
                    "987654321098"
                ]
            },
            "Action": "*",
            "Resource": "*"
        }
    ]
}

Puede especificar una colección OpenSearch sin servidor para incluirla como elemento condicional en su política de puntos de conexión de VPC. Para eso, vea el siguiente ejemplo:

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aoss:collection": [
                        "coll-abc"
                    ]
                }
            }
        }
    ]
}

El soporte para aoss:CollectionId está disponible.

Condition": {
         "StringEquals": {
               "aoss:CollectionId": "collection-id"
          }
}

Puede usar las identidades de SAML en la política de puntos de conexión de VPC para determinar el acceso a esos puntos. Debe usar un comodín (*) en la sección de la entidad principal de la política de puntos de conexión de VPC. Para eso, vea el siguiente ejemplo:

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "saml:cn": [
                        "saml/111122223333/idp123/group/football",
                        "saml/111122223333/idp123/group/soccer",
                        "saml/111122223333/idp123/group/cricket"
                    ]
                }
            }
        }
    ]
}

Además, puede configurar su política de puntos de conexión para que incluya una política de entidad principal de SAML específica. Para eso, vea lo siguiente:

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalTag/Department": [
                        "Engineering"]
                    }
                }
            }
        ]
    }

Para obtener más información sobre el uso de la autenticación SAML con Amazon OpenSearch Serverless, consulte Autenticación SAML para Amazon Serverless. OpenSearch

También puede incluir usuarios de IAM y SAML en la misma política de puntos de conexión de VPC. Para eso, vea el siguiente ejemplo:

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "saml:cn": [
                        "saml/111122223333/idp123/group/football",
                        "saml/111122223333/idp123/group/soccer",
                        "saml/111122223333/idp123/group/cricket"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "111122223333"
                ]
            },
            "Action": "*",
            "Resource": "*"
        }
    ]
}

También puede acceder a una colección de Amazon OpenSearch Serverless desde Amazon EC2 a través de los puntos de enlace de la interfaz de la VPC. Para obtener más información, consulte Acceder a una colección OpenSearch sin servidor desde Amazon EC2 (mediante puntos de enlace de la interfaz de VPC).

Consideraciones

Antes de configurar un punto final de interfaz para OpenSearch Serverless, tenga en cuenta lo siguiente:

  • OpenSearch Serverless permite realizar llamadas a todas las operaciones de OpenSearch API compatibles (no a las operaciones de API de configuración) a través del punto final de la interfaz.

  • Después de crear un punto final de interfaz para OpenSearch Serverless, aún debe incluirlo en las políticas de acceso a la red para que pueda acceder a las colecciones sin servidor.

  • De forma predeterminada, se permite el acceso total a OpenSearch Serverless a través del punto final de la interfaz. Puede asociar un grupo de seguridad a las interfaces de red de los puntos finales para controlar el tráfico a OpenSearch Serverless a través del punto final de la interfaz.

  • Una sola unidad Cuenta de AWS puede tener un máximo de 50 puntos finales de VPC OpenSearch sin servidor.

  • Si habilita el acceso público a Internet a la API o los paneles de control de su colección en una política de red, cualquier VPC y la Internet pública pueden acceder a su colección.

  • Si está en las instalaciones y fuera de la VPC, no puede usar directamente una resolución de DNS para la resolución del punto final de la VPC OpenSearch sin servidor. Si necesita acceso a una VPN, la VPC necesita un resolver de proxy de DNS para que lo usen los clientes externos. Route 53 ofrece una opción de punto de conexión de entrada que puede usar para resolver consultas de DNS a su VPC desde su red en las instalaciones u otra VPC.

  • El servicio administra la zona alojada privada que OpenSearch Serverless crea y adjunta a la VPC, pero aparece en sus Amazon Route 53 recursos y se factura a su cuenta.

  • Para otras consideraciones, consulte Consideraciones en la Guía de AWS PrivateLink .

Permisos necesarios

El acceso a la VPC para OpenSearch Serverless utiliza los siguientes permisos AWS Identity and Access Management (IAM). Puede especificar las condiciones de IAM para restringir a los usuarios a colecciones específicas.

  • aoss:CreateVpcEndpoint: cree un punto de conexión de VPC.

  • aoss:ListVpcEndpoints: enumere todos los puntos de conexión de VPC.

  • aoss:BatchGetVpcEndpoint: consulte los detalles sobre un subconjunto de puntos de conexión de VPC.

  • aoss:UpdateVpcEndpoint: modifique un punto de conexión de VPC.

  • aoss:DeleteVpcEndpoint: elimine un punto de conexión de VPC.

Además, necesita los siguientes permisos de Amazon EC2 y Route 53 para crear un punto de conexión de VPC.

  • ec2:CreateTags

  • ec2:CreateVpcEndpoint

  • ec2:DeleteVpcEndPoints

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeVpcs

  • ec2:ModifyVpcEndPoint

  • route53:AssociateVPCWithHostedZone

  • route53:ChangeResourceRecordSets

  • route53:CreateHostedZone

  • route53:DeleteHostedZone

  • route53:GetChange

  • route53:GetHostedZone

  • route53:ListHostedZonesByName

  • route53:ListHostedZonesByVPC

  • route53:ListResourceRecordSets

Cree un estándar AWS PrivateLink punto final de la interfaz (OpenSearch sin servidor NextGen)

Para los puntos de enlace de NextGen recopilación OpenSearch sin servidor activadoson.aws, se crea el punto de enlace de VPC como un punto de enlace de VPC de interfaz estándar, de la misma manera que se crea para cualquier otro. Servicio de AWS Puede utilizar la consola de Amazon VPC o la API de Amazon CreateVpcEndpoint EC2. No necesita usar la CreateVpcEndpoint API OpenSearch sin servidor para estos puntos de conexión.

El punto final resuelve todas las recopilaciones de la región en *.aoss.region.on.aws (y *.aoss-fips.region.on.aws en las regiones en las que se admite FIPS).

Use el siguiente nombre de servicio al crear el punto final de la VPC:

com.amazonaws.region.aoss-data

Por ejemplo, en la us-east-1 región, el nombre del servicio escom.amazonaws.us-east-1.aoss-data.

Para crear un punto final de VPC de interfaz estándar para Serverless OpenSearch NextGen

  1. Siga el procedimiento de Acceso y Servicio de AWS uso de un punto final de VPC de interfaz en la AWS PrivateLink Guía.

  2. Para el nombre del servicio, elijacom.amazonaws.region.aoss-data.

  3. Seleccione la VPC, las subredes y los grupos de seguridad del punto final. Asegúrese de que sus grupos de seguridad permitan el tráfico HTTPS (puerto 443) entrante desde los recursos que utilizarán el punto final.

  4. Habilite el DNS privado para que el punto final utilice una resolución de DNS AWS PrivateLink administrada para los nombres de host de colecciones OpenSearch sin servidor NextGen .

Después de crear el punto final, puede usar el vpce-abc123def4EXAMPLE ID en las políticas de acceso a la red OpenSearch sin servidor para conceder al punto final acceso a sus colecciones, del mismo modo que lo hace con los puntos finales de OpenSearch Serverless-managed VPC.

Cree un punto final de OpenSearch Serverless-managed interfaz (Serverless Classic) OpenSearch

Para los puntos finales por colección de OpenSearch Serverless Classic activadosaoss.amazonaws.com, se crea un punto final de OpenSearch Serverless-managed interfaz mediante la consola Serverless o la OpenSearch API Serverless. OpenSearch

Para crear un punto final de interfaz para una colección Serverless Classic OpenSearch

  1. Abre la consola OpenSearch de Amazon Service en https://console.aws.amazon.com/aos/home.

  2. En el panel de navegación de la izquierda, expanda Sin servidor y seleccione Puntos de conexión de VPC.

  3. Seleccione Crear punto de conexión de VPC.

  4. Proporcione un nombre para el punto de conexión.

  5. En el caso de la VPC, selecciona la VPC desde la que accederás a Serverless. OpenSearch

  6. En el caso de las subredes, selecciona una subred desde la que accederás a Serverless. OpenSearch

    • La dirección IP y el tipo de DNS del punto de conexión se basan en el tipo de subred.

      • Dualstack: si todas las subredes tienen rangos de direcciones IPv4 y IPv6

      • IPv6: si todas las subredes son subredes IPv6

      • IPv4: si todas las subredes tienen rangos de direcciones IPv4

  7. En Grupos de seguridad, seleccione los grupos de seguridad que deban asociarse a las interfaces de red del punto de conexión. Este es un paso fundamental en el que se limitan los puertos, protocolos y fuentes del tráfico entrante que se autoriza a entrar en el punto final. Asegúrese de que las reglas del grupo de seguridad permitan que los recursos que utilizarán el punto final de la VPC se comuniquen con OpenSearch Serverless para comunicarse con la interfaz de red del punto final.

  8. Seleccione Crear punto de conexión.

Para crear un punto final de VPC mediante la API OpenSearch sin servidor, utilice el comando. CreateVpcEndpoint

nota

Después de crear un punto de conexión, registre su ID (por ejemplo, vpce-abc123def4EXAMPLE. Para proporcionar el acceso del punto de conexión a sus colecciones, debe incluir este ID en una o más políticas de acceso a la red.

Tras crear un punto de conexión de interfaz, debe proporcionarles acceso a las colecciones mediante políticas de acceso a la red. Para obtener más información, consulte Acceso a la red para Amazon OpenSearch Serverless.

Configuración de VPC compartida para Amazon Serverless OpenSearch

Puede usar Amazon Virtual Private Cloud (VPC) para compartir subredes de VPC con otros Cuentas de AWS miembros de su organización, así como compartir la infraestructura de red, como una VPN, entre varios recursos. Cuentas de AWS

Actualmente, Amazon OpenSearch Serverless no admite la creación de una AWS PrivateLink conexión en una VPC compartida a menos que usted sea propietario de esa VPC. AWS PrivateLink tampoco admite el uso compartido de conexiones entre ellas. Cuentas de AWS

Sin embargo, en función de la arquitectura flexible y modular de OpenSearch Serverless, aún puede configurar una VPC compartida. Esto se debe a que la infraestructura de red OpenSearch sin servidor es independiente de la infraestructura de recopilación (OpenSearch servicio) individual. Por lo tanto, usted puede crear un punto de conexión VPCe de AWS PrivateLink en una cuenta donde se encuentre ubicada una VPC y, luego, usar el ID de ese VPCe en la política de redes de otras cuentas para restringir el tráfico, de modo que solo provenga de esa VPC compartida.

Los siguientes procedimientos se refieren a una cuenta propietaria y una cuenta consumidora.

Un propietario de la cuenta actúa como una cuenta de redes común en la que se configura una VPC y se comparte con otras cuentas. Las cuentas de consumidor son aquellas cuentas que crean y mantienen sus colecciones OpenSearch sin servidor en la VPC que comparte con ellos la cuenta del propietario.

Requisitos previos

Asegúrese de que se cumplan los siguientes requisitos antes de configurar la VPC compartida:

  • El propietario de la cuenta debe haber configurado previamente una VPC, subredes, tabla de enrutamiento y otros recursos necesarios en nube privada virtual de Amazon. Para obtener más información, consulte la Guía del usuario de Amazon VPC.

  • El propietario de la cuenta y las cuentas consumidoras deben pertenecer a la misma organización en AWS Organizations. Para obtener más información, consulte la Guía del usuario de AWS Organizations.

Para configurar una VPC compartida en una cuenta de account/common red propietaria.

  1. Inicia sesión en la consola OpenSearch de Amazon Service en https://console.aws.amazon.com/aos/home.

  2. Siga los pasos de Cree un punto final de OpenSearch Serverless-managed interfaz (Serverless Classic) OpenSearch. Mientras realiza el procedimiento, haga las siguientes selecciones:

    • Seleccione una VPC y subredes que estén compartidas con las cuentas consumidoras de su organización.

  3. Después de crear el punto de conexión, tome nota del ID de VPCe generado y proporciónelo a los administradores que deban realizar la tarea de configuración en las cuentas consumidoras.

    Los ID de VPCe tienen el formato vpce-abc123def4EXAMPLE.

Para configurar una VPC compartida en una cuenta consumidora:

  1. Inicia sesión en la consola OpenSearch de Amazon Service en https://console.aws.amazon.com/aos/home.

  2. Use la información de Administración de colecciones de Amazon OpenSearch Serverless para crear una colección, si aún no tiene una.

  3. Use la información de Creación de políticas de (consola) para crear una política de red. A medida que avanza, realice las siguientes selecciones.

    nota

    También puede actualizar una política de red existente para este fin.

    1. En Tipo de acceso, seleccione VPC (recomendado).

    2. Para acceder a los puntos de conexión de VPC, elija el ID de vPCE que le proporcionó la cuenta propietaria, en el formato vpce-abc123def4EXAMPLE.

    3. En el área Tipo de recurso, haga lo siguiente:

      • Seleccione la casilla Habilitar el acceso al OpenSearch punto final y, a continuación, seleccione el nombre de la colección o el patrón de recopilación que se utilizará para habilitar el acceso desde esa VPC compartida.

      • Seleccione la casilla Habilitar el acceso al OpenSearch panel de control y, a continuación, seleccione el nombre o el patrón de la colección que se utilizará para habilitar el acceso desde esa VPC compartida.

  4. Para una nueva política, seleccione Crear. Para una política existente, seleccione Actualizar.