Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Gestion de l'accès à l' OpenSearch interface utilisateur depuis un point de terminaison VPC
Vous pouvez créer une connexion privée entre votre VPC et l' OpenSearch interface utilisateur à l'aide de. AWS PrivateLink Grâce à cette connexion, vous pouvez accéder aux applications d' OpenSearch interface utilisateur comme si elles se trouvaient dans le même VPC. De cette façon, vous n'avez pas besoin de configurer une passerelle Internet, un périphérique NAT, une connexion VPN ou d' AWS Direct Connect établir la connexion. Les instances de votre VPC n'ont pas besoin d'adresses IP publiques pour accéder OpenSearch à l'interface utilisateur.
Pour établir cette connexion privée, vous devez d'abord créer un point de terminaison d'interface alimenté par AWS PrivateLink. Une interface réseau de point de terminaison est créée automatiquement dans chaque sous-réseau que vous spécifiez pour le point de terminaison de l'interface. Il s'agit d'interfaces réseau gérées par les demandeurs qui servent de point d'entrée pour le trafic destiné aux applications d' OpenSearch interface utilisateur.
Création d'une connexion privée entre un VPC et une interface utilisateur OpenSearch
Vous pouvez créer une connexion privée pour accéder à l' OpenSearch interface utilisateur depuis un VPC à l'aide du AWS Management Console ou. AWS CLI
Création d'une connexion privée entre un VPC et une OpenSearch interface utilisateur (console)
Pour créer une connexion privée entre un VPC et une OpenSearch interface utilisateur à l'aide de la console
-
Connectez-vous à la console Amazon OpenSearch Service à la https://console.aws.amazon.com/aos/maison
. -
Dans le volet de navigation de gauche, sous Serverless, choisissez les points de terminaison VPC.
-
Choisissez Create VPC endpoint (Créer un point de terminaison d'un VPC).
-
Dans Nom, entrez le nom du point de terminaison.
-
Pour le VPC, sélectionnez le VPC à partir duquel vous allez accéder aux OpenSearch applications d'interface utilisateur.
-
Pour les sous-réseaux, sélectionnez un sous-réseau à partir duquel vous allez accéder aux applications d' OpenSearch interface utilisateur.
Note
L'adresse IP et le type DNS d'un point de terminaison sont basés sur le type de sous-réseau :
-
Double pile : si tous les sous-réseaux possèdent à la fois des plages d' IPv6 adresses IPv4 et des plages d'adresses.
-
IPv6: Si tous les sous-réseaux IPv6 ne sont que des sous-réseaux.
-
IPv4: si tous les sous-réseaux ont des plages d' IPv4 adresses.
-
-
Pour les groupes de sécurité, sélectionnez un ou plusieurs groupes de sécurité à associer aux interfaces réseau des terminaux.
Note
Au cours de cette étape, vous limitez les ports, les protocoles et les sources de trafic entrant que vous autorisez sur votre terminal. Assurez-vous que les règles du groupe de sécurité autorisent les ressources qui utiliseront le point de terminaison VPC pour communiquer avec les applications d' OpenSearch interface utilisateur à communiquer également avec l'interface réseau du point de terminaison.
-
8. Choisissez Créer un point de terminaison.
Création d'une connexion privée entre un VPC et une OpenSearch interface utilisateur ()AWS CLI
Pour créer une connexion privée entre un VPC et une OpenSearch interface utilisateur à l'aide du AWS CLI
Exécutez la commande suivante. Remplacez placeholder
values par vos propres informations.
aws opensearchserverless create-vpc-endpoint \ --regionregion\ --endpointendpoint\ --namevpc_endpoint_name\ --vpc-idvpc_id\ --subnet-idssubnet_ids
Mise à jour de la politique de point de terminaison du VPC pour autoriser l'accès à l' OpenSearch application d'interface utilisateur
Après avoir créé la connexion privée, mettez à jour la politique de point de terminaison du VPC pour autoriser l'accès à l'application d' OpenSearch interface utilisateur dans la politique du point de terminaison du VPC en spécifiant l'ID de l'application.
Pour plus d'informations sur la mise à jour d'une politique de point de terminaison VPC, consultez la section Mettre à jour une politique de point de terminaison de VPC dans le Guide.AWS PrivateLink
Assurez-vous que la politique de point de terminaison du VPC inclut l'énoncé suivant. Remplacez placeholder value par vos propres informations.
{ "Statement": [{ "Action": ["opensearch:*"], "Effect": "Allow", "Principal": "*", "Resource": "*", "Condition": { "StringEquals": { "opensearch:ApplicationId": ["opensearch-ui-application-id"] } } }] }
Révocation de l'accès à l' OpenSearchinterface utilisateur dans une politique de point de terminaison VPC
OpenSearch L'interface utilisateur nécessite une autorisation explicite dans la politique de point de terminaison du VPC pour permettre aux utilisateurs d'accéder à l'application depuis le VPC. Si vous ne souhaitez plus que les utilisateurs accèdent à l' OpenSearch interface utilisateur depuis le VPC, vous pouvez supprimer l'autorisation dans la politique du point de terminaison. Ensuite, les utilisateurs rencontrent un message d'403 forbiddenerreur lorsqu'ils tentent d'accéder à l' OpenSearch interface utilisateur.
Pour plus d'informations sur la mise à jour d'une politique de point de terminaison VPC, consultez la section Mettre à jour une politique de point de terminaison de VPC dans le Guide.AWS PrivateLink
Voici un exemple de politique de point de terminaison du VPC qui refuse l'accès aux applications d'interface utilisateur depuis le VPC :
{ "Statement": [{ "Action": ["opensearch:*"], "Effect": "Allow", "Principal": "*", "Resource": "*", "Condition": { "StringEquals": { "opensearch:ApplicationId": [""] } } }] }
