Configuration des pipelines OpenSearch d'ingestion pour l'ingestion entre comptes - Amazon OpenSearch Service
Avant de commencerAutoriser les comptes connectés à accéder à un pipelineCréez une connexion de point de terminaison de pipeline pour chaque VPC connectéSuppression des points de terminaison du pipeline

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration des pipelines OpenSearch d'ingestion pour l'ingestion entre comptes

Pour les sources basées sur le push telles que HTTP et OTel Amazon OpenSearch Ingestion vous permet de partager des pipelines entre Comptes AWS un cloud privé virtuel (VPC) et un point de terminaison de pipeline dans un VPC distinct. Les équipes qui partagent des analyses avec d'autres équipes de leur organisation utilisent cette fonctionnalité pour rationaliser, par exemple, le partage des analyses des journaux.

Cette section utilise la terminologie suivante :

  • Propriétaire du pipeline : compte qui possède et gère le pipeline OpenSearch d'ingestion. Un seul compte peut être propriétaire d'un pipeline.

  • Compte de connexion : compte qui se connecte à un pipeline partagé et l'utilise. Plusieurs comptes peuvent se connecter au même pipeline.

VPCs Pour configurer le partage des pipelines OpenSearch d'ingestion entre Comptes AWS eux, effectuez les tâches suivantes, comme décrit ici :

Avant de commencer

Avant de VPCs configurer le partage des pipelines OpenSearch d'ingestion entre Comptes AWS eux, effectuez les tâches suivantes :

Tâche Détails

Créez un ou plusieurs pipelines OpenSearch d'ingestion

Définissez le minimum d'unités de OpenSearch calcul (OSUs) sur 2 ou plus. Pour de plus amples informations, veuillez consulter Création de pipelines OpenSearch Amazon Ingestion. Pour plus d'informations sur la mise à jour d'un pipeline, consultezMise à jour des pipelines OpenSearch Amazon Ingestion.

Créez-en un ou plusieurs VPCs pour OpenSearch l'ingestion

Pour activer le partage de pipeline entre comptes, tout VPC impliqué pour le pipeline et les points de terminaison du pipeline doit être configuré avec les valeurs DNS suivantes :

  • enableDnsSupport=true

  • enableDnsHostnames=true

Pour plus d’informations, consultez DNS attributes for your VPC (Attributs DNS pour votre VPC) dans le Guide de l’utilisateur d’Amazon VPC.

Autoriser les comptes connectés à accéder à un pipeline

Les procédures décrites dans cette section décrivent comment utiliser la console de OpenSearch service et comment configurer l'accès AWS CLI au pipeline entre comptes en créant une politique de ressources. Une politique de ressources permet au propriétaire d'un pipeline de spécifier d'autres comptes qui peuvent accéder à un pipeline. Une fois créées, les politiques de pipeline existent aussi longtemps que le pipeline existe ou jusqu'à ce qu'elles soient supprimées.

Note

Les politiques de ressources ne remplacent pas OpenSearch l'autorisation d'ingestion standard à l'aide des autorisations IAM. Les politiques de ressources constituent un mécanisme d'autorisation supplémentaire pour permettre l'accès au pipeline entre comptes.

Autoriser les comptes connectés à accéder à un pipeline (console)

Utilisez la procédure suivante pour autoriser les comptes connectés à accéder à un pipeline à l'aide de la console Amazon OpenSearch Service.

Pour créer une connexion au point de terminaison du pipeline

  1. Dans la console Amazon OpenSearch Service, dans le volet de navigation, développez Ingestion, puis sélectionnez Pipelines.

  2. Dans la section Pipelines, choisissez le nom du pipeline auquel vous souhaitez accorder l'accès à un compte de connexion.

  3. Choisissez l'onglet Points de terminaison VPC.

  4. Dans la section Principaux autorisés, choisissez Autoriser le compte.

  5. Dans le champ Compte AWS ID, entrez le numéro de compte à 12 chiffres, puis sélectionnez Autoriser.

Autoriser les comptes connectés à accéder à un pipeline (CLI)

Utilisez la procédure suivante pour autoriser les comptes connectés à accéder à un pipeline à l'aide du AWS CLI.

Pour autoriser les comptes connectés à accéder au pipeline

  1. Effectuez une mise à jour vers la dernière version du AWS CLI (version 2.0). Pour plus d'informations, voir Installation ou mise à jour vers la dernière version du AWS CLI.

  2. Ouvrez la CLI dans le compte et Région AWS dans le pipeline que vous souhaitez partager.

  3. Exécutez la commande suivante pour créer une politique de ressources pour le pipeline. Cette politique donne l'osis:CreatePipelineEndpointautorisation d'accéder au pipeline. La politique inclut un paramètre dans lequel vous pouvez Compte AWS IDs répertorier les autorisations.

    Note

    Dans la commande suivante, vous devez utiliser la forme abrégée de l'identifiant de compte en fournissant uniquement l'identifiant de compte à douze chiffres. L'utilisation d'un ARN ne fonctionnera pas. Vous devez également fournir l'Amazon Resource Name (ARN) du pipeline dans le paramètre CLI pour resource-arn et dans la politique JSON ci-dessousResource, comme indiqué.

    aws --region region osis-cross-account put-resource-policy \
  --resource-arn arn:aws:osis:region:pipeline-owner-account-ID:pipeline/pipeline-name
  --policy 'IAM-policy'

    Utilisez une politique telle que la suivante pour IAM-policy

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
  {
  "Sid": "AllowAccess",
  "Effect": "Allow",
  "Principal": {
  "AWS": [
  "111122223333",
  "444455556666"
  ]
  },
  "Action": 
  "osis:CreatePipelineEndpoint",
  "Resource": "arn:aws:osis:us-east-1:123456789012:pipeline/pipeline-name"
  }
  ]
 }

Créez une connexion de point de terminaison de pipeline pour chaque VPC connecté

Une fois que le propriétaire du pipeline a accordé l'accès à un pipeline dans son VPC à l'aide de la procédure précédente, un utilisateur du compte de connexion crée un point de terminaison de pipeline dans son VPC. Cette section inclut les procédures de création de points de terminaison à l'aide de la console OpenSearch de service et du AWS CLI. Lorsque vous créez un point de terminaison OpenSearch , Ingestion exécute les actions suivantes :

  • Crée le rôle AWSServiceRoleForAmazonOpenSearchIngestionServicelié au service dans votre compte, s'il n'existe pas déjà. Ce rôle autorise l'utilisateur du compte connecté à appeler l'action CreatePipelineEndpointAPI.

  • Crée le point de terminaison du pipeline.

  • Configure le point de terminaison du pipeline pour ingérer les données du pipeline partagé dans le VPC du propriétaire du pipeline.

Création d'une connexion au point de terminaison du pipeline (console)

Utilisez la procédure suivante pour créer une connexion de point de terminaison de pipeline à l'aide de la console OpenSearch de service.

Pour créer une connexion au point de terminaison du pipeline

  1. Dans la console Amazon OpenSearch Service, dans le volet de navigation, développez Ingestion, puis sélectionnez les points de terminaison VPC.

  2. Sur la page des points de terminaison VPC, choisissez Create.

  3. Pour Emplacement du pipeline, choisissez une option. Si vous choisissez Compte courant, choisissez le pipeline dans la liste. Si vous choisissez Cross-account, spécifiez l'ARN du pipeline dans le champ. Le propriétaire du pipeline doit avoir accordé l'accès au pipeline, comme décrit dansAutoriser les comptes connectés à accéder à un pipeline.

  4. Dans la section Paramètres VPC, pour VPC, choisissez un VPC dans la liste.

  5. Pour Subnets (Sous-réseaux)​, choisissez un sous-réseau.

  6. Pour les groupes de sécurité, choisissez un groupe.

  7. Choisissez Créer un point de terminaison.

Attendez l'état du point de terminaison que vous avez créé vers lequel effectuer la transitionACTIVE. Une fois le pipeline ACTIVE créé, vous verrez un nouveau champ nomméingestEndpointUrl. Utilisez ce point de terminaison pour accéder au pipeline et ingérer des données à l'aide d'un client tel que FluentBit. Pour plus d'informations sur l'utilisation FluentBit pour ingérer des données, consultezUtilisation d'un pipeline OpenSearch d'ingestion avec Fluent Bit.

Note

ingestEndpointUrlIl s'agit de la même URL pour tous les comptes connectés.

Création d'une connexion au point de terminaison du pipeline (CLI)

Utilisez la procédure suivante pour créer une connexion de point de terminaison de pipeline à l'aide du AWS CLI.

Pour créer une connexion au point de terminaison du pipeline

  1. Si ce n'est pas déjà fait, passez à la dernière version du AWS CLI (version 2.0). Pour plus d'informations, voir Installation ou mise à jour vers la dernière version du AWS CLI.

  2. Ouvrez la CLI dans le compte de connexion dans le Région AWS pipeline partagé.

  3. Exécutez la commande suivante pour créer un point de terminaison de pipeline.

    Note

    Vous devez fournir au moins un sous-réseau et un groupe de sécurité pour le compte VPC de connexion. Le groupe de sécurité doit inclure le port 443 et aider les clients à connecter le compte VPC.

    aws osis --region region create-pipeline-endpoint \
  --pipeline-arn arn:aws:osis:region:connecting-account-ID:pipeline/shared-pipeline-name
  --vpc-options SecurityGroupIds={sg-security-group-ID-1,sg-security-group-ID-2},SubnetIds=subnet-subnet-ID

  4. Exécutez la commande suivante pour répertorier les points de terminaison dans la région spécifiée dans la commande précédente :

    aws osis-cross-account --region region list-pipeline-endpoints

Attendez l'état du point de terminaison que vous avez créé vers lequel effectuer la transitionACTIVE. Une fois le pipeline ACTIVE créé, vous verrez un nouveau champ nomméingestEndpointUrl. Utilisez ce point de terminaison pour accéder au pipeline et ingérer des données à l'aide d'un client tel que FluentBit. Pour plus d'informations sur l'utilisation FluentBit pour ingérer des données, consultezUtilisation d'un pipeline OpenSearch d'ingestion avec Fluent Bit.

Note

ingestEndpointUrlIl s'agit de la même URL pour tous les comptes connectés.

Suppression des points de terminaison du pipeline

Si vous ne souhaitez plus donner accès à un pipeline partagé, vous pouvez supprimer un point de terminaison de pipeline à l'aide de l'une des méthodes suivantes :

  • Supprimez le point de terminaison du pipeline (compte de connexion).

  • Révoquez le point de terminaison du pipeline (propriétaire du pipeline).

Utilisez la procédure suivante pour supprimer un point de terminaison de pipeline dans un compte de connexion.

Pour supprimer un point de terminaison du pipeline (compte de connexion)

  1. Ouvrez la CLI dans le compte de connexion dans le Région AWS pipeline partagé.

  2. Exécutez la commande suivante pour répertorier les points de terminaison du pipeline dans la région :

    aws osis-cross-account --region region list-pipeline-endpoints

    Notez l'ID du pipeline que vous souhaitez supprimer.

  3. Exécutez la commande suivante pour supprimer le point de terminaison du pipeline :

    aws osis-cross-account --region region delete-pipeline-endpoint \
  --endpoint-id 'ID'

En tant que propriétaire du pipeline partagé, suivez la procédure suivante pour révoquer un point de terminaison du pipeline.

Pour révoquer le point de terminaison d'un pipeline (propriétaire du pipeline)

  1. Ouvrez la CLI dans le compte de connexion dans le Région AWS pipeline partagé.

  2. Exécutez la commande suivante pour répertorier les connexions aux points de terminaison du pipeline dans la région :

    aws osis-cross-account --region region list-pipeline-endpoint-connections

    Notez l'ID du pipeline que vous souhaitez supprimer.

  3. Exécutez la commande suivante pour supprimer le point de terminaison du pipeline :

    aws osis-cross-account --region region revoke-pipeline-endpoint-connections \
  --pipeline-arn pipeline-arn --endpoint-ids ID

    La commande prend en charge la spécification d'un seul identifiant de point de terminaison.