Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Tutoriel : prise en main de la sécurité dans Amazon OpenSearch Serverless (console)
<a name="gsg-serverless"></a>

Dans ce didacticiel, vous allez créer et gérer des politiques de sécurité à l'aide de la console Amazon OpenSearch Serverless.

Dans ce didacticiel, vous devez suivre les étapes suivantes :

1. [Configurer des autorisations](#gsgpermissions)

1. [Créer une stratégie de chiffrement](#gsg-encryption)

1. [Création d'une stratégie réseau](#gsg-network)

1. [Configuration d'une stratégie d'accès aux données](#gsg-data-access)

1. [Créer une collection](#gsgcreate-collection)

1. [Charger et rechercher des données](#gsgindex-collection)

Ce didacticiel explique comment configurer une collection à l'aide du AWS Management Console. Pour les mêmes étapes à suivre lors de l'utilisation du AWS CLI, voir[Tutoriel : prise en main de la sécurité dans Amazon OpenSearch Serverless (CLI)](gsg-serverless-cli.md).

## Étape 1 : configurer des autorisations
<a name="gsgpermissions"></a>

**Note**  
Vous pouvez ignorer cette étape si vous utilisez déjà une politique basée sur l'identité plus large, telle que `Action":"aoss:*"` ou `Action":"*"`. Dans les environnements de production, toutefois, suivez le principe du moindre privilège et n'attribuez que les autorisations minimales nécessaires pour effectuer une tâche.

Pour suivre ce didacticiel, vous devez disposer des autorisations IAM appropriées. Votre utilisateur ou votre rôle doit être associé à une [politique basée sur l'identité](security-iam-serverless.md#security-iam-serverless-id-based-policies) avec les autorisations minimales suivantes :

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
        "aoss:ListCollections",
        "aoss:BatchGetCollection",
        "aoss:CreateCollection",
        "aoss:CreateSecurityPolicy",
        "aoss:GetSecurityPolicy",
        "aoss:ListSecurityPolicies",
        "aoss:CreateAccessPolicy",
        "aoss:GetAccessPolicy",
        "aoss:ListAccessPolicies"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
```

------

Pour obtenir la liste complète des autorisations OpenSearch sans serveur, consultez[Identity and Access Management pour Amazon OpenSearch Serverless](security-iam-serverless.md).

## Étape 2 : créer une stratégie de chiffrement
<a name="gsg-encryption"></a>

Les [politiques de chiffrement](serverless-encryption.md) spécifient la AWS KMS clé que OpenSearch Serverless utilise pour chiffrer la collection. Vous pouvez chiffrer des collections à l'aide d'une clé Clé gérée par AWS ou d'une autre clé. Pour simplifier ce didacticiel, vous chiffrez votre collection avec un Clé gérée par AWS.

**Créer une stratégie de chiffrement**

1. Ouvrez la console Amazon OpenSearch Service à l'adresse [https://console.aws.amazon.com/aos/home](https://console.aws.amazon.com/aos/home ).

1. Développez **Serverless** (Sans serveur) dans le panneau de navigation de gauche et choisissez **Encryption policies** (Stratégies de chiffrement).

1. Choisissez **Create encryption policy** (Créer une stratégie de chiffrement).

1. Nommez la stratégie `books-policy`. Pour la description, entrez`Encryption policy for books collection`.

1. Sous **Ressources**`books`, entrez le nom que vous donnerez à votre collection. Si vous souhaitez être plus général, vous pouvez inclure un astérisque (`books*`) pour que la politique s'applique à toutes les collections commençant par le mot « livres ».

1. Pour **le chiffrement**, maintenez **l'option Utiliser la clé AWS détenue** sélectionnée.

1. Choisissez **Créer**.

## Étape 3 : Création d'une politique réseau
<a name="gsg-network"></a>

[Les politiques réseau](serverless-network.md) déterminent si votre collection est accessible via Internet à partir de réseaux publics ou si elle doit être accessible via des points de terminaison OpenSearch VPC gérés sans serveur. Dans ce didacticiel, vous allez configurer l'accès public.

**Créer une stratégie réseau**

1. Choisissez **Network policies** (Stratégies réseau) dans le panneau de navigation de gauche, puis **Create network policy** (Créer une stratégie réseau).

1. Nommez la stratégie `books-policy`. Pour la description, entrez`Network policy for books collection`.

1. Sous **Règle 1**, nommez la règle`Public access for books collection`.

1. Pour simplifier ce didacticiel, configurez l'accès public à la collection de *livres*. Pour le type d'accès, sélectionnez **Public**.

1. Vous pouvez accéder à la collection depuis les OpenSearch tableaux de bord. Pour ce faire, vous devez configurer l'accès réseau pour les tableaux de bord *et* le OpenSearch point de terminaison, sinon les tableaux de bord ne fonctionneront pas.

   Pour le type de ressource, activez à la fois **l'accès aux OpenSearch points de terminaison** et **l'accès aux OpenSearch tableaux de bord**.

1. Dans les deux zones de saisie, entrez`Collection Name = books`. Ce paramètre réduit la portée de la stratégie afin qu'elle ne s'applique qu'à une seule collection (`books`). Votre règle devrait ressembler à ceci :  
![Interface de recherche affichant deux champs de saisie pour la sélection de termes de collection ou de préfixe, tous deux définis sur « livres ».](http://docs.aws.amazon.com/fr_fr/opensearch-service/latest/developerguide/images/serverless-tutorial-network.png)

1. Choisissez **Créer**.

## Étape 4 : Création d'une politique d'accès aux données
<a name="gsg-data-access"></a>

Vous ne pouvez pas accéder aux données de votre collection tant que vous n'avez pas configuré l'accès aux données. Les [stratégies d'accès aux données](serverless-data-access.md) sont distinctes de la politique IAM basée sur l'identité que vous avez configurée à l'étape 1. Elles permettent aux utilisateurs d'accéder aux données réelles d'une collection.

Dans ce didacticiel, vous accordez à un seul utilisateur les autorisations nécessaires pour indexer des données dans la collection de *livres*.

**Créer une stratégie d'accès aux données**

1. Dans le panneau de navigation de gauche, choisissez **Data access policies** (Stratégies d'accès aux données), puis **Create access policy** (Créer une stratégie d'accès).

1. Nommez la stratégie `books-policy`. Pour la description, entrez`Data access policy for books collection`.

1. Sélectionnez **JSON** comme méthode de définition de stratégie et collez la stratégie suivante dans l'éditeur JSON.

   Remplacez l'ARN principal par l'ARN du compte que vous utilisez pour vous connecter aux OpenSearch tableaux de bord et indexer les données.

   ```
   [
      {
         "Rules":[
            {
               "ResourceType":"index",
               "Resource":[
                  "index/books/*"
               ],
               "Permission":[
                  "aoss:CreateIndex",
                  "aoss:DescribeIndex", 
                  "aoss:ReadDocument",
                  "aoss:WriteDocument",
                  "aoss:UpdateIndex",
                  "aoss:DeleteIndex"
               ]
            }
         ],
         "Principal":[
            "arn:aws:iam::{{123456789012}}:{{user}}/{{my-user}}"
         ]
      }
   ]
   ```

   Cette stratégie fournit à un seul utilisateur les autorisations minimales requises pour créer un index dans la collection *books*, indexer certaines données et les rechercher.

1. Choisissez **Créer**.

## Étape 5 : Création d'une collection
<a name="gsgcreate-collection"></a>

Maintenant que vous avez configuré le chiffrement et les politiques réseau, vous pouvez créer une collection correspondant à celles-ci. OpenSearch Serverless applique automatiquement les paramètres de sécurité.

**Pour créer une collection OpenSearch sans serveur**

1. Choisissez **Collections** dans le panneau de navigation de gauche, puis choisissez **Create collection** (Créer une collection).

1. Dans le champ **Génération sans serveur**, choisissez **Passer à la version classique** si ce n'est déjà fait.

1. Pour le nom de la collection, entrez`books`.

1. Pour le type de collection, choisissez **Search** (Rechercher).

1. Sous **Chiffrement**, OpenSearch Serverless vous informe que le nom de la collection correspond à la politique de `books-policy` chiffrement.

1. Dans **les paramètres d'accès au réseau**, OpenSearch Serverless vous informe que le nom de la collection correspond à la politique du `books-policy` réseau.

1. Choisissez **Suivant**.

1. Sous **Options de politique d'accès aux données**, OpenSearch Serverless vous informe que le nom de la collection correspond à la politique d'accès aux `books-policy` données.

1. Choisissez **Suivant**.

1. Sous **Configurer l' OpenSearch interface utilisateur**, configurez l' OpenSearch application et l'espace de travail pour votre collection. Choisissez **Sélectionner OpenSearch une application existante** ou **Créer une nouvelle OpenSearch application**, puis sélectionnez ou créez un espace de travail. Choisissez **Suivant**.

1. Vérifiez la configuration de la collection et choisissez **Submit** (Soumettre). L'initialisation des collections prend généralement moins d'une minute.

**Note**  
Ce didacticiel utilise le flux de création de collection classique pour montrer comment les politiques de sécurité préconfigurées sont automatiquement mises en correspondance lors de la création de collections. Pour plus d'informations sur la création de collections à l'aide du NextGen flux, consultez[Créer des collections](serverless-create.md).

## Étape 6 : charger et rechercher des données
<a name="gsgindex-collection"></a>

Vous pouvez télécharger des données dans une collection OpenSearch sans serveur à l'aide de Postman ou de curl. Par souci de concision, ces exemples utilisent les **outils de développement** de la console OpenSearch Dashboards.

**Indexer et rechercher des données dans une collection**

1. Choisissez **Collections** dans le panneau de navigation de gauche, puis choisissez la collection **books** pour afficher sa page des détails.

1. Choisissez l'URL OpenSearch des tableaux de bord pour la collection. L'URL est au format `https://{{collection-id}}.us-east-1.aoss.amazonaws.com/_dashboards`. 

1. Connectez-vous aux OpenSearch tableaux de bord à l'aide des [clés AWS d'accès et secrètes](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-appendix-sign-up.html) du principal que vous avez spécifiées dans votre politique d'accès aux données.

1. Dans OpenSearch Dashboards, ouvrez le menu de navigation de gauche et choisissez **Dev Tools**.

1. Pour créer un index unique appelé *books-index*, exécutez la commande suivante :

   ```
   PUT books-index{{ }}
   ```  
![OpenSearch Console de tableaux de bord affichant la demande PUT pour books-index avec réponse JSON.](http://docs.aws.amazon.com/fr_fr/opensearch-service/latest/developerguide/images/serverless-createindex.png)

1. Pour indexer un seul document dans *books-index*, exécutez la commande suivante :

   ```
   PUT books-index/_doc/1
   { 
     "title": "The Shining",
     "author": "Stephen King",
     "year": 1977
   }
   ```

1. Pour rechercher des données dans OpenSearch les tableaux de bord, vous devez configurer au moins un modèle d'index. OpenSearch utilise ces modèles pour identifier les index que vous souhaitez analyser. Ouvrez le menu principal Tableaux de bord et choisissez **Stack Management (Gestion de la pile)**, **Index Patterns (Modèles d'index)**, puis **Create index pattern (Créer un modèle d'index)**. Pour ce didacticiel, saisissez *books-index*.

1. Choisissez **Next step (Étape suivante)**, puis **Create index pattern (Créer un modèle d'index)**. Une fois le modèle créé, vous pouvez consulter les différents champs du document, comme `author` et `title`.

1. Pour commencer à effectuer des recherches sur vos données, ouvrez à nouveau le menu principal et choisissez **Discover** (Découvrir) ou utilisez l'[API de recherche](https://opensearch.org/docs/latest/opensearch/rest-api/search/).