Accéder à Amazon OpenSearch Service à l'aide d'un point de terminaison d'un OpenSearch VPC géré par le Service ()AWS PrivateLink - Amazon OpenSearch Service
ConsidérationsFournir un accès à un domaineCréation d’un point de terminaison d’un VPC d’interfaceGestion à l'aide des opérations d'API de OpenSearch service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Accéder à Amazon OpenSearch Service à l'aide d'un point de terminaison d'un OpenSearch VPC géré par le Service ()AWS PrivateLink

Vous pouvez accéder à un domaine Amazon OpenSearch Service en configurant un point de terminaison d'un OpenSearch VPC géré par le Service (à technologie). AWS PrivateLink Ces points de terminaison créent une connexion privée entre votre VPC et Amazon OpenSearch Service. Vous pouvez accéder aux domaines OpenSearch Service VPC comme s'ils se trouvaient dans votre VPC, sans passerelle Internet, périphérique NAT, connexion VPN ou connexion. AWS Direct Connect Les instances de votre VPC ne nécessitent pas d'adresses IP publiques pour accéder OpenSearch au Service.

Vous pouvez configurer les domaines OpenSearch de service pour exposer des points de terminaison supplémentaires s'exécutant sur des sous-réseaux publics ou privés au sein du même VPC, d'un VPC différent ou de différents. Comptes AWS Cela vous permet d'ajouter une couche de sécurité supplémentaire pour accéder à vos domaines, quel que soit leur emplacement d'exécution, sans aucune infrastructure à gérer. Le schéma suivant illustre les points de terminaison d' OpenSearch un VPC gérés par le Service au sein du même VPC :

VPC diagram showing Amazon PrivateLink in public subnet connecting to OpenSearch Service in private subnet.

Vous établissez cette connexion privée en créant un point de terminaison d'un VPC d' OpenSearch interface géré par le Service, à technologie. AWS PrivateLink Nous créons une interface réseau du point de terminaison dans chaque sous-réseau que vous activez pour le point de terminaison d'un VPC d'interface. Il s'agit d'interfaces réseau gérées par le service qui servent de point d'entrée pour le trafic destiné OpenSearch au Service. La tarification standard des points de terminaison d'AWS PrivateLink interface s'applique aux points de terminaison VPC gérés par le OpenSearch service facturés en vertu de. AWS PrivateLink

Vous pouvez créer des points de terminaison d'un VPC pour les domaines exécutant toutes les versions d' OpenSearch Elasticsearch héritées. Pour plus d’informations, consultez Accès aux Services AWS via AWS PrivateLink dans le Guide AWS PrivateLink .

Considérations et limitations relatives au OpenSearch Service

Avant de configurer un point de terminaison d'un VPC d'interface pour OpenSearch Service, consultez la section Accès à un AWS service à l'aide d'un point de terminaison d'un VPC d'interface pour Service dans le Guide.AWS PrivateLink

Lorsque vous utilisez des points de terminaison OpenSearch d'un VPC gérés par le Service, veuillez tenir compte des éléments suivants :

  • Vous ne pouvez utiliser les points de terminaison d'un VPC d'interface que pour vous connecter à des domaines VPC. Les domaines publics ne sont pas pris en charge.

  • Les points de terminaison d'un VPC ne peuvent se connecter qu'à des domaines au sein de la même Région AWS.

  • Le protocole HTTPS est le seul protocole pris en charge pour les points de terminaison d'un VPC. Le protocole HTTP n'est pas autorisé.

  • OpenSearch Le service prend en charge les appels vers toutes les opérations d' OpenSearch API prises en charge via un point de terminaison d'un VPC d'interface.

  • Vous pouvez configurer jusqu'à 50 points de terminaison par compte et jusqu'à 10 points de terminaison par domaine. Un seul domaine peut disposer de 10 principaux autorisés au maximum.

  • À l'heure actuelle, vous ne pouvez pas utiliser AWS CloudFormation pour créer des points de terminaison d'un VPC d'interface.

  • Vous pouvez uniquement créer des points de terminaison d'un VPC d'interface via la console de OpenSearch service ou à l'aide de l'OpenSearch API de service. Vous ne pouvez pas créer de points de terminaison d'un VPC d'interface pour OpenSearch Service avec la console Amazon VPC.

  • OpenSearch Les points de terminaison d'un VPC gérés par le service ne sont pas accessibles depuis Internet. Un point de terminaison de OpenSearch VPC géré par le Service est accessible uniquement au sein du VPC où le point de terminaison est alloué, ou au sein de tout VPC où le point de VPCs terminaison est alloué, comme le permettent les tables de routage et les groupes de sécurité.

  • Les stratégies de point de terminaison d'un VPC ne sont pas prises en charge pour Service OpenSearch . Vous pouvez associer un groupe de sécurité aux interfaces réseau du point de terminaison afin de contrôler le trafic vers le OpenSearch Service via le point de terminaison d'un VPC d'interface.

  • Votre rôle lié à un service doit figurer dans le même AWS compte que celui que vous utilisez pour créer le point de terminaison VPC.

  • Pour créer, mettre à jour et supprimer le point de terminaison OpenSearch Service VPC, vous devez disposer des EC2 autorisations Amazon suivantes en plus de vos autorisations Amazon OpenSearch Service :

    • ec2:CreateVpcEndpoint

    • ec2:DescribeVpcEndpoints

    • ec2:ModifyVpcEndpoint

    • ec2:DeleteVpcEndpoints

    • ec2:CreateTags

    • ec2:DescribeTags

    • ec2:DescribeSubnets

    • ec2:DescribeSecurityGroups

    • ec2:DescribeVpcs

Note

Actuellement, vous ne pouvez pas limiter la création de points de terminaison VPC au OpenSearch service. Nous nous efforçons de rendre cela possible lors d'une future mise à jour.

Fournir un accès à un domaine

Si le VPC que vous souhaitez autoriser à accéder à votre domaine se trouve dans un autre Compte AWS, vous devez l'autoriser à partir du compte du propriétaire avant de pouvoir créer un point de terminaison d'un VPC d'interface.

Autoriser un VPC d'un autre à accéder Compte AWS à votre domaine

  1. Ouvrez la console Amazon OpenSearch Service à l'adresse https://console.aws.amazon.com/aos/home/.

  2. Dans le panneau de navigation, choisissez Domains (Domaines), puis ouvrez le domaine vers lequel vous souhaitez fournir un accès.

  3. Accédez à l'onglet VPC endpoints (Points de terminaison d'un VPC) qui affiche les comptes et les correspondants VPCs ayant accès à votre domaine.

  4. Choisissez Authorize principal (Autoriser le principal).

  5. Saisissez l' Compte AWS ID du compte qui accèdera à votre domaine. Cette étape autorise le compte spécifié à créer des points de terminaison d'un VPC sur le domaine.

  6. Choisissez Authorize (Autoriser).

Créer un point de terminaison d'un VPC d'interface pour un domaine VPC

Vous pouvez créer un point de terminaison d'un VPC d'interface pour OpenSearch Service avec la console OpenSearch Service ou l' AWS Command Line Interface ()AWS CLI.

Pour créer un point de terminaison d'un VPC d'interface pour un domaine de service OpenSearch

  1. Ouvrez la console Amazon OpenSearch Service à l'adresse https://console.aws.amazon.com/aos/home/.

  2. Dans le panneau de navigation de gauche, sélectionnez VPC endpoints (Points de terminaison d'un VPC).

  3. Choisissez Créer un point de terminaison.

  4. Choisissez si vous souhaitez connecter un domaine sur le actuel Compte AWS ou sur un autre Compte AWS.

  5. Sélectionnez le domaine auquel vous vous connectez à l'aide de ce point de terminaison. Si le domaine se trouve sur le actuel Compte AWS, utilisez la liste déroulante pour le choisir. Si le domaine se trouve sur un autre compte, saisissez l'Amazon Resource Name (ARN) du domaine auquel vous connecter. Pour choisir un domaine sur un autre compte, le propriétaire doit vous donner accès au domaine.

  6. Pour VPC, sélectionnez le VPC à partir duquel vous allez accéder à Service. OpenSearch

  7. Pour Subnets (Sous-réseaux), sélectionnez un ou plusieurs sous-réseaux à partir desquels vous accéderez à OpenSearch Service.

  8. Pour Security groups (Groupes de sécurité), sélectionnez les groupes de sécurité à associer aux interfaces réseau du point de terminaison. Il s'agit d'une étape essentielle au cours de laquelle vous devez limiter les ports, les protocoles et les sources de trafic entrant que vous autorisez dans votre point de terminaison. Les règles du groupe de sécurité doivent permettre aux ressources qui utiliseront le point de terminaison d'un VPC pour communiquer avec OpenSearch Service de communiquer avec l'interface réseau du point de terminaison.

  9. Choisissez Créer un point de terminaison. Le point de terminaison sera actif au bout de deux à cinq minutes.

Utiliser les points de terminaison d'un OpenSearch VPC gérés par le Service à l'aide de l'API de configuration

Utilisez les opérations d'API suivantes pour créer et gérer des points de terminaison d'un OpenSearch VPC gérés par le Service.

Utilisez les opérations d'API suivantes pour gérer l'accès des points de terminaison aux domaines VPC :