Mengkonfigurasi pipeline OpenSearch Ingestion untuk konsumsi lintas akun - OpenSearch Layanan Amazon
Sebelum memulaiBerikan akses akun penghubung ke pipelineBuat koneksi titik akhir pipeline untuk setiap VPC yang menghubungkanMenghapus titik akhir pipa

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengkonfigurasi pipeline OpenSearch Ingestion untuk konsumsi lintas akun

Untuk sumber berbasis push seperti HTTP dan, OTel Amazon OpenSearch Ingestion memungkinkan Anda berbagi pipeline Akun AWS dari virtual private cloud (VPC) ke titik akhir pipeline di VPC terpisah. Tim yang berbagi analitik dengan tim lain di organisasi mereka menggunakan fitur ini untuk cara yang lebih efisien, misalnya, berbagi analitik log.

Bagian ini menggunakan terminologi berikut:

  • Pemilik pipa —Akun yang memiliki dan mengelola pipa OpenSearch Ingestion. Hanya satu akun yang dapat memiliki pipeline.

  • Menghubungkan akun —Akun yang terhubung ke dan menggunakan pipeline bersama. Beberapa akun dapat terhubung ke pipeline yang sama.

Untuk mengonfigurasi VPCs untuk berbagi pipeline OpenSearch Ingestion Akun AWS, selesaikan tugas-tugas berikut, seperti yang dijelaskan di sini:

Sebelum memulai

Sebelum Anda mengonfigurasi VPCs untuk membagikan pipeline OpenSearch Ingestion Akun AWS, selesaikan tugas-tugas berikut:

Tugas Detail

Buat satu atau lebih pipa OpenSearch Ingestion

Tetapkan Unit OpenSearch Komputasi minimum (OSUs) ke 2 atau lebih tinggi. Untuk informasi selengkapnya, lihat Membuat saluran pipa Amazon OpenSearch Ingestion. Untuk informasi tentang memperbarui pipeline, lihatMemperbarui saluran pipa Amazon OpenSearch Ingestion.

Buat satu atau lebih VPCs untuk OpenSearch Ingestion

Untuk mengaktifkan berbagi pipeline lintas akun, VPC apa pun yang terlibat untuk pipeline dan titik akhir pipeline harus dikonfigurasi dengan nilai DNS berikut:

  • enableDnsSupport=true

  • enableDnsHostnames=true

Untuk informasi selengkapnya, lihat Atribut DNS untuk VPC Anda dalam Panduan Pengguna Amazon VPC.

Berikan akses akun penghubung ke pipeline

Prosedur di bagian ini menjelaskan cara menggunakan konsol OpenSearch Layanan dan mengatur AWS CLI akses pipeline lintas akun dengan membuat kebijakan sumber daya. Kebijakan sumber daya memungkinkan pemilik pipeline untuk menentukan akun lain yang dapat mengakses pipeline. Setelah dibuat, kebijakan pipeline ada selama pipeline ada atau sampai kebijakan dihapus.

catatan

Kebijakan sumber daya tidak menggantikan otorisasi OpenSearch Ingestion standar menggunakan izin IAM. Kebijakan sumber daya adalah mekanisme otorisasi tambahan untuk mengaktifkan akses pipeline lintas akun.

Berikan akses akun penghubung ke pipeline (konsol)

Gunakan prosedur berikut untuk memberikan akses akun yang menghubungkan ke pipeline menggunakan konsol OpenSearch Layanan Amazon.

Untuk membuat koneksi titik akhir pipeline

  1. Di konsol OpenSearch Layanan Amazon, di panel navigasi, perluas Ingestion, lalu pilih Pipelines.

  2. Di bagian Pipelines, pilih nama pipeline yang ingin Anda berikan akses untuk akun penghubung.

  3. Pilih tab titik akhir VPC.

  4. Di bagian Prinsipal resmi, pilih Otorisasi akun.

  5. Di bidang Akun AWS ID, masukkan ID akun nomor 12 digit, lalu pilih Otorisasi.

Berikan akses akun penghubung ke pipeline (CLI)

Gunakan prosedur berikut untuk memberikan akses akun penghubung ke pipeline dengan menggunakan AWS CLI.

Untuk memberikan akses akun penghubung ke pipeline

  1. Perbarui ke versi terbaru dari AWS CLI (versi 2.0). Untuk informasi selengkapnya, lihat Menginstal atau memperbarui ke versi terbaru AWS CLI.

  2. Buka CLI di akun dan Wilayah AWS dengan pipeline yang ingin Anda bagikan.

  3. Jalankan perintah berikut untuk membuat kebijakan sumber daya untuk pipeline. Kebijakan ini memberikan osis:CreatePipelineEndpoint izin pada pipeline. Kebijakan ini mencakup parameter tempat Anda dapat membuat daftar Akun AWS IDs untuk mengizinkan.

    catatan

    Dalam perintah berikut, Anda harus menggunakan bentuk singkat dari ID akun dengan hanya memberikan ID akun dua belas digit. Menggunakan ARN tidak akan berhasil. Anda juga harus memberikan Nama Sumber Daya Amazon (ARN) pipeline dalam parameter CLI untuk resource-arn dan dalam kebijakan JSON di bawah, seperti yang ditunjukkan. Resource

    aws --region region osis-cross-account put-resource-policy \
  --resource-arn arn:aws:osis:region:pipeline-owner-account-ID:pipeline/pipeline-name
  --policy 'IAM-policy'

    Gunakan kebijakan seperti berikut ini untuk IAM-policy

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
  {
  "Sid": "AllowAccess",
  "Effect": "Allow",
  "Principal": {
  "AWS": [
  "111122223333",
  "444455556666"
  ]
  },
  "Action": 
  "osis:CreatePipelineEndpoint",
  "Resource": "arn:aws:osis:us-east-1:123456789012:pipeline/pipeline-name"
  }
  ]
 }

Buat koneksi titik akhir pipeline untuk setiap VPC yang menghubungkan

Setelah pemilik pipeline memberikan akses ke pipeline di VPC mereka menggunakan prosedur sebelumnya, pengguna di akun penghubung membuat titik akhir pipeline di VPC mereka. Bagian ini mencakup prosedur untuk membuat titik akhir dengan menggunakan konsol OpenSearch Layanan dan. AWS CLI Saat Anda membuat titik akhir, OpenSearch Ingestion melakukan tindakan berikut:

Membuat koneksi titik akhir pipeline (konsol)

Gunakan prosedur berikut untuk membuat sambungan titik akhir pipeline menggunakan konsol OpenSearch Layanan.

Untuk membuat koneksi titik akhir pipeline

  1. Di konsol OpenSearch Layanan Amazon, di panel navigasi, perluas Ingestion, lalu pilih titik akhir VPC.

  2. Di halaman titik akhir VPC, pilih Buat.

  3. Untuk lokasi Pipeline, pilih opsi. Jika Anda memilih Current account, pilih pipeline dari daftar. Jika Anda memilih Cross-account, tentukan ARN pipeline di lapangan. Pemilik pipa harus telah memberikan akses ke pipa, seperti yang dijelaskan dalamBerikan akses akun penghubung ke pipeline.

  4. Di bagian Pengaturan VPC, untuk VPC, pilih VPC dari daftar.

  5. Untuk Subnet, pilih subnet.

  6. Untuk grup Keamanan, pilih grup.

  7. Pilih Buat titik akhir.

Tunggu status titik akhir yang Anda buat untuk ACTIVE transisi. Setelah pipelineACTIVE, Anda akan melihat bidang baru bernamaingestEndpointUrl. Gunakan titik akhir ini untuk mengakses pipeline dan menelan data menggunakan klien seperti. FluentBit Untuk informasi selengkapnya tentang penggunaan FluentBit untuk menelan data, lihatMenggunakan pipa OpenSearch Ingestion dengan Fluent Bit.

catatan

ingestEndpointUrlIni adalah URL yang sama untuk semua akun penghubung.

Membuat koneksi titik akhir pipeline (CLI)

Gunakan prosedur berikut untuk membuat sambungan titik akhir pipeline dengan menggunakan file. AWS CLI

Untuk membuat koneksi titik akhir pipeline

  1. Jika Anda belum melakukannya, perbarui ke versi terbaru AWS CLI (versi 2.0). Untuk informasi selengkapnya, lihat Menginstal atau memperbarui ke versi terbaru AWS CLI.

  2. Buka CLI di akun penghubung di Wilayah AWS dengan pipa bersama.

  3. Jalankan perintah berikut untuk membuat titik akhir pipeline.

    catatan

    Anda harus menyediakan setidaknya satu subnet dan satu grup keamanan untuk VPC akun penghubung. Grup keamanan harus menyertakan port 443 dan mendukung klien dalam menghubungkan akun VPC.

    aws osis --region region create-pipeline-endpoint \
  --pipeline-arn arn:aws:osis:region:connecting-account-ID:pipeline/shared-pipeline-name
  --vpc-options SecurityGroupIds={sg-security-group-ID-1,sg-security-group-ID-2},SubnetIds=subnet-subnet-ID

  4. Jalankan perintah berikut untuk daftar titik akhir di Wilayah yang ditentukan dalam perintah sebelumnya:

    aws osis-cross-account --region region list-pipeline-endpoints

Tunggu status titik akhir yang Anda buat untuk ACTIVE transisi. Setelah pipelineACTIVE, Anda akan melihat bidang baru bernamaingestEndpointUrl. Gunakan titik akhir ini untuk mengakses pipeline dan menelan data menggunakan klien seperti. FluentBit Untuk informasi selengkapnya tentang penggunaan FluentBit untuk menelan data, lihatMenggunakan pipa OpenSearch Ingestion dengan Fluent Bit.

catatan

ingestEndpointUrlIni adalah URL yang sama untuk semua akun penghubung.

Menghapus titik akhir pipa

Jika Anda tidak lagi ingin memberikan akses ke pipeline bersama, Anda dapat menghapus titik akhir pipeline menggunakan salah satu metode berikut:

  • Hapus titik akhir pipa (menghubungkan akun).

  • Cabut titik akhir pipa (pemilik pipa).

Gunakan prosedur berikut untuk menghapus titik akhir pipeline di akun penghubung.

Untuk menghapus titik akhir pipeline (menghubungkan akun)

  1. Buka CLI di akun penghubung di Wilayah AWS dengan pipa bersama.

  2. Jalankan perintah berikut untuk membuat daftar titik akhir pipeline di Wilayah:

    aws osis-cross-account --region region list-pipeline-endpoints

    Catat ID pipeline yang ingin Anda hapus.

  3. Jalankan perintah berikut untuk menghapus titik akhir pipeline:

    aws osis-cross-account --region region delete-pipeline-endpoint \
  --endpoint-id 'ID'

Sebagai pemilik pipa dari pipa bersama, gunakan prosedur berikut untuk mencabut titik akhir pipa.

Untuk mencabut titik akhir pipeline (pemilik pipa)

  1. Buka CLI di akun penghubung di Wilayah AWS dengan pipa bersama.

  2. Jalankan perintah berikut untuk membuat daftar koneksi titik akhir pipeline di Wilayah:

    aws osis-cross-account --region region list-pipeline-endpoint-connections

    Catat ID pipeline yang ingin Anda hapus.

  3. Jalankan perintah berikut untuk menghapus titik akhir pipeline:

    aws osis-cross-account --region region revoke-pipeline-endpoint-connections \
  --pipeline-arn pipeline-arn --endpoint-ids ID

    Perintah mendukung menentukan hanya satu ID endpoint.