Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Akses jaringan untuk Amazon Tanpa OpenSearch Server
Pengaturan jaringan untuk koleksi Amazon OpenSearch Tanpa Server menentukan apakah koleksi dapat diakses melalui internet dari jaringan publik, atau apakah harus diakses secara pribadi.
Akses pribadi dapat berlaku untuk salah satu atau kedua hal berikut:
+ OpenSearch Titik akhir VPC yang dikelola tanpa server
+ Didukung Layanan AWS seperti Amazon Bedrock
Anda dapat mengonfigurasi akses jaringan secara terpisah untuk *OpenSearch*titik akhir koleksi dan titik akhir *OpenSearch Dasbor* yang sesuai.
Akses jaringan adalah mekanisme isolasi untuk memungkinkan akses dari jaringan sumber yang berbeda. Misalnya, jika titik akhir OpenSearch Dasbor koleksi dapat diakses publik tetapi titik akhir OpenSearch API tidak, pengguna dapat mengakses data pengumpulan hanya melalui Dasbor saat menghubungkan dari jaringan publik. Jika mereka mencoba menelepon OpenSearch APIs langsung dari jaringan publik, mereka akan diblokir. Pengaturan jaringan dapat digunakan untuk permutasi sumber ke jenis sumber daya. Amazon OpenSearch Serverless mendukung keduanya IPv4 dan IPv6 konektivitas.
**Topics**
+ [Kebijakan jaringan](#serverless-network-policies)
+ [Pertimbangan-pertimbangan](#serverless-network-considerations)
+ [Izin diperlukan untuk mengonfigurasi kebijakan jaringan](#serverless-network-permissions)
+ [Prioritas kebijakan](#serverless-network-precedence)
+ [Membuat kebijakan jaringan (konsol)](#serverless-network-console)
+ [Membuat kebijakan jaringan (AWS CLI)](#serverless-network-cli)
+ [Melihat kebijakan jaringan](#serverless-network-list)
+ [Memperbarui kebijakan jaringan](#serverless-network-update)
+ [Menghapus kebijakan jaringan](#serverless-network-delete)
## Kebijakan jaringan
Kebijakan jaringan memungkinkan Anda mengelola banyak koleksi dalam skala besar dengan secara otomatis menetapkan setelan akses jaringan ke koleksi yang cocok dengan aturan yang ditentukan dalam kebijakan.
Dalam kebijakan jaringan, Anda menentukan serangkaian *aturan*. Aturan ini menentukan izin akses ke titik akhir koleksi dan titik akhir OpenSearch Dasbor. Setiap aturan terdiri dari jenis akses (publik atau pribadi) dan jenis sumber daya (koleksi dan/atau titik akhir OpenSearch Dasbor). Untuk setiap jenis sumber daya (`collection`dan`dashboard`), Anda menentukan serangkaian aturan yang menentukan koleksi mana kebijakan akan diterapkan.
Dalam kebijakan contoh ini, aturan pertama menentukan akses titik akhir VPC ke titik akhir koleksi dan titik akhir Dasbor untuk semua koleksi yang dimulai dengan istilah. `marketing*` Ini juga menentukan akses Amazon Bedrock.
**catatan**
Akses pribadi ke Layanan AWS seperti Amazon Bedrock *hanya* berlaku untuk titik akhir koleksi, bukan ke OpenSearch titik akhir OpenSearch Dasbor. Bahkan jika `ResourceType` ada`dashboard`, Layanan AWS tidak dapat diberikan akses ke OpenSearch Dasbor.
Aturan kedua menentukan akses publik ke `finance` koleksi, tetapi hanya untuk titik akhir koleksi (tidak ada akses Dasbor).
```
[
{
"Description":"Marketing access",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/marketing*"
]
},
{
"ResourceType":"dashboard",
"Resource":[
"collection/marketing*"
]
}
],
"AllowFromPublic":false,
"SourceVPCEs":[
"vpce-050f79086ee71ac05"
],
"SourceServices":[
"bedrock.amazonaws.com"
],
},
{
"Description":"Sales access",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/finance"
]
}
],
"AllowFromPublic":true
}
]
```
Kebijakan ini menyediakan akses publik hanya ke OpenSearch Dasbor untuk koleksi yang dimulai dengan “keuangan”. Setiap upaya untuk mengakses OpenSearch API secara langsung akan gagal.
```
[
{
"Description": "Dashboards access",
"Rules": [
{
"ResourceType": "dashboard",
"Resource": [
"collection/finance*"
]
}
],
"AllowFromPublic": true
}
]
```
Kebijakan jaringan dapat berlaku untuk koleksi yang ada serta koleksi masa depan. Misalnya, Anda dapat membuat koleksi dan kemudian membuat kebijakan jaringan dengan aturan yang cocok dengan nama koleksi. Anda tidak perlu membuat kebijakan jaringan sebelum membuat koleksi.
## Pertimbangan-pertimbangan
Pertimbangkan hal berikut saat Anda mengonfigurasi akses jaringan untuk koleksi Anda:
+ [Jika Anda berencana untuk mengonfigurasi akses titik akhir VPC untuk koleksi, Anda harus terlebih dahulu membuat setidaknya satu titik akhir VPC yang dikelola Tanpa ServerOpenSearch .](serverless-vpc.md)
+ Akses pribadi Layanan AWS hanya berlaku untuk OpenSearch titik akhir koleksi, bukan ke titik akhir OpenSearch Dasbor. Bahkan jika `ResourceType` ada`dashboard`, Layanan AWS tidak dapat diberikan akses ke OpenSearch Dasbor.
+ Jika koleksi dapat diakses dari jaringan publik, koleksi ini juga dapat diakses dari semua titik akhir VPC yang OpenSearch dikelola tanpa server dan semuanya. Layanan AWS
+ Beberapa kebijakan jaringan dapat berlaku untuk satu koleksi. Untuk informasi selengkapnya, lihat [Prioritas kebijakan](#serverless-network-precedence).
## Izin diperlukan untuk mengonfigurasi kebijakan jaringan
Akses jaringan untuk OpenSearch Tanpa Server menggunakan izin AWS Identity and Access Management (IAM) berikut. Anda dapat menentukan kondisi IAM untuk membatasi pengguna pada kebijakan jaringan yang terkait dengan koleksi tertentu.
+ `aoss:CreateSecurityPolicy`— Buat kebijakan akses jaringan.
+ `aoss:ListSecurityPolicies`— Buat daftar semua kebijakan jaringan di akun saat ini.
+ `aoss:GetSecurityPolicy`— Lihat spesifikasi kebijakan akses jaringan.
+ `aoss:UpdateSecurityPolicy`— Ubah kebijakan akses jaringan tertentu, dan ubah ID VPC atau penunjukan akses publik.
+ `aoss:DeleteSecurityPolicy`— Hapus kebijakan akses jaringan (setelah terlepas dari semua koleksi).
Kebijakan akses berbasis identitas berikut memungkinkan pengguna untuk melihat semua kebijakan jaringan, dan memperbarui kebijakan dengan pola sumber daya: `collection/application-logs`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aoss:UpdateSecurityPolicy"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aoss:collection": "application-logs"
}
}
},
{
"Effect": "Allow",
"Action": [
"aoss:ListSecurityPolicies",
"aoss:GetSecurityPolicy"
],
"Resource": "*"
}
]
}
```
------
**catatan**
Selain itu, OpenSearch Tanpa Server memerlukan `aoss:DashboardsAccessAll` izin `aoss:APIAccessAll` dan untuk sumber daya pengumpulan. Untuk informasi selengkapnya, lihat [Menggunakan operasi OpenSearch API](security-iam-serverless.md#security_iam_id-based-policy-examples-data-plane).
## Prioritas kebijakan
Mungkin ada situasi di mana aturan kebijakan jaringan tumpang tindih, di dalam atau di seluruh kebijakan. *Ketika ini terjadi, aturan yang menentukan akses publik mengesampingkan aturan yang menentukan akses pribadi untuk koleksi apa pun yang umum untuk kedua aturan tersebut.*
Misalnya, dalam kebijakan berikut, kedua aturan menetapkan akses jaringan ke `finance` koleksi, tetapi satu aturan menentukan akses VPC sementara yang lain menentukan akses publik. Dalam situasi ini, akses publik mengesampingkan akses VPC *hanya untuk pengumpulan keuangan* (karena ada di kedua aturan), sehingga pengumpulan keuangan akan dapat diakses dari jaringan publik. Koleksi penjualan akan memiliki akses VPC dari titik akhir yang ditentukan.
```
[
{
"Description":"Rule 1",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/sales",
"collection/finance"
]
}
],
"AllowFromPublic":false,
"SourceVPCEs":[
"vpce-050f79086ee71ac05"
]
},
{
"Description":"Rule 2",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/finance"
]
}
],
"AllowFromPublic":true
}
]
```
Jika beberapa titik akhir VPC dari aturan yang berbeda berlaku untuk koleksi, aturan bersifat aditif dan koleksi akan dapat diakses dari semua titik akhir yang ditentukan. Jika Anda menyetel `AllowFromPublic` ke `true` tetapi juga menyediakan satu atau lebih `SourceVPCEs` atau`SourceServices`, OpenSearch Tanpa Server mengabaikan titik akhir VPC dan pengidentifikasi layanan, dan koleksi terkait akan memiliki akses publik.
## Membuat kebijakan jaringan (konsol)
Kebijakan jaringan dapat berlaku untuk koleksi yang ada serta koleksi masa depan. Kami menyarankan Anda membuat kebijakan jaringan sebelum mulai membuat koleksi.
**Untuk membuat kebijakan OpenSearch jaringan Tanpa Server**
1. Buka konsol OpenSearch Layanan Amazon di [https://console.aws.amazon.com/aos/rumah](https://console.aws.amazon.com/aos/home ).
1. Di panel navigasi kiri, perluas **Tanpa Server** dan pilih Kebijakan **jaringan**.
1. Pilih **Buat kebijakan jaringan**.
1. Berikan nama dan deskripsi untuk kebijakan tersebut.
1. Berikan satu atau lebih *aturan*. Aturan ini menentukan izin akses untuk koleksi OpenSearch Tanpa Server dan titik akhir Dasbornya OpenSearch .
Setiap aturan berisi elemen-elemen berikut:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/serverless-network.html)
Untuk setiap jenis sumber daya yang Anda pilih, Anda dapat memilih koleksi yang ada untuk menerapkan setelan kebijakan, and/or membuat satu atau beberapa pola sumber daya. Pola sumber daya terdiri dari awalan dan wildcard (\$1), dan menentukan koleksi mana yang akan diterapkan setelan kebijakan.
Misalnya, jika Anda menyertakan pola yang disebut`Marketing*`, koleksi baru atau yang sudah ada yang namanya dimulai dengan “Pemasaran” akan memiliki pengaturan jaringan dalam kebijakan ini secara otomatis diterapkan padanya. Satu wildcard (`*`) menerapkan kebijakan untuk semua koleksi saat ini dan yang akan datang.
Selain itu, Anda dapat menentukan nama koleksi *future* tanpa wildcard, seperti`Finance`. OpenSearch Tanpa server akan menerapkan pengaturan kebijakan ke koleksi yang baru dibuat dengan nama persis itu.
1. Jika Anda puas dengan konfigurasi kebijakan, pilih **Buat**.
## Membuat kebijakan jaringan (AWS CLI)
Untuk membuat kebijakan jaringan menggunakan operasi API OpenSearch Tanpa Server, Anda menentukan aturan dalam format JSON. [CreateSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateSecurityPolicy.html)Permintaan menerima kebijakan sebaris dan file.json. Semua koleksi dan pola harus berbentuk`collection/`.
**catatan**
Jenis sumber daya `dashboards` hanya mengizinkan izin ke OpenSearch Dasbor, tetapi agar OpenSearch Dasbor berfungsi, Anda juga harus mengizinkan akses koleksi dari sumber yang sama. Lihat kebijakan kedua di bawah ini untuk contoh.
Untuk menentukan akses pribadi, sertakan salah satu atau kedua elemen berikut:
+ `SourceVPCEs`— Tentukan satu atau lebih titik akhir VPC yang OpenSearch dikelola tanpa server.
+ `SourceServices`— Tentukan pengenal satu atau lebih yang didukung Layanan AWS. Saat ini, pengidentifikasi layanan berikut didukung:
+ `bedrock.amazonaws.com`— Batuan Dasar Amazon
Contoh kebijakan jaringan berikut menyediakan akses pribadi, ke titik akhir VPC dan Amazon Bedrock, ke titik akhir pengumpulan hanya untuk koleksi yang dimulai dengan awalan. `log*` Pengguna yang diautentikasi tidak dapat masuk ke OpenSearch Dasbor; mereka hanya dapat mengakses titik akhir koleksi secara terprogram.
```
[
{
"Description":"Private access for log collections",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/log*"
]
}
],
"AllowFromPublic":false,
"SourceVPCEs":[
"vpce-050f79086ee71ac05"
],
"SourceServices":[
"bedrock.amazonaws.com"
],
}
]
```
Kebijakan berikut menyediakan akses publik ke OpenSearch titik akhir *dan* OpenSearch Dasbor untuk satu koleksi bernama. `finance` Jika koleksi tidak ada, pengaturan jaringan akan diterapkan ke koleksi jika dan ketika itu dibuat.
```
[
{
"Description":"Public access for finance collection",
"Rules":[
{
"ResourceType":"dashboard",
"Resource":[
"collection/finance"
]
},
{
"ResourceType":"collection",
"Resource":[
"collection/finance"
]
}
],
"AllowFromPublic":true
}
]
```
Permintaan berikut membuat kebijakan jaringan di atas:
```
aws opensearchserverless create-security-policy \
--name sales-inventory \
--type network \
--policy "[{\"Description\":\"Public access for finance collection\",\"Rules\":[{\"ResourceType\":\"dashboard\",\"Resource\":[\"collection\/finance\"]},{\"ResourceType\":\"collection\",\"Resource\":[\"collection\/finance\"]}],\"AllowFromPublic\":true}]"
```
Untuk menyediakan kebijakan dalam file JSON, gunakan format `--policy file://my-policy.json`
## Melihat kebijakan jaringan
Sebelum membuat koleksi, Anda mungkin ingin melihat pratinjau kebijakan jaringan yang ada di akun Anda untuk melihat mana yang memiliki pola sumber daya yang cocok dengan nama koleksi Anda. [ListSecurityPolicies](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_ListSecurityPolicies.html)Permintaan berikut mencantumkan semua kebijakan jaringan di akun Anda:
```
aws opensearchserverless list-security-policies --type network
```
Permintaan mengembalikan informasi tentang semua kebijakan jaringan yang dikonfigurasi. Untuk melihat aturan pola yang ditentukan dalam satu kebijakan tertentu, cari informasi kebijakan dalam konten `securityPolicySummaries` elemen dalam respons. Perhatikan `name` dan `type` kebijakan ini dan gunakan properti ini dalam [GetSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetSecurityPolicy.html)permintaan untuk menerima tanggapan dengan rincian kebijakan berikut:
```
{
"securityPolicyDetail": [
{
"type": "network",
"name": "my-policy",
"policyVersion": "MTY2MzY5MTY1MDA3Ml8x",
"policy": "[{\"Description\":\"My network policy rule\",\"Rules\":[{\"ResourceType\":\"dashboard\",\"Resource\":[\"collection/*\"]}],\"AllowFromPublic\":true}]",
"createdDate": 1663691650072,
"lastModifiedDate": 1663691650072
}
]
}
```
Untuk melihat informasi terperinci tentang kebijakan tertentu, gunakan [GetSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetSecurityPolicy.html)perintah.
## Memperbarui kebijakan jaringan
Saat Anda memodifikasi titik akhir VPC atau penunjukan akses publik untuk jaringan, semua koleksi terkait akan terpengaruh. **Untuk memperbarui kebijakan jaringan di konsol OpenSearch Tanpa Server, perluas Kebijakan **jaringan, pilih kebijakan** yang akan diubah, dan pilih Edit.** Buat perubahan dan pilih **Simpan**.
Untuk memperbarui kebijakan jaringan menggunakan API OpenSearch Tanpa Server, gunakan perintah. [UpdateSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_UpdateSecurityPolicy.html) Anda harus menyertakan versi kebijakan dalam permintaan. Anda dapat mengambil versi kebijakan dengan menggunakan `GetSecurityPolicy` perintah `ListSecurityPolicies` atau. Menyertakan versi kebijakan terbaru memastikan bahwa Anda tidak secara tidak sengaja mengesampingkan perubahan yang dilakukan oleh orang lain.
Permintaan berikut memperbarui kebijakan jaringan dengan dokumen JSON kebijakan baru:
```
aws opensearchserverless update-security-policy \
--name sales-inventory \
--type network \
--policy-version MTY2MzY5MTY1MDA3Ml8x \
--policy file://my-new-policy.json
```
## Menghapus kebijakan jaringan
Sebelum Anda dapat menghapus kebijakan jaringan, Anda harus melepaskannya dari semua koleksi. **Untuk menghapus kebijakan di konsol OpenSearch Tanpa Server, pilih kebijakan dan pilih Hapus.**
Anda juga dapat menggunakan [DeleteSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_DeleteSecurityPolicy.html)perintah:
```
aws opensearchserverless delete-security-policy --name my-policy --type network
```