Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Ikhtisar keamanan di Amazon Tanpa OpenSearch Server
Keamanan di Amazon OpenSearch Tanpa Server berbeda secara mendasar dari keamanan di OpenSearch Layanan Amazon dengan cara berikut:
| Fitur | OpenSearch Layanan | OpenSearch Tanpa server |
| --- | --- | --- |
| Kontrol akses data | Akses data ditentukan oleh kebijakan IAM dan kontrol akses berbutir halus. | Akses data ditentukan oleh kebijakan akses data. |
| Enkripsi saat istirahat | Enkripsi saat istirahat adalah opsional untuk domain. | Enkripsi saat istirahat diperlukan untuk koleksi. |
| Pengaturan dan administrasi keamanan | Anda harus mengonfigurasi jaringan, enkripsi, dan akses data secara individual untuk setiap domain. | Anda dapat menggunakan kebijakan keamanan untuk mengelola pengaturan keamanan untuk beberapa koleksi dalam skala besar. |
Diagram berikut menggambarkan komponen keamanan yang membentuk koleksi fungsional. Koleksi harus memiliki kunci enkripsi yang ditetapkan, setelan akses jaringan, dan kebijakan akses data yang cocok yang memberikan izin ke sumber dayanya.
![\[Diagram showing encryption, network, data access, and authentication policies for a collection.\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/images/serverless-security.png)
**Topics**
+ [
## Kebijakan enkripsi
](#serverless-security-encryption)
+ [
## Kebijakan jaringan
](#serverless-security-network)
+ [
## Kebijakan akses data
](#serverless-security-data-access)
+ [
## Autentikasi IAM dan SAMP
](#serverless-security-authentication)
+ [
## Keamanan infrastruktur
](#serverless-infrastructure-security)
+ [
# Memulai dengan keamanan di Amazon Tanpa OpenSearch Server
](serverless-tutorials.md)
+ [
# Identity and Access Management untuk Amazon OpenSearch Serverless
](security-iam-serverless.md)
+ [
# Enkripsi di Amazon Tanpa OpenSearch Server
](serverless-encryption.md)
+ [
# Akses jaringan untuk Amazon Tanpa OpenSearch Server
](serverless-network.md)
+ [
# Kepatuhan FIPS di Amazon Tanpa Server OpenSearch
](fips-compliance-opensearch-serverless.md)
+ [
# Kontrol akses data untuk Amazon Tanpa OpenSearch Server
](serverless-data-access.md)
+ [
# Akses pesawat data melalui AWS PrivateLink
](serverless-vpc.md)
+ [
# Kontrol akses pesawat melalui AWS PrivateLink
](serverless-vpc-cp.md)
+ [
# Otentikasi SAMP untuk Amazon Tanpa Server OpenSearch
](serverless-saml.md)
+ [
# Validasi kepatuhan untuk Amazon Tanpa Server OpenSearch
](serverless-compliance-validation.md)
## Kebijakan enkripsi
[Kebijakan enkripsi](serverless-encryption.md) menentukan apakah koleksi Anda dienkripsi dengan kunci yang dikelola pelanggan Kunci milik AWS atau pelanggan. Kebijakan enkripsi terdiri dari dua komponen: **pola sumber daya** dan **kunci enkripsi**. Pola sumber daya menentukan koleksi atau koleksi mana yang berlaku untuk kebijakan tersebut. Kunci enkripsi menentukan bagaimana koleksi terkait akan diamankan.
Untuk menerapkan kebijakan ke beberapa koleksi, Anda menyertakan wildcard (\$1) dalam aturan kebijakan. Misalnya, kebijakan berikut berlaku untuk semua koleksi dengan nama yang dimulai dengan “log”.
![\[Input field for specifying a prefix term or collection name, with "logs*" entered.\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/images/serverless-security-encryption.png)
Kebijakan enkripsi merampingkan proses pembuatan dan pengelolaan koleksi, terutama ketika Anda melakukannya secara terprogram. Anda dapat membuat koleksi dengan menentukan nama, dan kunci enkripsi secara otomatis ditetapkan pada saat pembuatan.
## Kebijakan jaringan
[Kebijakan jaringan](serverless-network.md) menentukan apakah koleksi Anda dapat diakses secara pribadi, atau melalui internet dari jaringan publik. *Koleksi pribadi dapat diakses melalui titik akhir VPC yang OpenSearch dikelola tanpa server, atau secara spesifik Layanan AWS seperti Amazon Bedrock menggunakan akses pribadi.Layanan AWS * Sama seperti kebijakan enkripsi, kebijakan jaringan dapat diterapkan ke beberapa koleksi, yang memungkinkan Anda mengelola akses jaringan untuk banyak koleksi dalam skala besar.
Kebijakan jaringan terdiri dari dua komponen: **tipe akses dan tipe** **sumber daya**. Jenis akses dapat bersifat publik atau pribadi. Jenis sumber daya menentukan apakah akses yang Anda pilih berlaku untuk titik akhir koleksi, titik akhir OpenSearch Dasbor, atau keduanya.
![\[Access type and resource type options for configuring network policies in OpenSearch.\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/images/serverless-security-network.png)
Jika Anda berencana untuk mengonfigurasi akses VPC dalam kebijakan jaringan, Anda harus terlebih dahulu membuat satu atau beberapa titik akhir VPC yang dikelola Tanpa [OpenSearch Server.](serverless-vpc.md) Titik akhir ini memungkinkan Anda mengakses OpenSearch Tanpa Server seolah-olah berada di VPC Anda, tanpa menggunakan gateway internet, perangkat NAT, koneksi VPN, atau koneksi. Direct Connect
Akses pribadi ke hanya Layanan AWS dapat diterapkan ke OpenSearch titik akhir koleksi, bukan ke titik akhir OpenSearch Dasbor. Layanan AWS tidak dapat diberikan akses ke OpenSearch Dasbor.
## Kebijakan akses data
[Kebijakan akses data](serverless-data-access.md) menentukan cara pengguna mengakses data dalam koleksi Anda. Kebijakan akses data membantu Anda mengelola koleksi dalam skala besar dengan secara otomatis menetapkan izin akses ke koleksi dan indeks yang cocok dengan pola tertentu. Beberapa kebijakan dapat diterapkan ke satu sumber daya.
Kebijakan akses data terdiri dari seperangkat aturan, masing-masing dengan tiga komponen: **jenis sumber daya**, **sumber daya yang diberikan**, dan sekumpulan **izin**. Jenis sumber daya dapat berupa koleksi atau indeks. Sumber daya yang diberikan dapat berupa collection/index nama atau pola dengan wildcard (\$1). Daftar izin menentukan [operasi OpenSearch API mana yang dapat diakses](serverless-genref.md#serverless-operations) oleh kebijakan. Selain itu, kebijakan tersebut berisi daftar **kepala sekolah, yang menentukan peran IAM**, pengguna, dan identitas SAMP untuk diberikan akses.
![\[Selected principals and granted resources with permissions for collection and index access.\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/images/serverless-data-access.png)
Untuk informasi selengkapnya tentang format kebijakan akses data, lihat [sintaks kebijakan](serverless-data-access.md#serverless-data-access-syntax).
Sebelum Anda membuat kebijakan akses data, Anda harus memiliki satu atau beberapa peran IAM atau pengguna, atau identitas SAMP, untuk menyediakan akses ke dalam kebijakan. Untuk detailnya, lihat bagian selanjutnya.
**catatan**
Beralih dari Akses Publik ke Pribadi untuk koleksi Anda, akan menghapus Tab Indeks di Konsol Koleksi OpenSearch Tanpa Server.
## Autentikasi IAM dan SAMP
Prinsipal IAM dan identitas SAMP adalah salah satu blok bangunan kebijakan akses data. Dalam `principal` pernyataan kebijakan akses, Anda dapat menyertakan peran IAM, pengguna, dan identitas SAMP. Prinsipal ini kemudian diberikan izin yang Anda tentukan dalam aturan kebijakan terkait.
```
[
{
"Rules":[
{
"ResourceType":"index",
"Resource":[
"index/marketing/orders*"
],
"Permission":[
"aoss:*"
]
}
],
"Principal":[
"arn:aws:iam::123456789012:user/Dale",
"arn:aws:iam::123456789012:role/RegulatoryCompliance",
"saml/123456789012/myprovider/user/Annie"
]
}
]
```
Anda mengonfigurasi otentikasi SAMP secara langsung di dalam OpenSearch Tanpa Server. Untuk informasi selengkapnya, lihat [Otentikasi SAMP untuk Amazon Tanpa Server OpenSearch](serverless-saml.md).
## Keamanan infrastruktur
Amazon OpenSearch Serverless dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat [Keamanan AWS Cloud](https://aws.amazon.com/security/). Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat [Perlindungan Infrastruktur dalam Kerangka Kerja](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) yang * AWS Diarsiteksikan dengan Baik Pilar Keamanan*.
Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses Amazon OpenSearch Tanpa Server melalui jaringan. Klien harus mendukung Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3. Untuk daftar cipher yang didukung untuk TLS 1.3, lihat [protokol TLS dan cipher dalam dokumentasi](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-tls-listener.html#tls-protocols-ciphers) Elastic Load Balancing.
Selain itu, Anda harus menandatangani permintaan menggunakan ID kunci akses dan kunci akses rahasia yang terkait dengan prinsipal IAM. Atau Anda bisa menggunakan [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) untuk membuat kredensial keamanan sementara guna menandatangani permintaan.
# Memulai dengan keamanan di Amazon Tanpa OpenSearch Server
Tutorial berikut membantu Anda mulai menggunakan Amazon Tanpa OpenSearch Server. Kedua tutorial menyelesaikan langkah dasar yang sama, tetapi yang satu menggunakan konsol sementara yang lain menggunakan. AWS CLI
Perhatikan bahwa kasus penggunaan dalam tutorial ini disederhanakan. Kebijakan jaringan dan keamanan cukup terbuka. Dalam beban kerja produksi, kami menyarankan Anda mengonfigurasi fitur keamanan yang lebih kuat seperti otentikasi SAMP, akses VPC, dan kebijakan akses data yang membatasi.
**Topics**
+ [
# Tutorial: Memulai keamanan di Amazon OpenSearch Tanpa Server (konsol)
](gsg-serverless.md)
+ [
# Tutorial: Memulai keamanan di Amazon OpenSearch Tanpa Server (CLI)
](gsg-serverless-cli.md)
# Tutorial: Memulai keamanan di Amazon OpenSearch Tanpa Server (konsol)
Tutorial ini memandu Anda melalui langkah-langkah dasar untuk membuat dan mengelola kebijakan keamanan menggunakan konsol Amazon OpenSearch Tanpa Server.
Anda akan menyelesaikan langkah-langkah berikut dalam tutorial ini:
1. [Konfigurasikan izin](#gsgpermissions)
1. [Buat kebijakan enkripsi](#gsg-encryption)
1. [Buat kebijakan jaringan](#gsg-network)
1. [Konfigurasikan kebijakan akses data](#gsg-data-access)
1. [Buat koleksi](#gsgcreate-collection)
1. [Unggah dan cari data](#gsgindex-collection)
Tutorial ini memandu Anda melalui pengaturan koleksi menggunakan Konsol Manajemen AWS. Untuk langkah yang sama menggunakan AWS CLI, lihat[Tutorial: Memulai keamanan di Amazon OpenSearch Tanpa Server (CLI)](gsg-serverless-cli.md).
## Langkah 1: Konfigurasikan izin
**catatan**
Anda dapat melewati langkah ini jika Anda sudah menggunakan kebijakan berbasis identitas yang lebih luas, seperti atau. `Action":"aoss:*"` `Action":"*"` Namun, di lingkungan produksi, kami menyarankan Anda mengikuti prinsip hak istimewa paling sedikit dan hanya menetapkan izin minimum yang diperlukan untuk menyelesaikan tugas.
Untuk menyelesaikan tutorial ini, Anda harus memiliki izin IAM yang benar. Pengguna atau peran Anda harus memiliki [kebijakan berbasis identitas terlampir dengan izin](security-iam-serverless.md#security-iam-serverless-id-based-policies) minimum berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aoss:ListCollections",
"aoss:BatchGetCollection",
"aoss:CreateCollection",
"aoss:CreateSecurityPolicy",
"aoss:GetSecurityPolicy",
"aoss:ListSecurityPolicies",
"aoss:CreateAccessPolicy",
"aoss:GetAccessPolicy",
"aoss:ListAccessPolicies"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Untuk daftar lengkap izin OpenSearch Tanpa Server, lihat. [Identity and Access Management untuk Amazon OpenSearch Serverless](security-iam-serverless.md)
## Langkah 2: Buat kebijakan enkripsi
[Kebijakan enkripsi](serverless-encryption.md) menentukan AWS KMS kunci yang akan digunakan OpenSearch Tanpa Server untuk mengenkripsi koleksi. Anda dapat mengenkripsi koleksi dengan Kunci yang dikelola AWS atau kunci yang berbeda. Untuk kesederhanaan dalam tutorial ini, kita akan mengenkripsi koleksi kita dengan file Kunci yang dikelola AWS.
**Untuk membuat kebijakan enkripsi**
1. Buka konsol OpenSearch Layanan Amazon di [https://console.aws.amazon.com/aos/rumah](https://console.aws.amazon.com/aos/home ).
1. **Perluas **Tanpa Server** di panel navigasi kiri dan pilih Kebijakan enkripsi.**
1. Pilih **Buat kebijakan enkripsi**.
1. Beri nama kebijakan **buku-buku kebijakan.** Untuk deskripsi, masukkan **Kebijakan enkripsi untuk koleksi buku**.
1. Di bawah **Sumber Daya**, masukkan **buku**, yang akan Anda beri nama koleksi Anda. Jika Anda ingin lebih luas, Anda dapat menyertakan tanda bintang (`books*`) untuk membuat kebijakan berlaku untuk semua koleksi yang dimulai dengan kata “buku”.
1. Untuk **Enkripsi**, tetap pilih **Gunakan kunci yang AWS dimiliki**.
1. Pilih **Buat**.
## Langkah 3: Buat kebijakan jaringan
[Kebijakan jaringan](serverless-network.md) menentukan apakah koleksi Anda dapat diakses melalui internet dari jaringan publik, atau apakah harus diakses melalui titik akhir VPC yang OpenSearch dikelola Tanpa Server. Dalam tutorial ini, kita akan mengkonfigurasi akses publik.
**Untuk membuat kebijakan jaringan**
1. Pilih **Kebijakan jaringan** di panel navigasi kiri dan pilih **Buat kebijakan jaringan**.
1. Beri nama kebijakan **buku-buku kebijakan.** Untuk deskripsi, masukkan **Kebijakan jaringan untuk koleksi buku**.
1. Di bawah **Aturan 1**, beri nama aturan **Akses publik untuk koleksi buku**.
1. Untuk kesederhanaan dalam tutorial ini, kita akan mengkonfigurasi akses publik untuk koleksi *buku*. Untuk jenis akses, pilih **Publik**.
1. Kita akan mengakses koleksi dari OpenSearch Dashboards. Untuk melakukan ini, Anda perlu mengonfigurasi akses jaringan untuk Dasbor *dan* OpenSearch titik akhir, jika tidak Dasbor tidak akan berfungsi.
Untuk jenis sumber daya, aktifkan **Access to OpenSearch endpoint dan Access** **to OpenSearch Dashboards**.
1. Di kedua kotak input, masukkan **Nama Koleksi = buku**. Pengaturan ini mencakup kebijakan sehingga hanya berlaku untuk satu koleksi (`books`). Aturan Anda akan terlihat seperti ini:
![\[Search interface showing two input fields for collection or prefix term selection, both set to "books".\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/images/serverless-tutorial-network.png)
1. Pilih **Buat**.
## Langkah 4: Buat kebijakan akses data
Data pengumpulan Anda tidak akan dapat diakses sampai Anda mengonfigurasi akses data. [Kebijakan akses data terpisah dari kebijakan](serverless-data-access.md) berbasis identitas IAM yang Anda konfigurasikan pada langkah 1. Mereka memungkinkan pengguna untuk mengakses data aktual dalam koleksi.
Dalam tutorial ini, kami akan memberikan satu pengguna izin yang diperlukan untuk mengindeks data ke dalam koleksi *buku*.
**Untuk membuat kebijakan akses data**
1. Pilih **Kebijakan akses data** di panel navigasi kiri dan pilih **Buat kebijakan akses**.
1. Beri nama kebijakan **buku-buku kebijakan.** Untuk deskripsi, masukkan **Kebijakan akses data untuk koleksi buku**.
1. Pilih **JSON** untuk metode definisi kebijakan dan tempel kebijakan berikut di editor JSON.
Ganti ARN utama dengan ARN akun yang akan Anda gunakan untuk masuk ke OpenSearch Dasbor dan mengindeks data.
```
[
{
"Rules":[
{
"ResourceType":"index",
"Resource":[
"index/books/*"
],
"Permission":[
"aoss:CreateIndex",
"aoss:DescribeIndex",
"aoss:ReadDocument",
"aoss:WriteDocument",
"aoss:UpdateIndex",
"aoss:DeleteIndex"
]
}
],
"Principal":[
"arn:aws:iam::123456789012:user/my-user"
]
}
]
```
Kebijakan ini memberi satu pengguna izin minimum yang diperlukan untuk membuat indeks dalam koleksi *buku*, mengindeks beberapa data, dan mencarinya.
1. Pilih **Buat**.
## Langkah 5: Buat koleksi
Sekarang setelah Anda mengonfigurasi enkripsi dan kebijakan jaringan, Anda dapat membuat koleksi yang cocok dan pengaturan keamanan akan diterapkan secara otomatis padanya.
**Untuk membuat koleksi OpenSearch Tanpa Server**
1. Pilih **Koleksi** di panel navigasi kiri dan pilih **Buat koleksi**.
1. Beri nama **buku** koleksi.
1. Untuk jenis koleksi, pilih **Cari**.
1. Di bawah **Enkripsi**, OpenSearch Tanpa Server memberi tahu Anda bahwa nama koleksi cocok dengan kebijakan enkripsi. `books-policy`
1. Di bawah **Pengaturan akses jaringan**, OpenSearch Tanpa Server memberi tahu Anda bahwa nama koleksi cocok dengan kebijakan jaringan. `books-policy`
1. Pilih **Berikutnya**.
1. Di bawah **opsi kebijakan akses data**, OpenSearch Tanpa Server memberi tahu Anda bahwa nama koleksi cocok dengan kebijakan akses `books-policy` data.
1. Pilih **Berikutnya**.
1. Tinjau konfigurasi koleksi dan pilih **Kirim**. Koleksi biasanya membutuhkan waktu kurang dari satu menit untuk diinisialisasi.
## Langkah 6: Unggah dan cari data
Anda dapat mengunggah data ke koleksi OpenSearch Tanpa Server menggunakan Postman atau curl. Untuk singkatnya, contoh-contoh ini menggunakan **Dev Tools dalam konsol** OpenSearch Dashboards.
**Untuk mengindeks dan mencari data dalam koleksi**
1. Pilih **Koleksi** di panel navigasi kiri dan pilih koleksi **buku** untuk membuka halaman detailnya.
1. Pilih URL OpenSearch Dasbor untuk koleksi. URL mengambil format`https://collection-id.us-east-1.aoss.amazonaws.com/_dashboards`.
1. Masuk ke OpenSearch Dasbor menggunakan [AWS akses dan kunci rahasia](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-appendix-sign-up.html) untuk prinsipal yang Anda tentukan dalam kebijakan akses data Anda.
1. Di dalam OpenSearch Dashboards, buka menu navigasi kiri dan pilih **Dev** Tools.
1. Untuk membuat indeks tunggal yang disebut *books-index*, jalankan perintah berikut:
```
PUT books-index
```
![\[OpenSearch Dashboards console showing PUT request for books-index with JSON response.\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/images/serverless-createindex.png)
1. Untuk mengindeks satu dokumen ke *books-index*, jalankan perintah berikut:
```
PUT books-index/_doc/1
{
"title": "The Shining",
"author": "Stephen King",
"year": 1977
}
```
1. Untuk mencari data di OpenSearch Dasbor, Anda perlu mengonfigurasi setidaknya satu pola indeks. OpenSearch menggunakan pola-pola ini untuk mengidentifikasi indeks mana yang ingin Anda analisis. Buka menu utama Dashboards, pilih **Stack Management**, pilih **Index Patterns**, dan kemudian pilih **Create index pattern**. Untuk tutorial ini, masukkan *books-index*.
1. Pilih **Langkah selanjutnya** dan kemudian pilih **Buat pola indeks**. Setelah pola dibuat, Anda dapat melihat berbagai bidang dokumen seperti `author` dan `title`.
1. Untuk mulai mencari data Anda, buka menu utama lagi dan pilih **Discover**, atau gunakan [API pencarian](https://opensearch.org/docs/latest/opensearch/rest-api/search/).
# Tutorial: Memulai keamanan di Amazon OpenSearch Tanpa Server (CLI)
Tutorial ini memandu Anda melalui langkah-langkah yang dijelaskan dalam [tutorial memulai konsol](gsg-serverless.md) untuk keamanan, tetapi menggunakan AWS CLI bukan konsol OpenSearch Layanan.
Anda akan menyelesaikan langkah-langkah berikut dalam tutorial ini:
1. Membuat kebijakan izin IAM
1. Menyelesaikan kebijakan IAM ke peran IAM
1. Buat kebijakan enkripsi
1. Buat kebijakan jaringan
1. Buat koleksi
1. Konfigurasikan kebijakan akses data
1. Ambil titik akhir koleksi
1. Unggah data ke koneksi Anda
1. Cari data dalam koleksi Anda
Tujuan dari tutorial ini adalah untuk mengatur koleksi OpenSearch Serverless tunggal dengan enkripsi, jaringan, dan pengaturan akses data yang cukup sederhana. Misalnya, kami akan mengonfigurasi akses jaringan publik, enkripsi Kunci yang dikelola AWS untuk, dan kebijakan akses data yang disederhanakan yang memberikan izin minimal kepada satu pengguna.
Dalam skenario produksi, pertimbangkan untuk menerapkan konfigurasi yang lebih kuat, termasuk otentikasi SAMP, kunci enkripsi khusus, dan akses VPC.
**Untuk memulai dengan kebijakan keamanan di Tanpa OpenSearch Server**
1.
**catatan**
Anda dapat melewati langkah ini jika Anda sudah menggunakan kebijakan berbasis identitas yang lebih luas, seperti atau. `Action":"aoss:*"` `Action":"*"` Namun, di lingkungan produksi, kami menyarankan Anda mengikuti prinsip hak istimewa paling sedikit dan hanya menetapkan izin minimum yang diperlukan untuk menyelesaikan tugas.
Untuk memulai, buat AWS Identity and Access Management kebijakan dengan izin minimum yang diperlukan untuk melakukan langkah-langkah dalam tutorial ini. Kami akan memberi nama kebijakan`TutorialPolicy`:
```
aws iam create-policy \
--policy-name TutorialPolicy \
--policy-document "{\"Version\": \"2012-10-17\",\"Statement\": [{\"Action\": [\"aoss:ListCollections\",\"aoss:BatchGetCollection\",\"aoss:CreateCollection\",\"aoss:CreateSecurityPolicy\",\"aoss:GetSecurityPolicy\",\"aoss:ListSecurityPolicies\",\"aoss:CreateAccessPolicy\",\"aoss:GetAccessPolicy\",\"aoss:ListAccessPolicies\"],\"Effect\": \"Allow\",\"Resource\": \"*\"}]}"
```
**Sampel respon**
```
{
"Policy": {
"PolicyName": "TutorialPolicy",
"PolicyId": "ANPAW6WRAECKG6QJWUV7U",
"Arn": "arn:aws:iam::123456789012:policy/TutorialPolicy",
"Path": "/",
"DefaultVersionId": "v1",
"AttachmentCount": 0,
"PermissionsBoundaryUsageCount": 0,
"IsAttachable": true,
"CreateDate": "2022-10-16T20:57:18+00:00",
"UpdateDate": "2022-10-16T20:57:18+00:00"
}
}
```
1. Lampirkan `TutorialPolicy` ke peran IAM yang akan mengindeks dan mencari data dalam koleksi. Kami akan memberi nama pengguna`TutorialRole`:
```
aws iam attach-role-policy \
--role-name TutorialRole \
--policy-arn arn:aws:iam::123456789012:policy/TutorialPolicy
```
1. Sebelum membuat koleksi, Anda perlu membuat [kebijakan enkripsi](serverless-encryption.md) yang Kunci milik AWS menetapkan koleksi *buku* yang akan Anda buat di langkah selanjutnya.
Kirim permintaan berikut untuk membuat kebijakan enkripsi untuk koleksi *buku*:
```
aws opensearchserverless create-security-policy \
--name books-policy \
--type encryption --policy "{\"Rules\":[{\"ResourceType\":\"collection\",\"Resource\":[\"collection\/books\"]}],\"AWSOwnedKey\":true}"
```
**Sampel respon**
```
{
"securityPolicyDetail": {
"type": "encryption",
"name": "books-policy",
"policyVersion": "MTY2OTI0MDAwNTk5MF8x",
"policy": {
"Rules": [
{
"Resource": [
"collection/books"
],
"ResourceType": "collection"
}
],
"AWSOwnedKey": true
},
"createdDate": 1669240005990,
"lastModifiedDate": 1669240005990
}
}
```
1. Buat [kebijakan jaringan](serverless-network.md) yang menyediakan akses publik ke koleksi *buku*:
```
aws opensearchserverless create-security-policy --name books-policy --type network \
--policy "[{\"Description\":\"Public access for books collection\",\"Rules\":[{\"ResourceType\":\"dashboard\",\"Resource\":[\"collection\/books\"]},{\"ResourceType\":\"collection\",\"Resource\":[\"collection\/books\"]}],\"AllowFromPublic\":true}]"
```
**Sampel respon**
```
{
"securityPolicyDetail": {
"type": "network",
"name": "books-policy",
"policyVersion": "MTY2OTI0MDI1Njk1NV8x",
"policy": [
{
"Rules": [
{
"Resource": [
"collection/books"
],
"ResourceType": "dashboard"
},
{
"Resource": [
"collection/books"
],
"ResourceType": "collection"
}
],
"AllowFromPublic": true,
"Description": "Public access for books collection"
}
],
"createdDate": 1669240256955,
"lastModifiedDate": 1669240256955
}
}
```
1. Buat koleksi *buku*:
```
aws opensearchserverless create-collection --name books --type SEARCH
```
**Sampel respon**
```
{
"createCollectionDetail": {
"id": "8kw362bpwg4gx9b2f6e0",
"name": "books",
"status": "CREATING",
"type": "SEARCH",
"arn": "arn:aws:aoss:us-east-1:123456789012:collection/8kw362bpwg4gx9b2f6e0",
"kmsKeyArn": "auto",
"createdDate": 1669240325037,
"lastModifiedDate": 1669240325037
}
}
```
1. Buat [kebijakan akses data](serverless-data-access.md) yang memberikan izin minimum untuk mengindeks dan mencari data dalam koleksi *buku*. Ganti ARN utama dengan ARN dari `TutorialRole` langkah 1:
```
aws opensearchserverless create-access-policy \
--name books-policy \
--type data \
--policy "[{\"Rules\":[{\"ResourceType\":\"index\",\"Resource\":[\"index\/books\/books-index\"],\"Permission\":[\"aoss:CreateIndex\",\"aoss:DescribeIndex\",\"aoss:ReadDocument\",\"aoss:WriteDocument\",\"aoss:UpdateIndex\",\"aoss:DeleteIndex\"]}],\"Principal\":[\"arn:aws:iam::123456789012:role\/TutorialRole\"]}]"
```
**Sampel respon**
```
{
"accessPolicyDetail": {
"type": "data",
"name": "books-policy",
"policyVersion": "MTY2OTI0MDM5NDY1M18x",
"policy": [
{
"Rules": [
{
"Resource": [
"index/books/books-index"
],
"Permission": [
"aoss:CreateIndex",
"aoss:DescribeIndex",
"aoss:ReadDocument",
"aoss:WriteDocument",
"aoss:UpdateDocument",
"aoss:DeleteDocument"
],
"ResourceType": "index"
}
],
"Principal": [
"arn:aws:iam::123456789012:role/TutorialRole"
]
}
],
"createdDate": 1669240394653,
"lastModifiedDate": 1669240394653
}
}
```
`TutorialRole`sekarang harus dapat mengindeks dan mencari dokumen dalam koleksi *buku*.
1. Untuk melakukan panggilan ke OpenSearch API, Anda memerlukan titik akhir koleksi. Kirim permintaan berikut untuk mengambil `collectionEndpoint` parameter:
```
aws opensearchserverless batch-get-collection --names books
```
**Sampel respon**
```
{
"collectionDetails": [
{
"id": "8kw362bpwg4gx9b2f6e0",
"name": "books",
"status": "ACTIVE",
"type": "SEARCH",
"description": "",
"arn": "arn:aws:aoss:us-east-1:123456789012:collection/8kw362bpwg4gx9b2f6e0",
"createdDate": 1665765327107,
"collectionEndpoint": "https://8kw362bpwg4gx9b2f6e0.us-east-1.aoss.amazonaws.com",
"dashboardEndpoint": "https://8kw362bpwg4gx9b2f6e0.us-east-1.aoss.amazonaws.com/_dashboards"
}
],
"collectionErrorDetails": []
}
```
**catatan**
Anda tidak akan dapat melihat titik akhir koleksi hingga status koleksi berubah menjadi`ACTIVE`. Anda mungkin harus melakukan beberapa panggilan untuk memeriksa status hingga koleksi berhasil dibuat.
1. Gunakan alat HTTP seperti [Postman](https://www.getpostman.com/) atau curl untuk mengindeks data ke dalam koleksi *buku*. Kita akan membuat indeks yang disebut *books-index* dan menambahkan satu dokumen.
Kirim permintaan berikut ke titik akhir koleksi yang Anda ambil di langkah sebelumnya, menggunakan kredensialnya. `TutorialRole`
```
PUT https://8kw362bpwg4gx9b2f6e0.us-east-1.aoss.amazonaws.com/books-index/_doc/1
{
"title": "The Shining",
"author": "Stephen King",
"year": 1977
}
```
**Sampel respon**
```
{
"_index" : "books-index",
"_id" : "1",
"_version" : 1,
"result" : "created",
"_shards" : {
"total" : 0,
"successful" : 0,
"failed" : 0
},
"_seq_no" : 0,
"_primary_term" : 0
}
```
1. Untuk mulai mencari data dalam koleksi Anda, gunakan [API pencarian](https://opensearch.org/docs/latest/opensearch/rest-api/search/). Kueri berikut melakukan pencarian dasar:
```
GET https://8kw362bpwg4gx9b2f6e0.us-east-1.aoss.amazonaws.com/books-index/_search
```
**Sampel respon**
```
{
"took": 405,
"timed_out": false,
"_shards": {
"total": 6,
"successful": 6,
"skipped": 0,
"failed": 0
},
"hits": {
"total": {
"value": 2,
"relation": "eq"
},
"max_score": 1.0,
"hits": [
{
"_index": "books-index:0::3xJq14MBUaOS0wL26UU9:0",
"_id": "F_bt4oMBLle5pYmm5q4T",
"_score": 1.0,
"_source": {
"title": "The Shining",
"author": "Stephen King",
"year": 1977
}
}
]
}
}
```
# Identity and Access Management untuk Amazon OpenSearch Serverless
AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diberi wewenang* (memiliki izin) untuk menggunakan sumber daya Tanpa Server. OpenSearch IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.
**Topics**
+ [
## Kebijakan berbasis identitas untuk Tanpa Server OpenSearch
](#security-iam-serverless-id-based-policies)
+ [
## Tindakan kebijakan untuk Tanpa OpenSearch Server
](#security-iam-serverless-id-based-policies-actions)
+ [
## Sumber daya kebijakan untuk Tanpa OpenSearch Server
](#security-iam-serverless-id-based-policies-resources)
+ [
## Kunci kondisi kebijakan untuk Amazon Tanpa OpenSearch Server
](#security_iam_serverless-conditionkeys)
+ [
## ABAC dengan Tanpa Server OpenSearch
](#security_iam_serverless-with-iam-tags)
+ [
## Menggunakan kredensil sementara dengan Tanpa Server OpenSearch
](#security_iam_serverless-tempcreds)
+ [
## Peran terkait layanan untuk Tanpa Server OpenSearch
](#security_iam_serverless-slr)
+ [
## Jenis-jenis kebijakan lain
](#security_iam_access-manage-other-policies)
+ [
## Contoh kebijakan berbasis identitas untuk Tanpa Server OpenSearch
](#security_iam_serverless_id-based-policy-examples)
+ [
# Dukungan Pusat Identitas IAM untuk Amazon Tanpa Server OpenSearch
](serverless-iam-identity-center.md)
## Kebijakan berbasis identitas untuk Tanpa Server OpenSearch
**Mendukung kebijakan berbasis identitas**: Ya
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang dapat Anda lampirkan ke sebuah identitas, seperti pengguna IAM, grup pengguna IAM, atau peran IAM. Kebijakan ini mengontrol jenis tindakan yang dapat dilakukan oleh pengguna dan peran, di sumber daya mana, dan berdasarkan kondisi seperti apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan terkelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan secara spesifik apakah tindakan dan sumber daya diizinkan atau ditolak, serta kondisi yang menjadi dasar dikabulkan atau ditolaknya tindakan tersebut. Untuk mempelajari semua elemen yang dapat Anda gunakan dalam kebijakan JSON, lihat [Referensi elemen kebijakan JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.
### Contoh kebijakan berbasis identitas untuk Tanpa Server OpenSearch
Untuk melihat contoh kebijakan berbasis identitas OpenSearch Tanpa Server, lihat. [Contoh kebijakan berbasis identitas untuk Tanpa Server OpenSearch](#security_iam_serverless_id-based-policy-examples)
## Tindakan kebijakan untuk Tanpa OpenSearch Server
**Mendukung tindakan kebijakan:** Ya
Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Tindakan kebijakan biasanya memiliki nama yang sama dengan operasi AWS API terkait. Ada beberapa pengecualian, misalnya *tindakan hanya izin* yang tidak memiliki operasi API yang cocok. Ada juga beberapa operasi yang memerlukan beberapa tindakan dalam suatu kebijakan. Tindakan tambahan ini disebut *tindakan dependen*.
Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.
Tindakan kebijakan di OpenSearch Tanpa Server menggunakan awalan berikut sebelum tindakan:
```
aoss
```
Untuk menetapkan secara spesifik beberapa tindakan dalam satu pernyataan, pisahkan tindakan tersebut dengan koma.
```
"Action": [
"aoss:action1",
"aoss:action2"
]
```
Anda dapat menentukan beberapa tindakan menggunakan karakter wildcard (\$1). Sebagai contoh, untuk menentukan semua tindakan yang dimulai dengan kata `Describe`, sertakan tindakan berikut:
```
"Action": "aoss:List*"
```
Untuk melihat contoh kebijakan berbasis identitas OpenSearch Tanpa Server, lihat. [Contoh kebijakan berbasis identitas untuk Tanpa Server OpenSearch](#security_iam_id-based-policy-examples)
## Sumber daya kebijakan untuk Tanpa OpenSearch Server
**Mendukung sumber daya kebijakan:** Ya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
```
"Resource": "*"
```
## Kunci kondisi kebijakan untuk Amazon Tanpa OpenSearch Server
**Mendukung kunci kondisi kebijakan khusus layanan:** Yes
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.
Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
Selain kontrol akses berbasis atribut (ABAC), OpenSearch Tanpa Server mendukung kunci kondisi berikut:
+ `aoss:collection`
+ `aoss:CollectionId`
+ `aoss:index`
Anda dapat menggunakan kunci kondisi ini bahkan ketika memberikan izin untuk kebijakan akses dan kebijakan keamanan. Contoh:
```
[
{
"Effect":"Allow",
"Action":[
"aoss:CreateAccessPolicy",
"aoss:CreateSecurityPolicy"
],
"Resource":"*",
"Condition":{
"StringLike":{
"aoss:collection":"log"
}
}
}
]
```
Dalam contoh ini, kondisi berlaku untuk kebijakan yang berisi *aturan* yang cocok dengan nama atau pola koleksi. Kondisi memiliki perilaku berikut:
+ `StringEquals`- Berlaku untuk kebijakan dengan aturan yang berisi string sumber daya *yang tepat* “log” (yaitu`collection/log`).
+ `StringLike`- Berlaku untuk kebijakan dengan aturan yang berisi string sumber daya yang *menyertakan* string “log” (yaitu `collection/log` tetapi juga `collection/logs-application` atau`collection/applogs123`).
**catatan**
Kunci kondisi *koleksi* tidak berlaku di tingkat indeks. Misalnya, dalam kebijakan di atas, kondisi tidak akan berlaku untuk akses atau kebijakan keamanan yang berisi string sumber daya`index/logs-application/*`.
*Untuk melihat daftar kunci kondisi OpenSearch Tanpa Server, lihat Kunci kondisi untuk [Amazon OpenSearch Tanpa Server](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchserverless.html#amazonopensearchserverless-policy-keys) di Referensi Otorisasi Layanan.* Untuk mempelajari tindakan dan sumber daya yang dapat Anda gunakan kunci kondisi, lihat [Tindakan yang ditentukan oleh Amazon Tanpa OpenSearch Server](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchserverless.html#amazonopensearchserverless-actions-as-permissions).
## ABAC dengan Tanpa Server OpenSearch
**Mendukung ABAC (tanda dalam kebijakan):** Ya
Kontrol akses berbasis atribut (ABAC) adalah strategi otorisasi yang menentukan izin berdasarkan atribut tanda. Anda dapat melampirkan tag ke entitas dan AWS sumber daya IAM, lalu merancang kebijakan ABAC untuk mengizinkan operasi saat tag prinsipal cocok dengan tag pada sumber daya.
Untuk mengendalikan akses berdasarkan tanda, berikan informasi tentang tanda di [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dari kebijakan menggunakan kunci kondisi `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`.
Jika sebuah layanan mendukung ketiga kunci kondisi untuk setiap jenis sumber daya, nilainya adalah **Ya** untuk layanan tersebut. Jika suatu layanan mendukung ketiga kunci kondisi untuk hanya beberapa jenis sumber daya, nilainya adalah **Parsial**.
Untuk informasi selengkapnya tentang ABAC, lihat [Tentukan izin dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dalam *Panduan Pengguna IAM.* Untuk melihat tutorial yang menguraikan langkah-langkah pengaturan ABAC, lihat [Menggunakan kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dalam *Panduan Pengguna IAM*.
Untuk informasi selengkapnya tentang menandai sumber daya OpenSearch Tanpa Server, lihat. [Menandai koleksi Amazon Tanpa OpenSearch Server](tag-collection.md)
## Menggunakan kredensil sementara dengan Tanpa Server OpenSearch
**Mendukung kredensial sementara:** Ya
Kredensi sementara menyediakan akses jangka pendek ke AWS sumber daya dan secara otomatis dibuat saat Anda menggunakan federasi atau beralih peran. AWS merekomendasikan agar Anda secara dinamis menghasilkan kredensi sementara alih-alih menggunakan kunci akses jangka panjang. Untuk informasi selengkapnya, lihat [Kredensial keamanan sementara di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) dan [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dalam *Panduan Pengguna IAM*.
## Peran terkait layanan untuk Tanpa Server OpenSearch
**Mendukung peran terkait layanan**: Ya
Peran terkait layanan adalah jenis peran layanan yang ditautkan ke. Layanan AWS Layanan tersebut dapat menjalankan peran untuk melakukan tindakan atas nama Anda. Peran terkait layanan muncul di Anda Akun AWS dan dimiliki oleh layanan. Administrator IAM dapat melihat, tetapi tidak dapat mengedit izin untuk peran terkait layanan.
Untuk detail tentang membuat dan mengelola peran terkait layanan OpenSearch Tanpa Server, lihat. [Menggunakan peran terkait layanan untuk membuat OpenSearch koleksi Tanpa Server](serverless-service-linked-roles.md)
## Jenis-jenis kebijakan lain
AWS mendukung jenis kebijakan tambahan yang kurang umum. Jenis-jenis kebijakan ini dapat mengatur izin maksimum yang diberikan kepada Anda oleh jenis kebijakan yang lebih umum.
+ **Kebijakan kontrol layanan (SCPs)** — SCPs adalah kebijakan JSON yang menentukan izin maksimum untuk organisasi atau unit organisasi (OU) di. AWS Organizations AWS Organizations adalah layanan untuk mengelompokkan dan mengelola beberapa AWS akun secara terpusat yang dimiliki bisnis Anda. Jika Anda mengaktifkan semua fitur dalam organisasi, Anda dapat menerapkan kebijakan kontrol layanan (SCPs) ke salah satu atau semua akun Anda. SCP membatasi izin untuk entitas di akun anggota, termasuk setiap pengguna root AWS akun. Untuk informasi selengkapnya tentang Organizations dan SCPs, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan kontrol sumber daya (RCPs)** — RCPs adalah kebijakan JSON yang dapat Anda gunakan untuk menetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda tanpa memperbarui kebijakan IAM yang dilampirkan ke setiap sumber daya yang Anda miliki. RCP membatasi izin untuk sumber daya di akun anggota dan dapat memengaruhi izin identitas yang efektif, termasuk pengguna root AWS akun, terlepas dari apakah mereka milik organisasi Anda. Untuk informasi selengkapnya tentang Organizations dan RCPs, termasuk daftar AWS layanan yang mendukung RCPs, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.
## Contoh kebijakan berbasis identitas untuk Tanpa Server OpenSearch
Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau memodifikasi sumber daya OpenSearch Tanpa Server. Untuk memberikan izin kepada pengguna untuk melakukan tindakan di sumber daya yang mereka perlukan, administrator IAM dapat membuat kebijakan IAM.
*Untuk mempelajari cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan IAM (konsol) di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html).*
*Untuk detail tentang tindakan dan jenis sumber daya yang ditentukan oleh Amazon OpenSearch Tanpa Server, termasuk format ARNs untuk setiap jenis sumber daya, lihat [Kunci tindakan, sumber daya, dan kondisi untuk Amazon OpenSearch Tanpa Server](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchserverless.html) di Referensi Otorisasi Layanan.*
**Topics**
+ [
### Praktik terbaik kebijakan
](#security_iam_serverless-policy-best-practices)
+ [
### Menggunakan OpenSearch Tanpa Server di konsol
](#security_iam_serverless_id-based-policy-examples-console)
+ [
### Mengelola koleksi OpenSearch Tanpa Server
](#security_iam_id-based-policy-examples-collection-admin)
+ [
### Melihat OpenSearch koleksi Tanpa Server
](#security_iam_id-based-policy-examples-view-collections)
+ [
### Menggunakan operasi OpenSearch API
](#security_iam_id-based-policy-examples-data-plane)
+ [
### ABAC untuk operasi OpenSearch API
](#security_iam_id-based-policy-examples-data-plane-abac)
### Praktik terbaik kebijakan
Kebijakan berbasis identitas adalah pilihan yang sangat tepat. Mereka menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya OpenSearch Tanpa Server di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya OpenSearch Tanpa Server di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin** kepada pengguna dan beban kerja Anda, gunakan *kebijakan AWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti CloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.
Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.
### Menggunakan OpenSearch Tanpa Server di konsol
Untuk mengakses OpenSearch Tanpa Server dalam konsol OpenSearch Layanan, Anda harus memiliki set izin minimum. Izin ini harus memungkinkan Anda untuk membuat daftar dan melihat detail tentang sumber daya OpenSearch Tanpa Server di akun Anda. AWS Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana dimaksud untuk entitas (seperti peran IAM) dengan kebijakan tersebut.
Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau AWS API. Sebagai alternatif, hanya izinkan akses ke tindakan yang cocok dengan operasi API yang sedang Anda coba lakukan.
Kebijakan berikut memungkinkan pengguna mengakses OpenSearch Tanpa Server dalam konsol OpenSearch Layanan:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Resource": "*",
"Effect": "Allow",
"Action": [
"aoss:ListCollections",
"aoss:BatchGetCollection",
"aoss:ListAccessPolicies",
"aoss:ListSecurityConfigs",
"aoss:ListSecurityPolicies",
"aoss:ListTagsForResource",
"aoss:ListVpcEndpoints",
"aoss:GetAccessPolicy",
"aoss:GetAccountSettings",
"aoss:GetSecurityConfig",
"aoss:GetSecurityPolicy"
]
}
]
}
```
------
### Mengelola koleksi OpenSearch Tanpa Server
Kebijakan ini adalah contoh kebijakan “admin koleksi” yang memungkinkan pengguna mengelola dan mengelola koleksi Amazon Tanpa OpenSearch Server. Pengguna dapat membuat, melihat, dan menghapus koleksi.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Resource": "arn:aws:aoss:us-east-1:111122223333:collection/*",
"Action": [
"aoss:CreateCollection",
"aoss:DeleteCollection",
"aoss:UpdateCollection"
],
"Effect": "Allow"
},
{
"Resource": "*",
"Action": [
"aoss:BatchGetCollection",
"aoss:ListCollections",
"aoss:CreateAccessPolicy",
"aoss:CreateSecurityPolicy"
],
"Effect": "Allow"
}
]
}
```
------
### Melihat OpenSearch koleksi Tanpa Server
Kebijakan contoh ini memungkinkan pengguna untuk melihat detail untuk semua koleksi Amazon OpenSearch Tanpa Server di akun mereka. Pengguna tidak dapat mengubah koleksi atau kebijakan keamanan terkait.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Resource": "*",
"Action": [
"aoss:ListAccessPolicies",
"aoss:ListCollections",
"aoss:ListSecurityPolicies",
"aoss:ListTagsForResource",
"aoss:BatchGetCollection"
],
"Effect": "Allow"
}
]
}
```
------
### Menggunakan operasi OpenSearch API
Operasi API bidang data terdiri dari fungsi yang Anda gunakan di OpenSearch Tanpa Server untuk mendapatkan nilai realtime dari layanan. Operasi API bidang kontrol terdiri dari fungsi yang Anda gunakan untuk mengatur lingkungan.
Untuk mengakses bidang data Amazon OpenSearch Tanpa Server APIs dan OpenSearch Dasbor dari browser, Anda perlu menambahkan dua izin IAM untuk sumber daya pengumpulan. Izin ini adalah `aoss:APIAccessAll` dan`aoss:DashboardsAccessAll`.
**catatan**
Mulai 10 Mei 2023, OpenSearch Tanpa Server memerlukan dua izin IAM baru ini untuk sumber daya pengumpulan. `aoss:APIAccessAll`Izin memungkinkan akses pesawat data, dan `aoss:DashboardsAccessAll` izin memungkinkan OpenSearch Dasbor dari browser. Kegagalan untuk menambahkan dua izin IAM baru menghasilkan kesalahan 403.
Kebijakan contoh ini memungkinkan pengguna mengakses bidang data APIs untuk koleksi tertentu di akun mereka, dan mengakses OpenSearch Dasbor untuk semua koleksi di akun mereka.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aoss:APIAccessAll",
"Resource": "arn:aws:aoss:us-east-1:111122223333:collection/collection-id"
},
{
"Effect": "Allow",
"Action": "aoss:DashboardsAccessAll",
"Resource": "arn:aws:aoss:us-east-1:111122223333:dashboards/default"
}
]
}
```
------
Keduanya `aoss:APIAccessAll` dan `aoss:DashboardsAccessAll` memberikan izin IAM penuh ke sumber daya pengumpulan, sementara izin Dasbor juga menyediakan akses OpenSearch Dasbor. Setiap izin bekerja secara independen, jadi penolakan eksplisit `aoss:APIAccessAll` tidak memblokir `aoss:DashboardsAccessAll` akses ke sumber daya, termasuk Alat Pengembang. Hal yang sama berlaku untuk penyangkalan`aoss:DashboardsAccessAll`. OpenSearch Tanpa server mendukung kunci kondisi global berikut:
+ `aws:CalledVia`
+ `aws:CalledViaAWSService`
+ `aws:CalledViaFirst`
+ `aws:CalledViaLast`
+ `aws:CurrentTime`
+ `aws:EpochTime`
+ `aws:PrincipalAccount`
+ `aws:PrincipalArn`
+ `aws:PrincipallsAWSService`
+ `aws:PrincipalOrgID`
+ `aws:PrincipalOrgPaths`
+ `aws:PrincipalType`
+ `aws:PrincipalServiceName`
+ `aws:PrincipalServiceNamesList`
+ `aws:ResourceAccount`
+ `aws:ResourceOrgID`
+ `aws:ResourceOrgPaths`
+ `aws:RequestedRegion`
+ `aws:ResourceTag`
+ `aws:SourceIp`
+ `aws:SourceVpce`
+ `aws:SourceVpc`
+ `aws:userid`
+ `aws:username`
+ `aws:VpcSourceIp`
Berikut ini adalah contoh penggunaan blok kondisi `aws:SourceIp` dalam kebijakan IAM prinsipal Anda untuk panggilan pesawat data:
```
"Condition": {
"IpAddress": {
"aws:SourceIp": "203.0.113.0"
}
}
```
Berikut ini adalah contoh penggunaan blok kondisi `aws:SourceVpc` dalam kebijakan IAM prinsipal Anda untuk panggilan pesawat data:
```
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-0fdd2445d8EXAMPLE"
}
}
```
Selain itu, dukungan ditawarkan untuk kunci spesifik Tanpa OpenSearch Server berikut:
+ `aoss:CollectionId`
+ `aoss:collection`
Berikut ini adalah contoh penggunaan blok kondisi `aoss:collection` dalam kebijakan IAM prinsipal Anda untuk panggilan pesawat data:
```
"Condition": {
"StringLike": {
"aoss:collection": "log-*"
}
}
```
### ABAC untuk operasi OpenSearch API
Kebijakan berbasis identitas memungkinkan Anda menggunakan tag untuk mengontrol akses ke bidang data Amazon Tanpa OpenSearch Server. APIs Kebijakan berikut adalah contoh untuk mengizinkan prinsipal terlampir mengakses bidang data APIs jika koleksi memiliki tag: `team:devops`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aoss:APIAccessAll",
"Resource": "arn:aws:aoss:us-east-1:111122223333:collection/collection-id",
"Condition": {
"StringEquals": {
"aws:ResourceTag/team": "devops"
}
}
}
]
}
```
------
Kebijakan berikut adalah contoh untuk menolak prinsipal terlampir untuk mengakses bidang data APIs dan akses Dasbor jika koleksi memiliki tag: `environment:production`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"aoss:APIAccessAll",
"aoss:DashboardsAccessAll"
],
"Resource": "arn:aws:aoss:us-east-1:111122223333:collection/collection-id"
}
]
}
```
------
Amazon OpenSearch Serverless tidak mendukung `RequestTag` dan kunci kondisi `TagKeys` global untuk bidang data. APIs
# Dukungan Pusat Identitas IAM untuk Amazon Tanpa Server OpenSearch
## Dukungan Pusat Identitas IAM untuk Amazon Tanpa Server OpenSearch
Anda dapat menggunakan prinsipal Pusat Identitas IAM (pengguna dan grup) untuk mengakses data Amazon OpenSearch Tanpa Server melalui Aplikasi Amazon. OpenSearch Untuk mengaktifkan dukungan Pusat Identitas IAM untuk Amazon OpenSearch Tanpa Server, Anda harus mengaktifkan penggunaan Pusat Identitas IAM. Untuk mempelajari lebih lanjut tentang cara melakukannya, lihat [Apa itu Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)?
**catatan**
Untuk mengakses koleksi Amazon OpenSearch Tanpa Server menggunakan pengguna atau grup Pusat Identitas IAM, Anda harus menggunakan fitur OpenSearch UI (Aplikasi). Akses langsung ke Dasbor OpenSearch Tanpa Server menggunakan kredenal Pusat Identitas IAM tidak didukung. Untuk informasi selengkapnya, lihat [Memulai dengan antarmuka OpenSearch pengguna](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/application.html).
Setelah instans Pusat Identitas IAM dibuat, administrator akun pelanggan perlu membuat aplikasi Pusat Identitas IAM untuk layanan Amazon Tanpa OpenSearch Server. Ini dapat dilakukan dengan menghubungi [CreateSecurityConfig:](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateSecurityConfig.html). Administrator akun pelanggan dapat menentukan atribut apa yang akan digunakan untuk mengotorisasi permintaan. Atribut default yang digunakan adalah `UserId` dan `GroupId.`
Integrasi Pusat Identitas IAM untuk Amazon OpenSearch Tanpa Server menggunakan izin IAM Identity Center ( AWS IAM) berikut:
+ `aoss:CreateSecurityConfig`— Buat penyedia Pusat Identitas IAM
+ `aoss:ListSecurityConfig`— Daftar semua penyedia Pusat Identitas IAM di akun saat ini.
+ `aoss:GetSecurityConfig`— Lihat informasi penyedia Pusat Identitas IAM.
+ `aoss:UpdateSecurityConfig`— Ubah konfigurasi Pusat Identitas IAM yang diberikan
+ `aoss:DeleteSecurityConfig`— Hapus penyedia Pusat Identitas IAM.
Kebijakan akses berbasis identitas berikut dapat digunakan untuk mengelola semua konfigurasi Pusat Identitas IAM:
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"aoss:CreateSecurityConfig",
"aoss:DeleteSecurityConfig",
"aoss:GetSecurityConfig",
"aoss:UpdateSecurityConfig",
"aoss:ListSecurityConfigs"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
**catatan**
`Resource`Elemen harus menjadi wildcard.
## Membuat penyedia Pusat Identitas IAM (konsol)
Anda dapat membuat penyedia Pusat Identitas IAM untuk mengaktifkan otentikasi dengan OpenSearch Aplikasi. Untuk mengaktifkan autentikasi IAM Identity Center untuk OpenSearch Dasbor, lakukan langkah-langkah berikut:
1. Masuk ke [konsol OpenSearch Layanan Amazon](https://console.aws.amazon.com/aos/home.).
1. **Di panel navigasi kiri, perluas **Tanpa Server** dan pilih Otentikasi.**
1. Pilih **autentikasi Pusat Identitas IAM**.
1. Pilih **Edit**
1. Centang kotak di sebelah Autentikasi dengan Pusat Identitas IAM.
1. Pilih kunci atribut **pengguna dan grup** dari menu dropdown. Atribut pengguna akan digunakan untuk mengotorisasi pengguna berdasarkan`UserName`,`UserId`, dan`Email`. Atribut grup akan digunakan untuk mengautentikasi pengguna berdasarkan `GroupName` dan`GroupId`.
1. Pilih instance **IAM Identity Center**.
1. Pilih **Simpan**
## Membuat penyedia Pusat Identitas IAM ()AWS CLI
Untuk membuat penyedia Pusat Identitas IAM menggunakan AWS Command Line Interface (AWS CLI) gunakan perintah berikut:
```
aws opensearchserverless create-security-config \
--region us-east-2 \
--name "iamidentitycenter-config" \
--description "description" \
--type "iamidentitycenter" \
--iam-identity-center-options '{
"instanceArn": "arn:aws:sso:::instance/ssoins-99199c99e99ee999",
"userAttribute": "UserName",
"groupAttribute": "GroupId"
}'
```
Setelah Pusat Identitas IAM diaktifkan, pelanggan hanya dapat memodifikasi atribut **pengguna dan grup**.
```
aws opensearchserverless update-security-config \
--region us-east-1 \
--id \
--config-version \
--iam-identity-center-options-updates '{
"userAttribute": "UserId",
"groupAttribute": "GroupId"
}'
```
Untuk melihat penyedia Pusat Identitas IAM menggunakan AWS Command Line Interface, gunakan perintah berikut:
```
aws opensearchserverless list-security-configs --type iamidentitycenter
```
## Menghapus penyedia Pusat Identitas IAM
IAM Identity Center menawarkan dua contoh penyedia, satu untuk akun organisasi Anda dan satu untuk akun anggota Anda. Jika Anda perlu mengubah instance IAM Identity Center, Anda perlu menghapus konfigurasi keamanan Anda melalui `DeleteSecurityConfig` API dan membuat konfigurasi keamanan baru menggunakan instance IAM Identity Center yang baru. Perintah berikut dapat digunakan untuk menghapus penyedia Pusat Identitas IAM:
```
aws opensearchserverless delete-security-config \
--region us-east-1 \
--id
```
## Memberikan akses Pusat Identitas IAM ke pengumpulan data
Setelah penyedia Pusat Identitas IAM diaktifkan, Anda dapat memperbarui kebijakan akses data pengumpulan untuk menyertakan prinsip-prinsip Pusat Identitas IAM. Prinsipal IAM Identity Center perlu diperbarui dalam format berikut:
```
[
{
"Rules":[
...
],
"Principal":[
"iamidentitycenter//user/",
"iamidentitycenter//group/"
]
}
]
```
**catatan**
Amazon OpenSearch Serverless hanya mendukung satu instans Pusat Identitas IAM untuk semua koleksi pelanggan dan dapat mendukung hingga 100 grup untuk satu pengguna. Jika Anda mencoba menggunakan lebih dari jumlah instans yang diizinkan, Anda akan mengalami ketidakkonsistenan dengan pemrosesan otorisasi kebijakan akses data Anda dan menerima pesan `403` kesalahan.
Anda dapat memberikan akses ke koleksi, indeks, atau keduanya. Jika Anda ingin pengguna yang berbeda memiliki izin yang berbeda, Anda harus membuat beberapa aturan. Untuk daftar izin yang tersedia, lihat [Identity and Access Management di Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html). Untuk informasi tentang cara memformat kebijakan akses, lihat [Memberikan identitas SALL akses ke](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-saml.html#serverless-saml-policies) data pengumpulan.
# Enkripsi di Amazon Tanpa OpenSearch Server
## Enkripsi saat diam
Setiap koleksi Amazon OpenSearch Tanpa Server yang Anda buat dilindungi dengan enkripsi data saat istirahat, fitur keamanan yang membantu mencegah akses tidak sah ke data Anda. Enkripsi saat istirahat menggunakan AWS Key Management Service (AWS KMS) untuk menyimpan dan mengelola kunci enkripsi Anda. Ini menggunakan algoritma Advanced Encryption Standard dengan kunci 256-bit (AES-256) untuk melakukan enkripsi.
**Topics**
+ [
### Kebijakan enkripsi
](#serverless-encryption-policies)
+ [
### Pertimbangan-pertimbangan
](#serverless-encryption-considerations)
+ [
### Izin diperlukan
](#serverless-encryption-permissions)
+ [
### Kebijakan kunci untuk kunci yang dikelola pelanggan
](#serverless-customer-cmk-policy)
+ [
### Bagaimana OpenSearch Tanpa Server menggunakan hibah di AWS KMS
](#serverless-encryption-grants)
+ [
### Membuat kebijakan enkripsi (konsol)
](#serverless-encryption-console)
+ [
### Membuat kebijakan enkripsi (AWS CLI)
](#serverless-encryption-cli)
+ [
### Melihat kebijakan enkripsi
](#serverless-encryption-list)
+ [
### Memperbarui kebijakan enkripsi
](#serverless-encryption-update)
+ [
### Menghapus kebijakan enkripsi
](#serverless-encryption-delete)
### Kebijakan enkripsi
Dengan kebijakan enkripsi, Anda dapat mengelola banyak koleksi dalam skala besar dengan secara otomatis menetapkan kunci enkripsi ke koleksi yang baru dibuat yang cocok dengan nama atau pola tertentu.
Saat membuat kebijakan enkripsi, Anda dapat menentukan *awalan*, yang merupakan aturan pencocokan berbasis wildcard seperti`MyCollection*`, atau memasukkan satu nama koleksi. Kemudian, saat Anda membuat koleksi yang cocok dengan nama atau pola awalan tersebut, kebijakan dan kunci KMS terkait secara otomatis ditetapkan padanya.
Saat membuat koleksi, Anda dapat menentukan AWS KMS kunci dalam dua cara: melalui kebijakan keamanan atau langsung dalam `CreateCollection` permintaan. Jika Anda memberikan AWS KMS kunci sebagai bagian dari `CreateCollection` permintaan, itu lebih diutamakan daripada kebijakan keamanan yang cocok. Dengan pendekatan ini, Anda memiliki fleksibilitas untuk mengganti pengaturan enkripsi berbasis kebijakan untuk koleksi tertentu bila diperlukan.
![\[Encryption policy creation process with rules and collection matching to KMS key.\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/images/serverless-encryption.png)
Kebijakan enkripsi berisi elemen-elemen berikut:
+ `Rules`— satu atau lebih aturan pencocokan koleksi, masing-masing dengan sub-elemen berikut:
+ `ResourceType`— Saat ini satu-satunya pilihan adalah “koleksi”. Kebijakan enkripsi hanya berlaku untuk sumber daya pengumpulan.
+ `Resource`— Satu atau lebih nama koleksi atau pola yang akan diterapkan kebijakan, dalam format`collection/`.
+ `AWSOwnedKey`— Apakah akan menggunakan Kunci milik AWS.
+ `KmsARN`— Jika Anda menyetel `AWSOwnedKey` ke false, tentukan Nama Sumber Daya Amazon (ARN) dari kunci KMS untuk mengenkripsi koleksi terkait. Jika Anda menyertakan parameter ini, OpenSearch Serverless mengabaikan parameter. `AWSOwnedKey`
Kebijakan sampel berikut akan menetapkan kunci yang dikelola pelanggan untuk koleksi masa depan yang dinamai`autopartsinventory`, serta koleksi yang dimulai dengan istilah “penjualan”:
```
{
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/autopartsinventory",
"collection/sales*"
]
}
],
"AWSOwnedKey":false,
"KmsARN":"arn:aws:kms:us-east-1:123456789012:key/93fd6da4-a317-4c17-bfe9-382b5d988b36"
}
```
Meskipun kebijakan cocok dengan nama koleksi, Anda dapat memilih untuk mengganti penetapan otomatis ini selama pembuatan koleksi jika pola sumber daya berisi wildcard (\$1). Jika Anda memilih untuk mengganti penetapan kunci otomatis, OpenSearch Tanpa Server akan membuat kebijakan enkripsi untuk Anda bernama **auto-< *collection-name* >** dan melampirkannya ke koleksi. Kebijakan awalnya hanya berlaku untuk satu koleksi, tetapi Anda dapat memodifikasinya untuk menyertakan koleksi tambahan.
Jika Anda mengubah aturan kebijakan agar tidak lagi cocok dengan koleksi, kunci KMS terkait tidak akan dibatalkan dari koleksi tersebut. Koleksi selalu tetap dienkripsi dengan kunci enkripsi awalnya. Jika Anda ingin mengubah kunci enkripsi untuk koleksi, Anda harus membuat ulang koleksi.
Jika aturan dari beberapa kebijakan cocok dengan koleksi, aturan yang lebih spesifik akan digunakan. Misalnya, jika satu kebijakan berisi aturan untuk`collection/log*`, dan yang lain untuk`collection/logSpecial`, kunci enkripsi untuk kebijakan kedua digunakan karena lebih spesifik.
Anda tidak dapat menggunakan nama atau awalan dalam kebijakan jika sudah ada di kebijakan lain. OpenSearch Tanpa server menampilkan kesalahan jika Anda mencoba mengonfigurasi pola sumber daya yang identik dalam kebijakan enkripsi yang berbeda.
### Pertimbangan-pertimbangan
Pertimbangkan hal berikut saat Anda mengonfigurasi enkripsi untuk koleksi Anda:
+ Enkripsi saat istirahat *diperlukan* untuk semua koleksi tanpa server.
+ Anda memiliki opsi untuk menggunakan kunci yang dikelola pelanggan atau Kunci milik AWS. Jika Anda memilih kunci yang dikelola pelanggan, kami sarankan Anda mengaktifkan [rotasi kunci otomatis](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html).
+ Anda tidak dapat mengubah kunci enkripsi untuk koleksi setelah koleksi dibuat. Hati-hati AWS KMS memilih mana yang akan digunakan saat pertama kali Anda menyiapkan koleksi.
+ Koleksi hanya dapat mencocokkan satu kebijakan enkripsi.
+ Koleksi dengan kunci KMS unik tidak dapat berbagi OpenSearch Compute Units (OCUs) dengan koleksi lain. Setiap koleksi dengan kunci unik membutuhkan 4 OCUs.
+ Jika Anda memperbarui kunci KMS dalam kebijakan enkripsi, perubahan tersebut tidak memengaruhi koleksi pencocokan yang ada dengan kunci KMS yang telah ditetapkan.
+ OpenSearch Tanpa server tidak secara eksplisit memeriksa izin pengguna pada kunci yang dikelola pelanggan. Jika pengguna memiliki izin untuk mengakses koleksi melalui kebijakan akses data, mereka akan dapat menelan dan menanyakan data yang dienkripsi dengan kunci terkait.
### Izin diperlukan
Enkripsi saat istirahat untuk OpenSearch Tanpa Server menggunakan izin AWS Identity and Access Management (IAM) berikut. Anda dapat menentukan kondisi IAM untuk membatasi pengguna ke koleksi tertentu.
+ `aoss:CreateSecurityPolicy`— Buat kebijakan enkripsi.
+ `aoss:ListSecurityPolicies`— Buat daftar semua kebijakan enkripsi dan koleksi yang dilampirkan.
+ `aoss:GetSecurityPolicy`— Lihat detail kebijakan enkripsi tertentu.
+ `aoss:UpdateSecurityPolicy`— Memodifikasi kebijakan enkripsi.
+ `aoss:DeleteSecurityPolicy`— Hapus kebijakan enkripsi.
Contoh kebijakan akses berbasis identitas berikut memberikan izin minimum yang diperlukan bagi pengguna untuk mengelola kebijakan enkripsi dengan pola sumber daya. `collection/application-logs`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"aoss:CreateSecurityPolicy",
"aoss:UpdateSecurityPolicy",
"aoss:DeleteSecurityPolicy",
"aoss:GetSecurityPolicy"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"aoss:collection":"application-logs"
}
}
},
{
"Effect":"Allow",
"Action":[
"aoss:ListSecurityPolicies"
],
"Resource":"*"
}
]
}
```
------
### Kebijakan kunci untuk kunci yang dikelola pelanggan
Jika Anda memilih [kunci yang dikelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) untuk melindungi koleksi, OpenSearch Tanpa Server mendapat izin untuk menggunakan kunci KMS atas nama kepala sekolah yang membuat pilihan. Prinsipal itu, pengguna atau peran, harus memiliki izin pada kunci KMS yang diperlukan Tanpa OpenSearch Server. Anda dapat memberikan izin ini dalam [kebijakan utama atau kebijakan](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) [IAM](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html).
OpenSearch Pembuatan tanpa server `GenerateDataKey` dan panggilan API `Decrypt` KMS selama operasi pemeliharaan seperti penskalaan otomatis dan pembaruan perangkat lunak. Anda dapat mengamati panggilan ini di luar pola lalu lintas khas Anda. Panggilan ini adalah bagian dari operasi layanan normal dan tidak menunjukkan lalu lintas pengguna aktif.
OpenSearch Tanpa server melempar `KMSKeyInaccessibleException` ketika tidak dapat mengakses kunci KMS yang mengenkripsi data Anda saat istirahat. Ini terjadi ketika Anda menonaktifkan atau menghapus kunci KMS, atau mencabut hibah yang memungkinkan Tanpa OpenSearch Server untuk menggunakan kunci.
Minimal, OpenSearch Tanpa Server memerlukan izin berikut pada kunci yang dikelola pelanggan:
+ [km: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)
+ [km: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)
Contoh:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "kms:DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Dale"
},
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "aoss.us-east-1.amazonaws.com"
}
}
},
{
"Action": "kms:CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Dale"
},
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "aoss.us-east-1.amazonaws.com"
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"GenerateDataKey"
]
},
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
}
]
}
```
------
OpenSearch [Tanpa server membuat hibah dengan izin [kms: GenerateDataKey dan kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html).](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
Untuk informasi selengkapnya, lihat [Menggunakan kebijakan kunci di AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) dalam *Panduan Developer AWS Key Management Service *.
### Bagaimana OpenSearch Tanpa Server menggunakan hibah di AWS KMS
OpenSearch Tanpa server memerlukan [hibah](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) untuk menggunakan kunci yang dikelola pelanggan.
Saat Anda membuat kebijakan enkripsi di akun Anda dengan kunci baru, OpenSearch Tanpa Server membuat hibah atas nama Anda dengan mengirimkan [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)permintaan ke. AWS KMS Hibah AWS KMS digunakan untuk memberikan akses OpenSearch Tanpa Server ke kunci KMS di akun pelanggan.
OpenSearch Tanpa server memerlukan hibah untuk menggunakan kunci yang dikelola pelanggan Anda untuk operasi internal berikut:
+ Kirim [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)permintaan AWS KMS untuk memverifikasi bahwa ID kunci terkelola pelanggan simetris yang diberikan valid.
+ Kirim [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)permintaan ke kunci KMS untuk membuat kunci data yang dapat digunakan untuk mengenkripsi objek.
+ Kirim permintaan [Dekripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) ke AWS KMS untuk mendekripsi kunci data terenkripsi sehingga mereka dapat digunakan untuk mengenkripsi data Anda.
Anda dapat mencabut akses ke hibah, atau menghapus akses layanan ke kunci yang dikelola pelanggan kapan saja. Jika Anda melakukannya, OpenSearch Tanpa Server tidak akan dapat mengakses data apa pun yang dienkripsi oleh kunci yang dikelola pelanggan, yang memengaruhi semua operasi yang bergantung pada data tersebut, yang menyebabkan `AccessDeniedException` kesalahan dan kegagalan dalam alur kerja asinkron.
OpenSearch Tanpa server menghentikan hibah dalam alur kerja asinkron ketika kunci terkelola pelanggan tertentu tidak terkait dengan kebijakan atau koleksi keamanan apa pun.
### Membuat kebijakan enkripsi (konsol)
Dalam kebijakan enkripsi, Anda menentukan kunci KMS dan serangkaian pola pengumpulan yang akan diterapkan kebijakan tersebut. Setiap koleksi baru yang cocok dengan salah satu pola yang ditentukan dalam kebijakan akan diberikan kunci KMS terkait saat Anda membuat koleksi. Kami menyarankan Anda membuat kebijakan enkripsi *sebelum* Anda mulai membuat koleksi.
**Untuk membuat kebijakan OpenSearch enkripsi Tanpa Server**
1. Buka konsol OpenSearch Layanan Amazon di [https://console.aws.amazon.com/aos/rumah](https://console.aws.amazon.com/aos/home).
1. Di panel navigasi kiri, perluas **Tanpa Server** dan pilih Kebijakan **enkripsi**.
1. Pilih **Buat kebijakan enkripsi**.
1. Berikan nama dan deskripsi untuk kebijakan tersebut.
1. Di bawah **Sumber Daya**, masukkan satu atau beberapa pola sumber daya untuk kebijakan enkripsi ini. Setiap koleksi yang baru dibuat di saat ini Akun AWS dan Wilayah yang cocok dengan salah satu pola secara otomatis ditetapkan ke kebijakan ini. Misalnya, jika Anda memasukkan `ApplicationLogs` (tanpa wildcard), dan kemudian membuat koleksi dengan nama itu, kebijakan dan kunci KMS terkait ditetapkan ke koleksi tersebut.
Anda juga dapat memberikan awalan seperti`Logs*`, yang menetapkan kebijakan ke koleksi baru dengan nama yang diawali. `Logs` Dengan menggunakan wildcard, Anda dapat mengelola pengaturan enkripsi untuk beberapa koleksi dalam skala besar.
1. Di bawah **Enkripsi**, pilih kunci KMS untuk digunakan.
1. Pilih **Buat**.
#### Langkah selanjutnya: Buat koleksi
Setelah mengonfigurasi satu atau beberapa kebijakan enkripsi, Anda dapat mulai membuat koleksi yang sesuai dengan aturan yang ditentukan dalam kebijakan tersebut. Untuk petunjuk, lihat [Membuat koleksi](serverless-create.md).
Pada langkah **Enkripsi** pembuatan koleksi, OpenSearch Tanpa Server memberi tahu Anda bahwa nama yang Anda masukkan cocok dengan pola yang ditentukan dalam kebijakan enkripsi, dan secara otomatis menetapkan kunci KMS yang sesuai ke koleksi. Jika pola sumber daya berisi wildcard (\$1), Anda dapat memilih untuk mengganti kecocokan dan memilih kunci Anda sendiri.
### Membuat kebijakan enkripsi (AWS CLI)
Untuk membuat kebijakan enkripsi menggunakan operasi API OpenSearch Tanpa Server, Anda menentukan pola sumber daya dan kunci enkripsi dalam format JSON. [CreateSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateSecurityPolicy.html)Permintaan menerima kebijakan sebaris dan file.json.
Kebijakan enkripsi mengambil format berikut. `my-policy.json`File sampel ini cocok dengan koleksi masa depan yang dinamai`autopartsinventory`, serta koleksi apa pun dengan nama yang dimulai dengan`sales`.
```
{
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/autopartsinventory",
"collection/sales*"
]
}
],
"AWSOwnedKey":false,
"KmsARN":"arn:aws:kms:us-east-1:123456789012:key/93fd6da4-a317-4c17-bfe9-382b5d988b36"
}
```
Untuk menggunakan kunci milik layanan, setel `AWSOwnedKey` ke: `true`
```
{
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/autopartsinventory",
"collection/sales*"
]
}
],
"AWSOwnedKey":true
}
```
Permintaan berikut membuat kebijakan enkripsi:
```
aws opensearchserverless create-security-policy \
--name sales-inventory \
--type encryption \
--policy file://my-policy.json
```
Kemudian, gunakan operasi [CreateCollection](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateCollection.html)API untuk membuat satu atau beberapa koleksi yang cocok dengan salah satu pola sumber daya.
### Melihat kebijakan enkripsi
Sebelum membuat koleksi, Anda mungkin ingin melihat pratinjau kebijakan enkripsi yang ada di akun Anda untuk melihat mana yang memiliki pola sumber daya yang cocok dengan nama koleksi Anda. [ListSecurityPolicies](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_ListSecurityPolicies.html)Permintaan berikut mencantumkan semua kebijakan enkripsi di akun Anda:
```
aws opensearchserverless list-security-policies --type encryption
```
Permintaan mengembalikan informasi tentang semua kebijakan enkripsi yang dikonfigurasi. Gunakan konten `policy` elemen untuk melihat aturan pola yang didefinisikan dalam kebijakan:
```
{
"securityPolicyDetails": [
{
"createdDate": 1663693217826,
"description": "Sample encryption policy",
"lastModifiedDate": 1663693217826,
"name": "my-policy",
"policy": "{\"Rules\":[{\"ResourceType\":\"collection\",\"Resource\":[\"collection/autopartsinventory\",\"collection/sales*\"]}],\"AWSOwnedKey\":true}",
"policyVersion": "MTY2MzY5MzIxNzgyNl8x",
"type": "encryption"
}
]
}
```
Untuk melihat informasi terperinci tentang kebijakan tertentu, termasuk kunci KMS, gunakan [GetSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetSecurityPolicy.html)perintah.
### Memperbarui kebijakan enkripsi
Jika Anda memperbarui kunci KMS dalam kebijakan enkripsi, perubahan hanya berlaku untuk koleksi yang baru dibuat yang cocok dengan nama atau pola yang dikonfigurasi. Itu tidak memengaruhi koleksi yang ada yang memiliki kunci KMS yang sudah ditetapkan.
Hal yang sama berlaku untuk aturan pencocokan kebijakan. Jika Anda menambahkan, memodifikasi, atau menghapus aturan, perubahan hanya berlaku untuk koleksi yang baru dibuat. Koleksi yang ada tidak kehilangan kunci KMS yang ditetapkan jika Anda mengubah aturan kebijakan sehingga tidak lagi cocok dengan nama koleksi.
**Untuk memperbarui kebijakan enkripsi di konsol OpenSearch Tanpa Server, pilih Kebijakan **enkripsi, pilih kebijakan** yang akan diubah, dan pilih Edit.** Buat perubahan dan pilih **Simpan**.
Untuk memperbarui kebijakan enkripsi menggunakan API OpenSearch Tanpa Server, gunakan operasi. [UpdateSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_UpdateSecurityPolicy.html) Permintaan berikut memperbarui kebijakan enkripsi dengan dokumen JSON kebijakan baru:
```
aws opensearchserverless update-security-policy \
--name sales-inventory \
--type encryption \
--policy-version 2 \
--policy file://my-new-policy.json
```
### Menghapus kebijakan enkripsi
Saat Anda menghapus kebijakan enkripsi, koleksi apa pun yang saat ini menggunakan kunci KMS yang ditentukan dalam kebijakan tidak akan terpengaruh. **Untuk menghapus kebijakan di konsol OpenSearch Tanpa Server, pilih kebijakan dan pilih Hapus.**
Anda juga dapat menggunakan [DeleteSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_DeleteSecurityPolicy.html)operasi:
```
aws opensearchserverless delete-security-policy --name my-policy --type encryption
```
## Enkripsi saat bergerak
Dalam OpenSearch Serverless, semua jalur dalam koleksi dienkripsi dalam perjalanan menggunakan Transport Layer Security 1.2 (TLS) dengan cipher AES-256 standar industri. Akses ke semua APIs dan Dasbor untuk Opensearch juga melalui TLS 1.2. TLS adalah seperangkat protokol kriptografi standar industri yang digunakan untuk mengenkripsi informasi yang dipertukarkan melalui jaringan.
# Akses jaringan untuk Amazon Tanpa OpenSearch Server
Pengaturan jaringan untuk koleksi Amazon OpenSearch Tanpa Server menentukan apakah koleksi dapat diakses melalui internet dari jaringan publik, atau apakah harus diakses secara pribadi.
Akses pribadi dapat berlaku untuk salah satu atau kedua hal berikut:
+ OpenSearch Titik akhir VPC yang dikelola tanpa server
+ Didukung Layanan AWS seperti Amazon Bedrock
Anda dapat mengonfigurasi akses jaringan secara terpisah untuk *OpenSearch*titik akhir koleksi dan titik akhir *OpenSearch Dasbor* yang sesuai.
Akses jaringan adalah mekanisme isolasi untuk memungkinkan akses dari jaringan sumber yang berbeda. Misalnya, jika titik akhir OpenSearch Dasbor koleksi dapat diakses publik tetapi titik akhir OpenSearch API tidak, pengguna dapat mengakses data pengumpulan hanya melalui Dasbor saat menghubungkan dari jaringan publik. Jika mereka mencoba menelepon OpenSearch APIs langsung dari jaringan publik, mereka akan diblokir. Pengaturan jaringan dapat digunakan untuk permutasi sumber ke jenis sumber daya. Amazon OpenSearch Serverless mendukung keduanya IPv4 dan IPv6 konektivitas.
**Topics**
+ [
## Kebijakan jaringan
](#serverless-network-policies)
+ [
## Pertimbangan-pertimbangan
](#serverless-network-considerations)
+ [
## Izin diperlukan untuk mengonfigurasi kebijakan jaringan
](#serverless-network-permissions)
+ [
## Prioritas kebijakan
](#serverless-network-precedence)
+ [
## Membuat kebijakan jaringan (konsol)
](#serverless-network-console)
+ [
## Membuat kebijakan jaringan (AWS CLI)
](#serverless-network-cli)
+ [
## Melihat kebijakan jaringan
](#serverless-network-list)
+ [
## Memperbarui kebijakan jaringan
](#serverless-network-update)
+ [
## Menghapus kebijakan jaringan
](#serverless-network-delete)
## Kebijakan jaringan
Kebijakan jaringan memungkinkan Anda mengelola banyak koleksi dalam skala besar dengan secara otomatis menetapkan setelan akses jaringan ke koleksi yang cocok dengan aturan yang ditentukan dalam kebijakan.
Dalam kebijakan jaringan, Anda menentukan serangkaian *aturan*. Aturan ini menentukan izin akses ke titik akhir koleksi dan titik akhir OpenSearch Dasbor. Setiap aturan terdiri dari jenis akses (publik atau pribadi) dan jenis sumber daya (koleksi dan/atau titik akhir OpenSearch Dasbor). Untuk setiap jenis sumber daya (`collection`dan`dashboard`), Anda menentukan serangkaian aturan yang menentukan koleksi mana kebijakan akan diterapkan.
Dalam kebijakan contoh ini, aturan pertama menentukan akses titik akhir VPC ke titik akhir koleksi dan titik akhir Dasbor untuk semua koleksi yang dimulai dengan istilah. `marketing*` Ini juga menentukan akses Amazon Bedrock.
**catatan**
Akses pribadi ke Layanan AWS seperti Amazon Bedrock *hanya* berlaku untuk titik akhir koleksi, bukan ke OpenSearch titik akhir OpenSearch Dasbor. Bahkan jika `ResourceType` ada`dashboard`, Layanan AWS tidak dapat diberikan akses ke OpenSearch Dasbor.
Aturan kedua menentukan akses publik ke `finance` koleksi, tetapi hanya untuk titik akhir koleksi (tidak ada akses Dasbor).
```
[
{
"Description":"Marketing access",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/marketing*"
]
},
{
"ResourceType":"dashboard",
"Resource":[
"collection/marketing*"
]
}
],
"AllowFromPublic":false,
"SourceVPCEs":[
"vpce-050f79086ee71ac05"
],
"SourceServices":[
"bedrock.amazonaws.com"
],
},
{
"Description":"Sales access",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/finance"
]
}
],
"AllowFromPublic":true
}
]
```
Kebijakan ini menyediakan akses publik hanya ke OpenSearch Dasbor untuk koleksi yang dimulai dengan “keuangan”. Setiap upaya untuk mengakses OpenSearch API secara langsung akan gagal.
```
[
{
"Description": "Dashboards access",
"Rules": [
{
"ResourceType": "dashboard",
"Resource": [
"collection/finance*"
]
}
],
"AllowFromPublic": true
}
]
```
Kebijakan jaringan dapat berlaku untuk koleksi yang ada serta koleksi masa depan. Misalnya, Anda dapat membuat koleksi dan kemudian membuat kebijakan jaringan dengan aturan yang cocok dengan nama koleksi. Anda tidak perlu membuat kebijakan jaringan sebelum membuat koleksi.
## Pertimbangan-pertimbangan
Pertimbangkan hal berikut saat Anda mengonfigurasi akses jaringan untuk koleksi Anda:
+ [Jika Anda berencana untuk mengonfigurasi akses titik akhir VPC untuk koleksi, Anda harus terlebih dahulu membuat setidaknya satu titik akhir VPC yang dikelola Tanpa ServerOpenSearch .](serverless-vpc.md)
+ Akses pribadi Layanan AWS hanya berlaku untuk OpenSearch titik akhir koleksi, bukan ke titik akhir OpenSearch Dasbor. Bahkan jika `ResourceType` ada`dashboard`, Layanan AWS tidak dapat diberikan akses ke OpenSearch Dasbor.
+ Jika koleksi dapat diakses dari jaringan publik, koleksi ini juga dapat diakses dari semua titik akhir VPC yang OpenSearch dikelola tanpa server dan semuanya. Layanan AWS
+ Beberapa kebijakan jaringan dapat berlaku untuk satu koleksi. Untuk informasi selengkapnya, lihat [Prioritas kebijakan](#serverless-network-precedence).
## Izin diperlukan untuk mengonfigurasi kebijakan jaringan
Akses jaringan untuk OpenSearch Tanpa Server menggunakan izin AWS Identity and Access Management (IAM) berikut. Anda dapat menentukan kondisi IAM untuk membatasi pengguna pada kebijakan jaringan yang terkait dengan koleksi tertentu.
+ `aoss:CreateSecurityPolicy`— Buat kebijakan akses jaringan.
+ `aoss:ListSecurityPolicies`— Buat daftar semua kebijakan jaringan di akun saat ini.
+ `aoss:GetSecurityPolicy`— Lihat spesifikasi kebijakan akses jaringan.
+ `aoss:UpdateSecurityPolicy`— Ubah kebijakan akses jaringan tertentu, dan ubah ID VPC atau penunjukan akses publik.
+ `aoss:DeleteSecurityPolicy`— Hapus kebijakan akses jaringan (setelah terlepas dari semua koleksi).
Kebijakan akses berbasis identitas berikut memungkinkan pengguna untuk melihat semua kebijakan jaringan, dan memperbarui kebijakan dengan pola sumber daya: `collection/application-logs`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aoss:UpdateSecurityPolicy"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aoss:collection": "application-logs"
}
}
},
{
"Effect": "Allow",
"Action": [
"aoss:ListSecurityPolicies",
"aoss:GetSecurityPolicy"
],
"Resource": "*"
}
]
}
```
------
**catatan**
Selain itu, OpenSearch Tanpa Server memerlukan `aoss:DashboardsAccessAll` izin `aoss:APIAccessAll` dan untuk sumber daya pengumpulan. Untuk informasi selengkapnya, lihat [Menggunakan operasi OpenSearch API](security-iam-serverless.md#security_iam_id-based-policy-examples-data-plane).
## Prioritas kebijakan
Mungkin ada situasi di mana aturan kebijakan jaringan tumpang tindih, di dalam atau di seluruh kebijakan. *Ketika ini terjadi, aturan yang menentukan akses publik mengesampingkan aturan yang menentukan akses pribadi untuk koleksi apa pun yang umum untuk kedua aturan tersebut.*
Misalnya, dalam kebijakan berikut, kedua aturan menetapkan akses jaringan ke `finance` koleksi, tetapi satu aturan menentukan akses VPC sementara yang lain menentukan akses publik. Dalam situasi ini, akses publik mengesampingkan akses VPC *hanya untuk pengumpulan keuangan* (karena ada di kedua aturan), sehingga pengumpulan keuangan akan dapat diakses dari jaringan publik. Koleksi penjualan akan memiliki akses VPC dari titik akhir yang ditentukan.
```
[
{
"Description":"Rule 1",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/sales",
"collection/finance"
]
}
],
"AllowFromPublic":false,
"SourceVPCEs":[
"vpce-050f79086ee71ac05"
]
},
{
"Description":"Rule 2",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/finance"
]
}
],
"AllowFromPublic":true
}
]
```
Jika beberapa titik akhir VPC dari aturan yang berbeda berlaku untuk koleksi, aturan bersifat aditif dan koleksi akan dapat diakses dari semua titik akhir yang ditentukan. Jika Anda menyetel `AllowFromPublic` ke `true` tetapi juga menyediakan satu atau lebih `SourceVPCEs` atau`SourceServices`, OpenSearch Tanpa Server mengabaikan titik akhir VPC dan pengidentifikasi layanan, dan koleksi terkait akan memiliki akses publik.
## Membuat kebijakan jaringan (konsol)
Kebijakan jaringan dapat berlaku untuk koleksi yang ada serta koleksi masa depan. Kami menyarankan Anda membuat kebijakan jaringan sebelum mulai membuat koleksi.
**Untuk membuat kebijakan OpenSearch jaringan Tanpa Server**
1. Buka konsol OpenSearch Layanan Amazon di [https://console.aws.amazon.com/aos/rumah](https://console.aws.amazon.com/aos/home ).
1. Di panel navigasi kiri, perluas **Tanpa Server** dan pilih Kebijakan **jaringan**.
1. Pilih **Buat kebijakan jaringan**.
1. Berikan nama dan deskripsi untuk kebijakan tersebut.
1. Berikan satu atau lebih *aturan*. Aturan ini menentukan izin akses untuk koleksi OpenSearch Tanpa Server dan titik akhir Dasbornya OpenSearch .
Setiap aturan berisi elemen-elemen berikut:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/serverless-network.html)
Untuk setiap jenis sumber daya yang Anda pilih, Anda dapat memilih koleksi yang ada untuk menerapkan setelan kebijakan, and/or membuat satu atau beberapa pola sumber daya. Pola sumber daya terdiri dari awalan dan wildcard (\$1), dan menentukan koleksi mana yang akan diterapkan setelan kebijakan.
Misalnya, jika Anda menyertakan pola yang disebut`Marketing*`, koleksi baru atau yang sudah ada yang namanya dimulai dengan “Pemasaran” akan memiliki pengaturan jaringan dalam kebijakan ini secara otomatis diterapkan padanya. Satu wildcard (`*`) menerapkan kebijakan untuk semua koleksi saat ini dan yang akan datang.
Selain itu, Anda dapat menentukan nama koleksi *future* tanpa wildcard, seperti`Finance`. OpenSearch Tanpa server akan menerapkan pengaturan kebijakan ke koleksi yang baru dibuat dengan nama persis itu.
1. Jika Anda puas dengan konfigurasi kebijakan, pilih **Buat**.
## Membuat kebijakan jaringan (AWS CLI)
Untuk membuat kebijakan jaringan menggunakan operasi API OpenSearch Tanpa Server, Anda menentukan aturan dalam format JSON. [CreateSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateSecurityPolicy.html)Permintaan menerima kebijakan sebaris dan file.json. Semua koleksi dan pola harus berbentuk`collection/`.
**catatan**
Jenis sumber daya `dashboards` hanya mengizinkan izin ke OpenSearch Dasbor, tetapi agar OpenSearch Dasbor berfungsi, Anda juga harus mengizinkan akses koleksi dari sumber yang sama. Lihat kebijakan kedua di bawah ini untuk contoh.
Untuk menentukan akses pribadi, sertakan salah satu atau kedua elemen berikut:
+ `SourceVPCEs`— Tentukan satu atau lebih titik akhir VPC yang OpenSearch dikelola tanpa server.
+ `SourceServices`— Tentukan pengenal satu atau lebih yang didukung Layanan AWS. Saat ini, pengidentifikasi layanan berikut didukung:
+ `bedrock.amazonaws.com`— Batuan Dasar Amazon
Contoh kebijakan jaringan berikut menyediakan akses pribadi, ke titik akhir VPC dan Amazon Bedrock, ke titik akhir pengumpulan hanya untuk koleksi yang dimulai dengan awalan. `log*` Pengguna yang diautentikasi tidak dapat masuk ke OpenSearch Dasbor; mereka hanya dapat mengakses titik akhir koleksi secara terprogram.
```
[
{
"Description":"Private access for log collections",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/log*"
]
}
],
"AllowFromPublic":false,
"SourceVPCEs":[
"vpce-050f79086ee71ac05"
],
"SourceServices":[
"bedrock.amazonaws.com"
],
}
]
```
Kebijakan berikut menyediakan akses publik ke OpenSearch titik akhir *dan* OpenSearch Dasbor untuk satu koleksi bernama. `finance` Jika koleksi tidak ada, pengaturan jaringan akan diterapkan ke koleksi jika dan ketika itu dibuat.
```
[
{
"Description":"Public access for finance collection",
"Rules":[
{
"ResourceType":"dashboard",
"Resource":[
"collection/finance"
]
},
{
"ResourceType":"collection",
"Resource":[
"collection/finance"
]
}
],
"AllowFromPublic":true
}
]
```
Permintaan berikut membuat kebijakan jaringan di atas:
```
aws opensearchserverless create-security-policy \
--name sales-inventory \
--type network \
--policy "[{\"Description\":\"Public access for finance collection\",\"Rules\":[{\"ResourceType\":\"dashboard\",\"Resource\":[\"collection\/finance\"]},{\"ResourceType\":\"collection\",\"Resource\":[\"collection\/finance\"]}],\"AllowFromPublic\":true}]"
```
Untuk menyediakan kebijakan dalam file JSON, gunakan format `--policy file://my-policy.json`
## Melihat kebijakan jaringan
Sebelum membuat koleksi, Anda mungkin ingin melihat pratinjau kebijakan jaringan yang ada di akun Anda untuk melihat mana yang memiliki pola sumber daya yang cocok dengan nama koleksi Anda. [ListSecurityPolicies](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_ListSecurityPolicies.html)Permintaan berikut mencantumkan semua kebijakan jaringan di akun Anda:
```
aws opensearchserverless list-security-policies --type network
```
Permintaan mengembalikan informasi tentang semua kebijakan jaringan yang dikonfigurasi. Untuk melihat aturan pola yang ditentukan dalam satu kebijakan tertentu, cari informasi kebijakan dalam konten `securityPolicySummaries` elemen dalam respons. Perhatikan `name` dan `type` kebijakan ini dan gunakan properti ini dalam [GetSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetSecurityPolicy.html)permintaan untuk menerima tanggapan dengan rincian kebijakan berikut:
```
{
"securityPolicyDetail": [
{
"type": "network",
"name": "my-policy",
"policyVersion": "MTY2MzY5MTY1MDA3Ml8x",
"policy": "[{\"Description\":\"My network policy rule\",\"Rules\":[{\"ResourceType\":\"dashboard\",\"Resource\":[\"collection/*\"]}],\"AllowFromPublic\":true}]",
"createdDate": 1663691650072,
"lastModifiedDate": 1663691650072
}
]
}
```
Untuk melihat informasi terperinci tentang kebijakan tertentu, gunakan [GetSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetSecurityPolicy.html)perintah.
## Memperbarui kebijakan jaringan
Saat Anda memodifikasi titik akhir VPC atau penunjukan akses publik untuk jaringan, semua koleksi terkait akan terpengaruh. **Untuk memperbarui kebijakan jaringan di konsol OpenSearch Tanpa Server, perluas Kebijakan **jaringan, pilih kebijakan** yang akan diubah, dan pilih Edit.** Buat perubahan dan pilih **Simpan**.
Untuk memperbarui kebijakan jaringan menggunakan API OpenSearch Tanpa Server, gunakan perintah. [UpdateSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_UpdateSecurityPolicy.html) Anda harus menyertakan versi kebijakan dalam permintaan. Anda dapat mengambil versi kebijakan dengan menggunakan `GetSecurityPolicy` perintah `ListSecurityPolicies` atau. Menyertakan versi kebijakan terbaru memastikan bahwa Anda tidak secara tidak sengaja mengesampingkan perubahan yang dilakukan oleh orang lain.
Permintaan berikut memperbarui kebijakan jaringan dengan dokumen JSON kebijakan baru:
```
aws opensearchserverless update-security-policy \
--name sales-inventory \
--type network \
--policy-version MTY2MzY5MTY1MDA3Ml8x \
--policy file://my-new-policy.json
```
## Menghapus kebijakan jaringan
Sebelum Anda dapat menghapus kebijakan jaringan, Anda harus melepaskannya dari semua koleksi. **Untuk menghapus kebijakan di konsol OpenSearch Tanpa Server, pilih kebijakan dan pilih Hapus.**
Anda juga dapat menggunakan [DeleteSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_DeleteSecurityPolicy.html)perintah:
```
aws opensearchserverless delete-security-policy --name my-policy --type network
```
# Kepatuhan FIPS di Amazon Tanpa Server OpenSearch
Amazon OpenSearch Serverless mendukung Federal Information Processing Standards (FIPS) 140-2, yang merupakan standar pemerintah AS dan Kanada yang menetapkan persyaratan keamanan untuk modul kriptografi yang melindungi informasi sensitif. Saat Anda terhubung ke titik akhir berkemampuan FIPS dengan OpenSearch Tanpa Server, operasi kriptografi terjadi menggunakan pustaka kriptografi yang divalidasi FIPS.
OpenSearch Titik akhir FIPS tanpa server tersedia di Wilayah AWS tempat FIPS didukung. Endpoint ini menggunakan TLS 1.2 atau yang lebih baru dan algoritma kriptografi yang divalidasi FIPS untuk semua komunikasi. Untuk informasi selengkapnya, lihat [kepatuhan FIPS](https://docs.aws.amazon.com/verified-access/latest/ug/fips-compliance.html) di *Panduan Pengguna Akses AWS Terverifikasi*.
**Topics**
+ [
## Menggunakan titik akhir FIPS dengan Tanpa Server OpenSearch
](#using-fips-endpoints-opensearch-serverless)
+ [
## Gunakan titik akhir FIPS dengan AWS SDKs
](#using-fips-endpoints-aws-sdks)
+ [
## Konfigurasikan grup keamanan untuk titik akhir VPC
](#configuring-security-groups-vpc-endpoints)
+ [
## Gunakan titik akhir VPC FIPS
](#using-fips-vpc-endpoint)
+ [
## Verifikasi kepatuhan FIPS
](#verifying-fips-compliance)
+ [
# Selesaikan masalah konektivitas titik akhir FIPS di zona yang dihosting pribadi
](serverless-fips-endpoint-issues.md)
## Menggunakan titik akhir FIPS dengan Tanpa Server OpenSearch
Di Wilayah AWS mana FIPS didukung, koleksi OpenSearch Tanpa Server dapat diakses melalui titik akhir standar dan yang sesuai dengan FIPS. Untuk informasi selengkapnya, lihat [kepatuhan FIPS](https://docs.aws.amazon.com/verified-access/latest/ug/fips-compliance.html) di *Panduan Pengguna Akses AWS Terverifikasi*.
Dalam contoh berikut, ganti *collection\$1id* dan *Wilayah AWS* dengan ID koleksi Anda dan nya Wilayah AWS.
+ **Titik akhir standar** —**https://*collection\$1id*.*Wilayah AWS*.aoss.amazonaws.com**.
+ Titik akhir yang **sesuai dengan FIPS —**. **https://*collection\$1id*.*Wilayah AWS*.aoss-fips.amazonaws.com**
Demikian pula, OpenSearch Dasbor dapat diakses melalui titik akhir standar dan yang sesuai dengan FIPS:
+ **Titik akhir Dasbor Standar** —. **https://*collection\$1id*.*Wilayah AWS*.aoss.amazonaws.com/\$1dashboards**
+ Titik akhir Dasbor yang **sesuai dengan FIPS —**. **https://*collection\$1id*.*Wilayah AWS*.aoss-fips.amazonaws.com/\$1dashboards**
**catatan**
Di Wilayah yang mendukung FIPS, titik akhir standar dan yang sesuai dengan FIPS menyediakan kriptografi yang sesuai dengan FIPS. **Titik akhir khusus FIPS membantu Anda memenuhi persyaratan kepatuhan yang secara khusus mengamanatkan penggunaan titik akhir dengan FIPS dalam namanya.**
## Gunakan titik akhir FIPS dengan AWS SDKs
Saat menggunakan AWS SDKs, Anda dapat menentukan titik akhir FIPS saat membuat klien. Dalam contoh berikut, ganti *collection\$1id* dan *Wilayah AWS* dengan ID koleksi Anda dan nya Wilayah AWS.
```
# Python SDK example
from opensearchpy import OpenSearch, RequestsHttpConnection, AWSV4SignerAuth
import boto3
host = '"https://collection_id.Wilayah AWS.aoss-fips.amazonaws.com"
region = 'us-west-2'
service = 'aoss'
credentials = boto3.Session().get_credentials()
auth = AWSV4SignerAuth(credentials, region, service)
client = OpenSearch(
hosts = [{'host': host, 'port': 443}],
http_auth = auth,
use_ssl = True,
verify_certs = True,
connection_class = RequestsHttpConnection,
pool_maxsize = 20
)
```
## Konfigurasikan grup keamanan untuk titik akhir VPC
Untuk memastikan komunikasi yang tepat dengan titik akhir Amazon VPC (VPC) yang sesuai dengan FIPS, buat atau modifikasi grup keamanan untuk mengizinkan lalu lintas HTTPS masuk (port TCP 443) dari sumber daya di VPC Anda yang perlu mengakses Tanpa Server. OpenSearch Kemudian kaitkan grup keamanan ini dengan titik akhir VPC Anda selama pembuatan atau dengan memodifikasi titik akhir setelah pembuatan. Untuk informasi selengkapnya, lihat [Membuat grup keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html) di *Panduan Pengguna Amazon VPC*.
## Gunakan titik akhir VPC FIPS
Setelah membuat titik akhir VPC yang sesuai dengan FIPS, Anda dapat menggunakannya untuk mengakses Tanpa OpenSearch Server dari sumber daya dalam VPC Anda. Untuk menggunakan titik akhir untuk operasi API, konfigurasikan SDK Anda untuk menggunakan titik akhir FIPS Regional seperti yang dijelaskan di bagian ini. [Menggunakan titik akhir FIPS dengan Tanpa Server OpenSearch](#using-fips-endpoints-opensearch-serverless) Untuk akses OpenSearch Dasbor, gunakan URL Dasbor khusus koleksi, yang akan secara otomatis merutekan melalui titik akhir VPC yang sesuai dengan FIPS saat diakses dari dalam VPC Anda. Untuk informasi selengkapnya, lihat [Menggunakan OpenSearch Dasbor dengan Layanan Amazon OpenSearch](dashboards.md).
## Verifikasi kepatuhan FIPS
Untuk memverifikasi bahwa koneksi Anda ke OpenSearch Tanpa Server menggunakan kriptografi yang sesuai dengan FIPS, gunakan AWS CloudTrail untuk memantau panggilan API yang dilakukan ke Tanpa Server. OpenSearch Periksa apakah `eventSource` bidang di CloudTrail log ditampilkan `aoss-fips.amazonaws.com` untuk panggilan API.
Untuk akses OpenSearch Dasbor, Anda dapat menggunakan alat pengembang browser untuk memeriksa detail koneksi TLS dan memverifikasi bahwa rangkaian sandi yang sesuai dengan FIPS sedang digunakan.
# Selesaikan masalah konektivitas titik akhir FIPS di zona yang dihosting pribadi
Titik akhir FIPS berfungsi dengan koleksi Amazon OpenSearch Tanpa Server yang memiliki akses publik. Untuk koleksi VPC yang baru dibuat yang menggunakan titik akhir VPC yang baru dibuat, titik akhir FIPS berfungsi seperti yang diharapkan. Untuk koleksi VPC lainnya, Anda mungkin perlu melakukan penyiapan manual untuk memastikan titik akhir FIPS beroperasi dengan benar.
**Untuk mengonfigurasi zona host pribadi FIPS di Amazon Route 53**
1. Buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Tinjau zona yang dihosting Anda:
1. Temukan zona yang dihosting untuk koleksi Wilayah AWS Anda.
1. Verifikasi pola penamaan zona yang dihosting:
+ Format non-FIPS:. `region.aoss.amazonaws.com`
+ Format FIPS:`region.aoss-fips.amazonaws.com`.
1. Konfirmasikan **Jenis** untuk semua zona yang dihosting disetel ke **Zona host pribadi**.
1. Jika zona host pribadi FIPS tidak ada:
1. Pilih zona host pribadi non-FIPS yang sesuai.
1. Salin VPCs informasi **terkait**. Sebagai contoh: `vpc-1234567890abcdef0 | us-east-2`.
1. Temukan catatan domain wildcard. Sebagai contoh: `*.us-east-2.aoss.amazonaws.com`.
1. Salin **lalu lintas Nilai/Rute ke informasi**. Misalnya:`uoc1c1qsw7poexampleewjeno1pte3rw.3ym756xh7yj.aoss.searchservices.aws`.
1. Buat zona host pribadi FIPS:
1. Buat zona host pribadi baru dengan format FIPS. Sebagai contoh: `us-east-2.aoss-fips.amazonaws.com`.
1. Untuk **Associated VPCs**, masukkan informasi VPC yang Anda salin dari zona host pribadi non-FIPS.
1. Tambahkan catatan baru dengan pengaturan berikut:
1. Nama rekam: \$1
1. Jenis rekaman: CNAME
1. Nilai: Masukkan **lalu lintas Nilai/Rute ke** informasi yang Anda salin sebelumnya.
## Masalah Umum
Jika Anda mengalami masalah konektivitas dengan titik akhir VPC yang sesuai dengan FIPS, gunakan informasi berikut untuk membantu menyelesaikan masalah.
+ Kegagalan resolusi DNS - Anda tidak dapat menyelesaikan nama domain titik akhir FIPS dalam VPC Anda
+ Batas waktu koneksi - Permintaan Anda ke waktu akhir titik akhir FIPS
+ Kesalahan akses ditolak - Otentikasi atau otorisasi gagal saat menggunakan titik akhir FIPS
+ Catatan zona yang dihosting pribadi tidak ada untuk koleksi khusus VPC
**Untuk memecahkan masalah konektivitas titik akhir FIPS**
1. Verifikasi konfigurasi Zona Dihosting Pribadi Anda:
1. Konfirmasikan bahwa Zona Dihosting Pribadi ada untuk domain titik akhir FIPS (. `*.region.aoss-fips.amazonaws.com`
1. Verifikasi bahwa zona yang dihosting pribadi dikaitkan dengan VPC yang benar.
Untuk informasi selengkapnya, lihat [Zona yang dihosting pribadi](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted- zones-private.html) di *Panduan Pengembang Amazon Route 53*, dan [Mengelola nama DNS](https://docs.aws.amazon.com/vpc/latest/privatelink/manage-dns-names.html) di *AWS PrivateLink Panduan*.
1. Uji resolusi DNS:
1. Connect ke instans EC2 di VPC Anda.
1. Jalankan perintah berikut:
```
nslookup collection-id.region.aoss-fips.amazonaws.com
```
1. Konfirmasikan bahwa respons tersebut menyertakan alamat IP pribadi titik akhir VPC Anda.
Untuk informasi selengkapnya, lihat [Kebijakan titik akhir](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints- access.html#endpoint-dns-verification), dan [atribut DNS](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc- dns-troubleshooting) di Panduan Pengguna Amazon *VPC*.
1. Periksa pengaturan grup keamanan Anda:
1. Verifikasi bahwa grup keamanan yang dilampirkan ke titik akhir VPC mengizinkan lalu lintas HTTPS (port 443) dari sumber daya Anda.
1. Konfirmasikan bahwa grup keamanan untuk sumber daya Anda mengizinkan lalu lintas keluar ke titik akhir VPC.
Untuk informasi selengkapnya, lihat [Kebijakan titik akhir](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoint-security-groups) di *AWS PrivateLink Panduan*, dan [Grup keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html#SecurityGroupRules) di Panduan Pengguna *Amazon VPC*.
1. Tinjau konfigurasi ACL jaringan Anda:
1. Verifikasi bahwa jaringan ACLs mengizinkan lalu lintas antara sumber daya Anda dan titik akhir VPC.
Untuk informasi selengkapnya, lihat [ ACLs Jaringan](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network- acls.html#nacl-troubleshooting) dalam *Panduan Pengguna Amazon VPC*.
1. Tinjau kebijakan titik akhir Anda:
1. Periksa apakah kebijakan titik akhir VPC mengizinkan tindakan yang diperlukan pada sumber daya Tanpa Server Anda. OpenSearch
*Untuk informasi selengkapnya, lihat [izin titik akhir VPC yang diperlukan](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-vpc.html#serverless-vpc-permissions), dan kebijakan [Titik Akhir](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints- access.html#vpc-endpoint-policies) di Panduan.AWS PrivateLink *
**Tip**
Jika Anda menggunakan resolver DNS kustom di VPC Anda, konfigurasikan untuk meneruskan permintaan domain ke server. `*.amazonaws.com` AWS
# Kontrol akses data untuk Amazon Tanpa OpenSearch Server
Dengan kontrol akses data di Amazon OpenSearch Tanpa Server, Anda dapat mengizinkan pengguna mengakses koleksi dan indeks, terlepas dari mekanisme akses atau sumber jaringannya. Anda dapat memberikan akses ke peran IAM dan identitas [SALL](serverless-saml.md).
Anda mengelola izin akses melalui *kebijakan akses data*, yang berlaku untuk koleksi dan sumber daya indeks. Kebijakan akses data membantu Anda mengelola koleksi dalam skala besar dengan secara otomatis menetapkan izin akses ke koleksi dan indeks yang cocok dengan pola tertentu. Beberapa kebijakan akses data dapat diterapkan ke satu sumber daya. Perhatikan bahwa Anda harus memiliki kebijakan akses data untuk koleksi Anda untuk mengakses URL OpenSearch Dasbor Anda.
**Topics**
+ [
## Kebijakan akses data versus kebijakan IAM
](#serverless-data-access-vs-iam)
+ [
## Izin IAM diperlukan untuk mengonfigurasi kebijakan akses data
](#serverless-data-access-permissions)
+ [
## Sintaksis kebijakan
](#serverless-data-access-syntax)
+ [
## Izin kebijakan yang didukung
](#serverless-data-supported-permissions)
+ [
## Contoh kumpulan data di Dasbor OpenSearch
](#serverless-data-sample-index)
+ [
## Membuat kebijakan akses data (konsol)
](#serverless-data-access-console)
+ [
## Membuat kebijakan akses data (AWS CLI)
](#serverless-data-access-cli)
+ [
## Melihat kebijakan akses data
](#serverless-data-access-list)
+ [
## Memperbarui kebijakan akses data
](#serverless-data-access-update)
+ [
## Menghapus kebijakan akses data
](#serverless-data-access-delete)
+ [
## Akses data lintas akun
](#serverless-data-access-cross)
## Kebijakan akses data versus kebijakan IAM
Kebijakan akses data secara logis terpisah dari kebijakan AWS Identity and Access Management (IAM). Izin IAM mengontrol akses ke [operasi API tanpa server](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/Welcome.html), seperti dan. `CreateCollection` `ListAccessPolicies` Kebijakan akses data mengontrol akses ke [OpenSearch operasi](#serverless-data-supported-permissions) yang didukung OpenSearch Tanpa Server, seperti `PUT ` atau. `GET _cat/indices`
Izin IAM yang mengontrol akses ke operasi API kebijakan akses data, seperti `aoss:CreateAccessPolicy` dan `aoss:GetAccessPolicy` (dijelaskan di bagian berikutnya), tidak memengaruhi izin yang ditentukan dalam kebijakan akses data.
Misalnya, kebijakan IAM menyangkal pengguna membuat kebijakan akses data untuk`collection-a`, tetapi memungkinkan mereka membuat kebijakan akses data untuk semua koleksi ()`*`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"aoss:CreateAccessPolicy"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aoss:collection": "collection-a"
}
}
},
{
"Effect": "Allow",
"Action": [
"aoss:CreateAccessPolicy"
],
"Resource": "*"
}
]
}
```
------
Jika pengguna membuat kebijakan akses data yang mengizinkan izin tertentu untuk *semua* koleksi (`collection/*`atau`index/*/*`) kebijakan tersebut akan berlaku untuk semua koleksi, termasuk koleksi A.
**penting**
Pemberian izin dalam kebijakan akses data tidak cukup untuk mengakses data dalam koleksi Tanpa OpenSearch Server Anda. Prinsipal terkait *juga* harus diberikan akses ke izin `aoss:APIAccessAll` IAM dan. `aoss:DashboardsAccessAll` Kedua izin memberikan akses penuh ke sumber daya koleksi, sementara izin Dasbor juga menyediakan akses ke OpenSearch Dasbor. Jika prinsipal tidak memiliki kedua izin IAM ini, mereka akan menerima 403 kesalahan saat mencoba mengirim permintaan ke koleksi. Untuk informasi selengkapnya, lihat [Menggunakan operasi OpenSearch API](security-iam-serverless.md#security_iam_id-based-policy-examples-data-plane).
## Izin IAM diperlukan untuk mengonfigurasi kebijakan akses data
Kontrol akses data untuk OpenSearch Tanpa Server menggunakan izin IAM berikut. Anda dapat menentukan kondisi IAM untuk membatasi pengguna ke nama kebijakan akses tertentu.
+ `aoss:CreateAccessPolicy`— Buat kebijakan akses.
+ `aoss:ListAccessPolicies`— Daftar semua kebijakan akses.
+ `aoss:GetAccessPolicy`— Lihat detail tentang kebijakan akses tertentu.
+ `aoss:UpdateAccessPolicy`— Memodifikasi kebijakan akses.
+ `aoss:DeleteAccessPolicy`— Hapus kebijakan akses.
Kebijakan akses berbasis identitas berikut memungkinkan pengguna untuk melihat semua kebijakan akses, dan memperbarui kebijakan yang berisi pola sumber daya. `collection/logs`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aoss:ListAccessPolicies",
"aoss:GetAccessPolicy"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"aoss:UpdateAccessPolicy"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aoss:collection": [
"logs"
]
}
}
}
]
}
```
------
**catatan**
Selain itu, OpenSearch Tanpa Server memerlukan `aoss:DashboardsAccessAll` izin `aoss:APIAccessAll` dan untuk sumber daya pengumpulan. Untuk informasi selengkapnya, lihat [Menggunakan operasi OpenSearch API](security-iam-serverless.md#security_iam_id-based-policy-examples-data-plane).
## Sintaksis kebijakan
Kebijakan akses data mencakup seperangkat aturan, masing-masing dengan elemen berikut:
| Elemen | Deskripsi |
| --- | --- |
| ResourceType | Jenis sumber daya (koleksi atau indeks) yang diterapkan izin. Izin alias dan template berada di tingkat pengumpulan, sementara izin untuk membuat, memodifikasi, dan mencari data berada pada tingkat indeks. Untuk informasi selengkapnya, lihat [Izin kebijakan yang didukung](#serverless-data-supported-permissions). |
| Resource | Daftar and/or pola nama sumber daya. Pola adalah awalan yang diikuti oleh wildcard (\$1), yang memungkinkan izin terkait diterapkan ke beberapa sumber daya.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/serverless-data-access.html) |
| Permission | Daftar izin untuk diberikan untuk sumber daya yang ditentukan. Untuk daftar lengkap izin dan operasi API yang diizinkan, lihat[Operasi dan izin OpenSearch API yang didukung](serverless-genref.md#serverless-operations). |
| Principal | Daftar satu atau lebih kepala sekolah untuk memberikan akses ke. Kepala sekolah dapat berupa peran ARNs IAM atau identitas SALL. Prinsipal ini harus berada dalam arus. Akun AWS Kebijakan akses data tidak secara langsung mendukung akses lintas akun, tetapi Anda dapat menyertakan peran dalam kebijakan yang Akun AWS dapat diasumsikan oleh pengguna dari akun pemilik koleksi. Untuk informasi selengkapnya, lihat [Akses data lintas akun](#serverless-data-access-cross). |
Kebijakan contoh berikut memberikan izin alias dan templat ke koleksi yang dipanggil`autopartsinventory`, serta koleksi apa pun yang dimulai dengan awalan. `sales*` Ini juga memberikan izin baca dan tulis ke semua indeks dalam `autopartsinventory` koleksi, dan indeks apa pun dalam `salesorders` koleksi yang dimulai dengan awalan. `orders*`
```
[
{
"Description": "Rule 1",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/autopartsinventory",
"collection/sales*"
],
"Permission":[
"aoss:CreateCollectionItems",
"aoss:UpdateCollectionItems",
"aoss:DescribeCollectionItems"
]
},
{
"ResourceType":"index",
"Resource":[
"index/autopartsinventory/*",
"index/salesorders/orders*"
],
"Permission":[
"aoss:*"
]
}
],
"Principal":[
"arn:aws:iam::123456789012:user/Dale",
"arn:aws:iam::123456789012:role/RegulatoryCompliance",
"saml/123456789012/myprovider/user/Annie",
"saml/123456789012/anotherprovider/group/Accounting"
]
}
]
```
Anda tidak dapat secara eksplisit menolak akses dalam kebijakan. Oleh karena itu, semua izin kebijakan bersifat aditif. Misalnya, jika satu kebijakan memberikan pengguna`aoss:ReadDocument`, dan kebijakan lain memberikan`aoss:WriteDocument`, pengguna akan memiliki *kedua* izin tersebut. Jika kebijakan ketiga memberikan pengguna yang sama`aoss:*`, maka pengguna dapat melakukan *semua* tindakan pada indeks terkait; izin yang lebih ketat tidak akan mengesampingkan yang kurang membatasi.
## Izin kebijakan yang didukung
Izin berikut didukung dalam kebijakan akses data. Untuk operasi OpenSearch API yang diizinkan oleh setiap izin, lihat[Operasi dan izin OpenSearch API yang didukung](serverless-genref.md#serverless-operations).
**Izin koleksi**
+ `aoss:CreateCollectionItems`
+ `aoss:DeleteCollectionItems`
+ `aoss:UpdateCollectionItems`
+ `aoss:DescribeCollectionItems`
+ `aoss:*`
**Izin indeks**
+ `aoss:ReadDocument`
+ `aoss:WriteDocument`
+ `aoss:CreateIndex`
+ `aoss:DeleteIndex`
+ `aoss:UpdateIndex`
+ `aoss:DescribeIndex`
+ `aoss:*`
## Contoh kumpulan data di Dasbor OpenSearch
OpenSearch Dasbor menyediakan [contoh kumpulan data](https://opensearch.org/docs/latest/dashboards/quickstart-dashboards/#adding-sample-data) yang dilengkapi dengan visualisasi, dasbor, dan alat lain untuk membantu Anda menjelajahi Dasbor sebelum menambahkan data Anda sendiri. Untuk membuat indeks dari data sampel ini, Anda memerlukan kebijakan akses data yang menyediakan izin ke kumpulan data yang ingin Anda gunakan. Kebijakan berikut menggunakan wildcard (`*`) untuk memberikan izin ke ketiga kumpulan data sampel.
```
[
{
"Rules": [
{
"Resource": [
"index//opensearch_dashboards_sample_data_*"
],
"Permission": [
"aoss:CreateIndex",
"aoss:DescribeIndex",
"aoss:ReadDocument"
],
"ResourceType": "index"
}
],
"Principal": [
"arn:aws:iam:::user/"
]
}
]
```
## Membuat kebijakan akses data (konsol)
Anda dapat membuat kebijakan akses data menggunakan editor visual, atau dalam format JSON. Setiap koleksi baru yang cocok dengan salah satu pola yang ditentukan dalam kebijakan akan diberikan izin terkait saat Anda membuat koleksi.
**Untuk membuat kebijakan OpenSearch akses data Tanpa Server**
1. Buka konsol OpenSearch Layanan Amazon di [https://console.aws.amazon.com/aos/rumah](https://console.aws.amazon.com/aos/home ).
1. Di panel navigasi kiri, perluas **Tanpa Server** dan di bawah **Keamanan**, pilih Kebijakan akses **data**.
1. Pilih **Buat kebijakan akses**.
1. Berikan nama dan deskripsi untuk kebijakan tersebut.
1. Berikan nama untuk aturan pertama dalam kebijakan Anda. Misalnya, “Akses koleksi log”.
1. Pilih **Tambahkan prinsipal** dan pilih satu atau beberapa peran IAM atau [pengguna dan grup SAFL](serverless-saml.md) untuk menyediakan akses data.
**catatan**
Untuk memilih prinsipal dari menu tarik-turun, Anda harus memiliki dan izin (untuk kepala sekolah IAM) `iam:ListUsers` dan `iam:ListRoles` izin (untuk identitas SAFL). `aoss:ListSecurityConfigs`
1. Pilih **Grant** dan pilih alias, template, dan izin indeks untuk memberikan prinsipal terkait. Untuk daftar lengkap izin dan akses yang mereka izinkan, lihat[Operasi dan izin OpenSearch API yang didukung](serverless-genref.md#serverless-operations).
1. (Opsional) Konfigurasikan aturan tambahan untuk kebijakan tersebut.
1. Pilih **Buat**. Mungkin ada sekitar satu menit jeda waktu antara saat Anda membuat kebijakan dan saat izin diberlakukan. Jika dibutuhkan lebih dari 5 menit, hubungi [Dukungan](https://console.aws.amazon.com/support/home).
**penting**
Jika kebijakan Anda hanya menyertakan izin indeks (dan tidak ada izin pengumpulan), Anda mungkin masih melihat pesan untuk pencocokan koleksi yang menyatakan. `Collection cannot be accessed yet. Configure data access policies so that users can access the data within this collection` Anda dapat mengabaikan peringatan ini. Prinsipal yang diizinkan masih dapat melakukan operasi terkait indeks yang ditetapkan pada koleksi.
## Membuat kebijakan akses data (AWS CLI)
Untuk membuat kebijakan akses data menggunakan API OpenSearch Tanpa Server, gunakan perintah. `CreateAccessPolicy` Perintah menerima kebijakan inline dan file.json. Kebijakan sebaris harus dikodekan sebagai string lolos [JSON](https://www.freeformatter.com/json-escape.html).
Permintaan berikut membuat kebijakan akses data:
```
aws opensearchserverless create-access-policy \
--name marketing \
--type data \
--policy "[{\"Rules\":[{\"ResourceType\":\"collection\",\"Resource\":[\"collection/autopartsinventory\",\"collection/sales*\"],\"Permission\":[\"aoss:UpdateCollectionItems\"]},{\"ResourceType\":\"index\",\"Resource\":[\"index/autopartsinventory/*\",\"index/salesorders/orders*\"],\"Permission\":[\"aoss:ReadDocument\",\"aoss:DescribeIndex\"]}],\"Principal\":[\"arn:aws:iam::123456789012:user/Shaheen\"]}]"
```
Untuk menyediakan kebijakan dalam file.json, gunakan formatnya. `--policy file://my-policy.json`
Prinsipal yang termasuk dalam kebijakan sekarang dapat menggunakan [OpenSearch operasi](#serverless-data-supported-permissions) yang diberikan akses kepada mereka.
## Melihat kebijakan akses data
Sebelum membuat koleksi, Anda mungkin ingin melihat pratinjau kebijakan akses data yang ada di akun Anda untuk melihat mana yang memiliki pola sumber daya yang cocok dengan nama koleksi Anda. [ListAccessPolicies](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_ListAccessPolicies.html)Permintaan berikut mencantumkan semua kebijakan akses data di akun Anda:
```
aws opensearchserverless list-access-policies --type data
```
Permintaan mengembalikan informasi tentang semua kebijakan akses data yang dikonfigurasi. Untuk melihat aturan pola yang ditentukan dalam satu kebijakan tertentu, cari informasi kebijakan dalam konten `accessPolicySummaries` elemen dalam respons. Perhatikan `name` dan `type` kebijakan ini dan gunakan properti ini dalam [GetAccessPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetAccessPolicy.html)permintaan untuk menerima tanggapan dengan rincian kebijakan berikut:
```
{
"accessPolicyDetails": [
{
"type": "data",
"name": "my-policy",
"policyVersion": "MTY2NDA1NDE4MDg1OF8x",
"description": "My policy",
"policy": "[{\"Rules\":[{\"ResourceType\":\"collection\",\"Resource\":[\"collection/autopartsinventory\",\"collection/sales*\"],\"Permission\":[\"aoss:UpdateCollectionItems\"]},{\"ResourceType\":\"index\",\"Resource\":[\"index/autopartsinventory/*\",\"index/salesorders/orders*\"],\"Permission\":[\"aoss:ReadDocument\",\"aoss:DescribeIndex\"]}],\"Principal\":[\"arn:aws:iam::123456789012:user/Shaheen\"]}]",
"createdDate": 1664054180858,
"lastModifiedDate": 1664054180858
}
]
}
```
Anda dapat menyertakan filter sumber daya untuk membatasi hasil pada kebijakan yang berisi koleksi atau indeks tertentu:
```
aws opensearchserverless list-access-policies --type data --resource "index/autopartsinventory/*"
```
Untuk melihat detail tentang kebijakan tertentu, gunakan [GetAccessPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetAccessPolicy.html)perintah.
## Memperbarui kebijakan akses data
Saat Anda memperbarui kebijakan akses data, semua koleksi terkait akan terpengaruh. **Untuk memperbarui kebijakan akses data di konsol OpenSearch Tanpa Server, pilih **Kontrol akses data**, pilih kebijakan yang akan diubah, dan pilih Edit.** Buat perubahan dan pilih **Simpan**.
Untuk memperbarui kebijakan akses data menggunakan API OpenSearch Tanpa Server, kirim permintaan. `UpdateAccessPolicy` Anda harus menyertakan versi kebijakan, yang dapat Anda ambil menggunakan `GetAccessPolicy` perintah `ListAccessPolicies` atau. Menyertakan versi kebijakan terbaru memastikan bahwa Anda tidak secara tidak sengaja mengesampingkan perubahan yang dilakukan oleh orang lain.
[UpdateAccessPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_UpdateAccessPolicy.html)Permintaan berikut memperbarui kebijakan akses data dengan dokumen JSON kebijakan baru:
```
aws opensearchserverless update-access-policy \
--name sales-inventory \
--type data \
--policy-version MTY2NDA1NDE4MDg1OF8x \
--policy file://my-new-policy.json
```
Mungkin ada jeda waktu beberapa menit antara saat Anda memperbarui kebijakan dan saat izin baru diberlakukan.
## Menghapus kebijakan akses data
Saat Anda menghapus kebijakan akses data, semua koleksi terkait kehilangan akses yang ditentukan dalam kebijakan. Pastikan bahwa pengguna IAM dan SALL Anda memiliki akses yang sesuai ke koleksi sebelum Anda menghapus kebijakan. **Untuk menghapus kebijakan di konsol OpenSearch Tanpa Server, pilih kebijakan dan pilih Hapus.**
Anda juga dapat menggunakan [DeleteAccessPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_DeleteAccessPolicy.html)perintah:
```
aws opensearchserverless delete-access-policy --name my-policy --type data
```
## Akses data lintas akun
Meskipun Anda tidak dapat membuat kebijakan akses data dengan identitas lintas akun atau koleksi lintas akun, Anda masih dapat mengatur akses lintas akun dengan opsi asumsikan peran. Misalnya, jika `account-a` memiliki koleksi yang `account-b` memerlukan akses ke, pengguna dari `account-b` dapat mengambil peran dalam`account-a`. Peran harus memiliki izin IAM `aoss:APIAccessAll` dan`aoss:DashboardsAccessAll`, dan disertakan dalam kebijakan akses data pada. `account-a`
# Akses pesawat data melalui AWS PrivateLink
Amazon OpenSearch Serverless mendukung dua jenis AWS PrivateLink koneksi untuk bidang kontrol dan operasi pesawat data. Operasi bidang kontrol meliputi pembuatan dan penghapusan koleksi dan pengelolaan kebijakan akses. Operasi bidang data adalah untuk pengindeksan dan kueri data dalam koleksi. Halaman ini mencakup titik akhir VPC bidang data. Untuk informasi tentang AWS PrivateLink titik akhir bidang kontrol, lihat[Kontrol akses pesawat melalui AWS PrivateLink](serverless-vpc-cp.md).
Anda dapat menggunakan AWS PrivateLink untuk membuat koneksi pribadi antara VPC Anda dan Amazon OpenSearch Tanpa Server. Anda dapat mengakses OpenSearch Tanpa Server seolah-olah berada di VPC Anda, tanpa menggunakan gateway internet, perangkat NAT, koneksi VPN, atau koneksi. Direct Connect Instans di VPC Anda tidak memerlukan alamat IP publik untuk OpenSearch mengakses Tanpa Server. Untuk informasi selengkapnya tentang akses jaringan VPC, lihat [Pola konektivitas jaringan untuk Amazon OpenSearch Tanpa Server](https://aws.amazon.com/blogs/big-data/network-connectivity-patterns-for-amazon-opensearch-serverless/).
Anda membuat koneksi pribadi ini dengan membuat *titik akhir antarmuka*, yang didukung oleh AWS PrivateLink. Kami membuat antarmuka jaringan endpoint di setiap subnet yang Anda tentukan untuk titik akhir antarmuka. Ini adalah antarmuka jaringan yang dikelola pemohon yang berfungsi sebagai titik masuk untuk lalu lintas yang ditujukan untuk Tanpa Server. OpenSearch
Untuk informasi selengkapnya, lihat [Mengakses Layanan AWS melalui AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) di *Panduan AWS PrivateLink *.
**Topics**
+ [
## Resolusi DNS dari titik akhir koleksi
](#vpc-endpoint-dnc)
+ [
## VPCs dan kebijakan akses jaringan
](#vpc-endpoint-network)
+ [
## VPCs dan kebijakan endpoint
](#vpc-endpoint-policy)
+ [
## Pertimbangan-pertimbangan
](#vpc-endpoint-considerations)
+ [
## Izin diperlukan
](#serverless-vpc-permissions)
+ [
## Buat titik akhir antarmuka untuk Tanpa Server OpenSearch
](#serverless-vpc-create)
+ [
## Penyiapan VPC bersama untuk Amazon Tanpa Server OpenSearch
](#shared-vpc-setup)
## Resolusi DNS dari titik akhir koleksi
Saat Anda membuat titik akhir VPC bidang data melalui konsol OpenSearch Tanpa Server, layanan akan membuat [zona host Amazon Route 53 pribadi](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html) baru dan menempelkannya ke VPC. Zona host pribadi ini terdiri dari catatan untuk menyelesaikan catatan DNS wildcard untuk koleksi OpenSearch Tanpa Server (`*.us-east-1.aoss.amazonaws.com`) ke alamat antarmuka yang digunakan untuk titik akhir. Anda hanya memerlukan satu titik akhir OpenSearch VPC Tanpa Server di VPC untuk mengakses setiap dan semua koleksi dan Dasbor di masing-masing. Wilayah AWS Setiap VPC dengan titik akhir untuk OpenSearch Tanpa Server memiliki zona host pribadinya sendiri yang terpasang.
Endpoint antarmuka OpenSearch Tanpa Server juga membuat catatan DNS wildcard Route 53 publik untuk semua koleksi di Wilayah. Nama DNS diselesaikan ke alamat IP publik Tanpa OpenSearch Server. Klien VPCs yang tidak memiliki titik akhir OpenSearch VPC Tanpa Server atau klien di jaringan publik dapat menggunakan resolver Route 53 publik dan mengakses koleksi dan Dasbor dengan alamat IP tersebut. Jenis alamat IP (IPv4, IPv6, atau Dualstack) dari titik akhir VPC ditentukan berdasarkan subnet yang disediakan saat Anda [membuat](#serverless-vpc-create) titik akhir antarmuka untuk Tanpa Server. OpenSearch
**catatan**
OpenSearch Tanpa server membuat zona host pribadi Amazon Route 53 tambahan ``.opensearch.amazonaws.com` (`) untuk OpenSearch resolusi domain Layanan. Anda dapat memperbarui titik akhir IPv4 VPC yang ada ke Dualstack dengan menggunakan perintah di file. [update-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/opensearchserverless/update-vpc-endpoint.html) AWS CLI
Alamat penyelesai DNS untuk VPC tertentu adalah alamat IP kedua dari VPC CIDR. Setiap klien di VPC perlu menggunakan resolver itu untuk mendapatkan alamat titik akhir VPC untuk koleksi apa pun. Penyelesai menggunakan zona host pribadi yang dibuat oleh OpenSearch Tanpa Server. Cukup menggunakan resolver itu untuk semua koleksi di akun apa pun. Dimungkinkan juga untuk menggunakan resolver VPC untuk beberapa titik akhir koleksi dan resolver publik untuk yang lain, meskipun biasanya tidak diperlukan.
## VPCs dan kebijakan akses jaringan
Untuk memberikan izin jaringan OpenSearch APIs dan Dasbor untuk koleksi Anda, Anda dapat menggunakan kebijakan akses [jaringan OpenSearch ](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-network.html) Tanpa Server. Anda dapat mengontrol akses jaringan ini baik dari titik akhir VPC Anda atau internet publik. Karena kebijakan jaringan Anda hanya mengontrol izin lalu lintas, Anda juga harus menyiapkan [kebijakan akses data](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html) yang menentukan izin untuk beroperasi pada data dalam koleksi dan indeksnya. Pikirkan titik akhir OpenSearch VPC Tanpa Server sebagai titik akses ke layanan, kebijakan akses jaringan sebagai titik akses tingkat jaringan ke koleksi dan Dasbor, dan kebijakan akses data sebagai titik akses untuk kontrol akses berbutir halus untuk operasi apa pun pada data dalam pengumpulan.
Karena Anda dapat menentukan beberapa titik akhir VPC IDs dalam kebijakan jaringan, sebaiknya Anda membuat titik akhir VPC untuk setiap VPC yang perlu mengakses koleksi. Ini VPCs dapat dimiliki oleh AWS akun yang berbeda dari akun yang memiliki koleksi OpenSearch Tanpa Server dan kebijakan jaringan. Kami tidak menyarankan Anda membuat VPC-to-VPC peering atau solusi proksi lainnya antara dua akun sehingga VPC satu akun dapat menggunakan titik akhir VPC akun lain. Ini kurang aman dan hemat biaya dibandingkan setiap VPC yang memiliki endpoint sendiri. VPC pertama tidak akan mudah terlihat oleh admin VPC lain, yang telah mengatur akses ke titik akhir VPC itu dalam kebijakan jaringan.
## VPCs dan kebijakan endpoint
Amazon OpenSearch Serverless mendukung kebijakan titik akhir untuk. VPCs Kebijakan endpoint adalah kebijakan berbasis sumber daya IAM yang Anda lampirkan ke titik akhir VPC untuk mengontrol AWS prinsipal mana yang dapat menggunakan titik akhir untuk mengakses layanan Anda. AWS Untuk informasi selengkapnya, lihat [Mengontrol akses ke titik akhir VPC menggunakan kebijakan titik akhir](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html).
Untuk menggunakan kebijakan endpoint, Anda harus terlebih dahulu membuat endpoint antarmuka. Anda dapat membuat titik akhir antarmuka menggunakan konsol OpenSearch Tanpa Server atau API Tanpa Server. OpenSearch Setelah membuat titik akhir antarmuka, Anda perlu menambahkan kebijakan titik akhir ke titik akhir. Untuk informasi selengkapnya, lihat [Buat titik akhir antarmuka untuk Tanpa Server OpenSearch](#serverless-vpc-create).
**catatan**
Anda tidak dapat menentukan kebijakan titik akhir secara langsung di konsol OpenSearch Layanan.
Kebijakan endpoint tidak mengesampingkan atau mengganti kebijakan berbasis identitas lainnya, kebijakan berbasis sumber daya, kebijakan jaringan, atau kebijakan akses data yang mungkin telah Anda konfigurasikan. Untuk informasi selengkapnya tentang memperbarui kebijakan titik akhir, lihat [Mengontrol akses ke titik akhir VPC menggunakan kebijakan titik akhir](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html).
Secara default, kebijakan endpoint memberikan akses penuh ke titik akhir VPC Anda.
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*"
}
]
}
```
Meskipun kebijakan titik akhir VPC default memberikan akses titik akhir penuh, Anda dapat mengonfigurasi kebijakan titik akhir VPC untuk mengizinkan akses ke peran dan pengguna tertentu. Untuk melakukan ini, lihat contoh berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"123456789012",
"987654321098"
]
},
"Action": "*",
"Resource": "*"
}
]
}
```
------
Anda dapat menentukan koleksi OpenSearch Tanpa Server yang akan disertakan sebagai elemen bersyarat dalam kebijakan titik akhir VPC Anda. Untuk melakukan ini, lihat contoh berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aoss:collection": [
"coll-abc"
]
}
}
}
]
}
```
------
Support `aoss:CollectionId` untuk didukung.
```
Condition": {
"StringEquals": {
"aoss:CollectionId": "collection-id"
}
}
```
Anda dapat menggunakan identitas SAMP dalam kebijakan titik akhir VPC Anda untuk menentukan akses titik akhir VPC. Anda harus menggunakan wildcard `(*)` di bagian utama kebijakan titik akhir VPC Anda. Untuk melakukan ini, lihat contoh berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"saml:cn": [
"saml/111122223333/idp123/group/football",
"saml/111122223333/idp123/group/soccer",
"saml/111122223333/idp123/group/cricket"
]
}
}
}
]
}
```
------
Selain itu, Anda dapat mengonfigurasi kebijakan titik akhir Anda untuk menyertakan kebijakan utama SAMP tertentu. Untuk melakukan ini, lihat yang berikut ini:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalTag/Department": [
"Engineering"]
}
}
}
]
}
```
------
Untuk informasi selengkapnya tentang menggunakan otentikasi SAMP dengan Amazon OpenSearch Tanpa Server, lihat [otentikasi SAMP untuk Amazon Tanpa Server](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-saml.html). OpenSearch
Anda juga dapat menyertakan pengguna IAM dan SAMP dalam kebijakan titik akhir VPC yang sama. Untuk melakukan ini, lihat contoh berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"saml:cn": [
"saml/111122223333/idp123/group/football",
"saml/111122223333/idp123/group/soccer",
"saml/111122223333/idp123/group/cricket"
]
}
}
},
{
"Effect": "Allow",
"Principal": {
"AWS": [
"111122223333"
]
},
"Action": "*",
"Resource": "*"
}
]
}
```
------
Anda juga dapat mengakses koleksi Amazon OpenSearch Tanpa Server dari Amazon EC2 melalui titik akhir VPC antarmuka. Untuk informasi selengkapnya, lihat, [Akses koleksi OpenSearch Tanpa Server dari Amazon EC2 (melalui titik akhir VPC antarmuka](https://aws.amazon.com/blogs/big-data/network-connectivity-patterns-for-amazon-opensearch-serverless/)).
## Pertimbangan-pertimbangan
Sebelum Anda menyiapkan titik akhir antarmuka untuk OpenSearch Tanpa Server, pertimbangkan hal berikut:
+ OpenSearch Tanpa server mendukung panggilan ke semua [operasi OpenSearch API yang didukung (bukan operasi](serverless-genref.md#serverless-operations) API konfigurasi) melalui titik akhir antarmuka.
+ Setelah Anda membuat titik akhir antarmuka untuk OpenSearch Tanpa Server, Anda masih perlu memasukkannya ke dalam [kebijakan akses jaringan](serverless-network.md) agar dapat mengakses koleksi tanpa server.
+ Secara default, akses penuh ke OpenSearch Tanpa Server diizinkan melalui titik akhir antarmuka. Anda dapat mengaitkan grup keamanan dengan antarmuka jaringan titik akhir untuk mengontrol lalu lintas ke OpenSearch Tanpa Server melalui titik akhir antarmuka.
+ Satu Akun AWS dapat memiliki maksimal 50 titik akhir OpenSearch VPC Tanpa Server.
+ Jika Anda mengaktifkan akses internet publik ke API atau Dasbor koleksi Anda dalam kebijakan jaringan, koleksi Anda dapat diakses oleh VPC apa pun dan oleh internet publik.
+ Jika Anda berada di lokasi dan di luar VPC, Anda tidak dapat menggunakan resolver DNS untuk resolusi titik akhir VPC Tanpa Server OpenSearch secara langsung. Jika Anda memerlukan akses VPN, VPC memerlukan resolver proxy DNS untuk digunakan klien eksternal. Route 53 menyediakan opsi titik akhir masuk yang dapat Anda gunakan untuk menyelesaikan kueri DNS ke VPC dari jaringan lokal atau VPC lain.
+ Zona host pribadi yang dibuat dan dilampirkan OpenSearch Tanpa Server ke VPC dikelola oleh layanan, tetapi muncul di Amazon Route 53 sumber daya Anda dan ditagih ke akun Anda.
+ *Untuk pertimbangan lain, lihat [Pertimbangan](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) dalam Panduan.AWS PrivateLink *
## Izin diperlukan
Akses VPC untuk OpenSearch Tanpa Server menggunakan izin AWS Identity and Access Management (IAM) berikut. Anda dapat menentukan kondisi IAM untuk membatasi pengguna ke koleksi tertentu.
+ `aoss:CreateVpcEndpoint`— Buat titik akhir VPC.
+ `aoss:ListVpcEndpoints`— Daftar semua titik akhir VPC.
+ `aoss:BatchGetVpcEndpoint`— Lihat detail tentang subset titik akhir VPC.
+ `aoss:UpdateVpcEndpoint`— Memodifikasi titik akhir VPC.
+ `aoss:DeleteVpcEndpoint`— Hapus titik akhir VPC.
Selain itu, Anda memerlukan izin Amazon EC2 dan Route 53 berikut untuk membuat titik akhir VPC.
+ `ec2:CreateTags`
+ `ec2:CreateVpcEndpoint`
+ `ec2:DeleteVpcEndPoints`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeVpcEndpoints`
+ `ec2:DescribeVpcs`
+ `ec2:ModifyVpcEndPoint`
+ `route53:AssociateVPCWithHostedZone`
+ `route53:ChangeResourceRecordSets`
+ `route53:CreateHostedZone`
+ `route53:DeleteHostedZone`
+ `route53:GetChange`
+ `route53:GetHostedZone`
+ `route53:ListHostedZonesByName`
+ `route53:ListHostedZonesByVPC`
+ `route53:ListResourceRecordSets`
## Buat titik akhir antarmuka untuk Tanpa Server OpenSearch
Anda dapat membuat titik akhir antarmuka untuk OpenSearch Tanpa Server menggunakan konsol atau API Tanpa Server. OpenSearch
**Untuk membuat titik akhir antarmuka untuk koleksi Tanpa OpenSearch Server**
1. Buka konsol OpenSearch Layanan Amazon di [https://console.aws.amazon.com/aos/rumah](https://console.aws.amazon.com/aos/home).
1. **Di panel navigasi kiri, perluas **Tanpa Server** dan pilih titik akhir VPC.**
1. Pilih **Buat titik akhir VPC**.
1. Berikan nama untuk titik akhir.
1. Untuk **VPC**, pilih VPC tempat Anda akan mengakses Tanpa Server. OpenSearch
1. Untuk **Subnet**, pilih satu subnet yang akan Anda akses tanpa OpenSearch server.
+ Alamat IP Endpoint dan tipe DNS didasarkan pada tipe subnet
+ Dualstack: Jika semua subnet memiliki keduanya IPv4 dan rentang alamat IPv6
+ IPv6: Jika semua subnet IPv6 hanya subnet
+ IPv4: Jika semua subnet memiliki rentang IPv4 alamat
1. Untuk **grup Keamanan**, pilih grup keamanan untuk diasosiasikan dengan antarmuka jaringan titik akhir. Ini adalah langkah penting di mana Anda membatasi port, protokol, dan sumber untuk lalu lintas masuk yang Anda otorisasi ke titik akhir Anda. Pastikan bahwa aturan grup keamanan memungkinkan sumber daya yang akan menggunakan titik akhir VPC untuk berkomunikasi dengan OpenSearch Tanpa Server untuk berkomunikasi dengan antarmuka jaringan titik akhir.
1. Pilih **Buat titik akhir**.
Untuk membuat titik akhir VPC menggunakan API OpenSearch Tanpa Server, gunakan perintah. `CreateVpcEndpoint`
**catatan**
Setelah Anda membuat titik akhir, catat ID-nya (misalnya,`vpce-abc123def4EXAMPLE`. Untuk memberikan akses titik akhir ke koleksi Anda, Anda harus menyertakan ID ini dalam satu atau beberapa kebijakan akses jaringan.
Setelah membuat titik akhir antarmuka, Anda harus menyediakannya akses ke koleksi melalui kebijakan akses jaringan. Untuk informasi selengkapnya, lihat [Akses jaringan untuk Amazon Tanpa OpenSearch Server](serverless-network.md).
## Penyiapan VPC bersama untuk Amazon Tanpa Server OpenSearch
Anda dapat menggunakan Amazon Virtual Private Cloud (VPC) untuk berbagi subnet VPC dengan subnet lain Akun AWS di organisasi Anda, serta berbagi infrastruktur jaringan seperti VPN antar sumber daya dalam beberapa. Akun AWS
Saat ini, Amazon OpenSearch Serverless tidak mendukung pembuatan AWS PrivateLink koneksi ke VPC bersama kecuali Anda adalah pemilik VPC tersebut. AWS PrivateLink juga tidak mendukung berbagi koneksi antara Akun AWS.
Namun, berdasarkan arsitektur OpenSearch Serverless yang fleksibel dan modular, Anda masih dapat mengatur VPC bersama. Ini karena infrastruktur jaringan OpenSearch Tanpa Server terpisah dari infrastruktur pengumpulan individu (OpenSearch Layanan). Oleh karena itu, Anda dapat membuat AWS PrivateLink VPCe titik akhir untuk satu akun di mana VPC berada, dan kemudian menggunakan VPCe ID dalam kebijakan jaringan akun lain untuk membatasi lalu lintas yang hanya berasal dari VPC bersama itu.
Prosedur berikut mengacu pada *akun pemilik* dan *akun konsumen*.
Akun pemilik bertindak sebagai akun jaringan umum tempat Anda menyiapkan VPC dan membagikannya dengan akun lain. Akun konsumen adalah akun yang membuat dan memelihara koleksi OpenSearch Tanpa Server mereka di VPC yang dibagikan dengan mereka oleh akun pemilik.
**Prasyarat**
Pastikan persyaratan berikut terpenuhi sebelum menyiapkan VPC bersama:
+ Akun pemilik yang dituju harus sudah menyiapkan VPC, subnet, tabel rute, dan sumber daya lain yang diperlukan di Amazon Virtual Private Cloud. Untuk informasi selengkapnya, silakan lihat ACL Jaringan di *[Panduan Pengguna Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/)*.
+ Akun pemilik dan akun konsumen yang dimaksud harus milik organisasi yang sama di AWS Organizations. Untuk informasi selengkapnya, silakan lihat *Panduan Pengguna [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/)*.
**Untuk menyiapkan VPC bersama di akun account/common jaringan pemilik.**
1. Masuk ke konsol OpenSearch Layanan Amazon di [https://console.aws.amazon.com/aos/rumah](https://console.aws.amazon.com/aos/home).
1. Ikuti langkah-langkah di [Buat titik akhir antarmuka untuk Tanpa Server OpenSearch](#serverless-vpc-create). Seperti yang Anda lakukan, buat pilihan berikut:
+ Pilih VPC dan subnet yang dibagikan dengan akun konsumen di organisasi Anda.
1. Setelah Anda membuat titik akhir, catat VPCe ID yang dihasilkan dan berikan kepada administrator yang akan melakukan tugas penyiapan di akun konsumen.
VPCe IDs berada dalam format`vpce-abc123def4EXAMPLE`.
**Untuk menyiapkan VPC bersama di akun konsumen**
1. Masuk ke konsol OpenSearch Layanan Amazon di [https://console.aws.amazon.com/aos/rumah](https://console.aws.amazon.com/aos/home).
1. Gunakan informasi [Mengelola koleksi Amazon OpenSearch Tanpa Server](serverless-manage.md) untuk membuat koleksi, jika Anda belum memilikinya.
1. Gunakan informasi [Membuat kebijakan jaringan (konsol)](serverless-network.md#serverless-network-console) untuk membuat kebijakan jaringan. Seperti yang Anda lakukan, buat pilihan berikut.
**catatan**
Anda juga dapat memperbarui kebijakan jaringan yang ada untuk tujuan ini.
1. Untuk **tipe Access**, pilih **VPC (disarankan)**.
1. Untuk **titik akhir VPC untuk akses**, pilih VPCe ID yang diberikan kepada Anda oleh akun pemilik, dalam format. `vpce-abc123def4EXAMPLE`
1. Di area **tipe Resource**, lakukan hal berikut:
+ Pilih kotak **Aktifkan akses ke OpenSearch titik akhir**, lalu pilih nama koleksi atau pola koleksi yang akan digunakan untuk mengaktifkan akses dari VPC bersama itu.
+ Pilih kotak **Aktifkan akses ke OpenSearch Dasbor**, lalu pilih nama koleksi atau pola koleksi yang akan digunakan untuk mengaktifkan akses dari VPC bersama itu.
1. Untuk kebijakan baru, pilih **Buat**. Untuk kebijakan yang ada, pilih **Perbarui**.
# Kontrol akses pesawat melalui AWS PrivateLink
Amazon OpenSearch Serverless mendukung dua jenis AWS PrivateLink koneksi untuk bidang kontrol dan operasi pesawat data. Operasi bidang kontrol meliputi pembuatan dan penghapusan koleksi dan pengelolaan kebijakan akses. Operasi bidang data adalah untuk pengindeksan dan kueri data dalam koleksi. Halaman ini mencakup AWS PrivateLink titik akhir bidang kontrol. Untuk informasi tentang titik akhir VPC bidang data, lihat. [Akses pesawat data melalui AWS PrivateLink](serverless-vpc.md)
## Membuat titik AWS PrivateLink akhir bidang kontrol
Anda dapat meningkatkan postur keamanan VPC Anda dengan mengonfigurasi OpenSearch Tanpa Server untuk menggunakan titik akhir VPC antarmuka. Endpoint antarmuka didukung oleh AWS PrivateLink. Teknologi ini memungkinkan Anda mengakses Tanpa OpenSearch Server secara pribadi APIs tanpa gateway internet, perangkat NAT, koneksi VPN, atau koneksi Direct AWS Connect.
Untuk informasi selengkapnya tentang AWS PrivateLink dan titik akhir VPC, lihat titik [akhir VPC di](https://docs.aws.amazon.com/vpc/latest/privatelink/concepts.html#concepts-vpc-endpoints) Panduan Pengguna Amazon VPC.
### Pertimbangan-pertimbangan
+ Titik akhir VPC hanya didukung dalam Wilayah yang sama.
+ Titik akhir VPC hanya mendukung DNS yang disediakan Amazon melalui Amazon Route 53.
+ Titik akhir VPC mendukung kebijakan titik akhir untuk mengontrol akses ke Koleksi Tanpa OpenSearch Server, Kebijakan, dan. VpcEndpoints
+ OpenSearch Tanpa server hanya mendukung titik akhir antarmuka. Titik akhir Gateway tidak didukung.
### Membuat titik akhir VPC
*Untuk membuat titik akhir VPC bidang kontrol untuk Amazon OpenSearch Tanpa Server, gunakan prosedur [Access an AWS service menggunakan antarmuka VPC endpoint di Panduan Pengembang Amazon VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint).* Buat titik akhir berikut:
+ `com.amazonaws.region.aoss`
**Untuk membuat titik akhir VPC bidang kontrol menggunakan konsol**
1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Di panel navigasi, pilih **Titik akhir**.
1. Pilih **Buat Titik Akhir**.
1. Untuk **Kategori layanan**, pilih **Layanan AWS**.
1. Untuk **Layanan**, pilih`com.amazonaws.region.aoss`. Misalnya, `com.amazonaws.us-east-1.aoss`.
1. Untuk **VPC**, pilih VPC yang akan digunakan untuk menciptakan titik akhir.
1. Untuk **Subnet**, pilih subnet (Availability Zones) untuk membuat antarmuka jaringan endpoint.
1. Untuk **grup Keamanan**, pilih grup keamanan untuk diasosiasikan dengan antarmuka jaringan titik akhir. Pastikan HTTPS (port 443) diizinkan.
1. Untuk **Kebijakan**, pilih **Akses penuh** untuk mengizinkan semua operasi, atau pilih **Kustom** untuk melampirkan kebijakan kustom.
1. Pilih **Buat titik akhir**.
### Membuat kebijakan endpoint
Anda dapat melampirkan kebijakan titik akhir ke titik akhir VPC yang mengontrol akses ke Amazon Tanpa Server. OpenSearch Kebijakan titik akhir menentukan informasi berikut:
+ Prinsipal yang dapat melakukan tindakan.
+ Tindakan yang dapat dilakukan.
+ Sumber daya yang menjadi target tindakan.
Untuk informasi selengkapnya, lihat [Mengontrol Akses ke Layanan dengan titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) dalam *Panduan Pengguna Amazon VPC*.
**Example Kebijakan titik akhir VPC untuk Tanpa Server OpenSearch**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"aoss:ListCollections",
"aoss:BatchGetCollection"
],
"Resource": "*"
}
]
}
```
**Example Kebijakan restriktif yang hanya mengizinkan operasi daftar**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "aoss:ListCollections",
"Resource": "*"
}
]
}
```
# Otentikasi SAMP untuk Amazon Tanpa Server OpenSearch
Dengan autentikasi SAMP untuk Amazon OpenSearch Tanpa Server, Anda dapat menggunakan penyedia identitas yang ada untuk menawarkan sistem masuk tunggal (SSO) untuk titik akhir Dasbor koleksi tanpa server. OpenSearch
Otentikasi SAMP memungkinkan Anda menggunakan penyedia identitas pihak ketiga untuk masuk ke OpenSearch Dasbor untuk mengindeks dan mencari data. OpenSearch Serverless mendukung penyedia yang menggunakan standar SAMP 2.0, seperti IAM Identity Center, Okta, Keycloak, Active Directory Federation Services (AD FS), dan Auth0. Anda dapat mengonfigurasi Pusat Identitas IAM untuk menyinkronkan pengguna dan grup dari sumber identitas lain seperti Okta,, OneLogin dan Microsoft Entra ID. Untuk daftar sumber identitas yang didukung oleh IAM Identity Center dan langkah-langkah untuk mengonfigurasinya, lihat [Memulai tutorial](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) di *Panduan Pengguna Pusat Identitas IAM*.
**catatan**
Otentikasi SAMP hanya untuk mengakses OpenSearch Dasbor melalui browser web. Pengguna yang diautentikasi hanya dapat membuat permintaan ke operasi OpenSearch API melalui **Alat Pengembang di OpenSearch Dasbor**. Kredensyal SAMP Anda *tidak* memungkinkan Anda membuat permintaan HTTP langsung ke operasi API. OpenSearch
Untuk mengatur otentikasi SAMP, pertama-tama Anda mengonfigurasi penyedia identitas SAMP (iDP). Anda kemudian menyertakan satu atau beberapa pengguna dari IDP tersebut dalam kebijakan [akses data](serverless-data-access.md). Kebijakan ini memberikan izin tertentu untuk indeks koleksi and/or . Pengguna kemudian dapat masuk ke OpenSearch Dasbor dan melakukan tindakan yang diizinkan dalam kebijakan akses data.
![\[SAML authentication flow with data access policy, OpenSearch interface, and JSON configuration.\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/images/serverless-saml-flow.png)
**Topics**
+ [
## Pertimbangan-pertimbangan
](#serverless-saml-considerations)
+ [
## Izin diperlukan
](#serverless-saml-permissions)
+ [
## Membuat penyedia SAMP (konsol)
](#serverless-saml-creating)
+ [
## Mengakses Dasbor OpenSearch
](#serverless-saml-dashboards)
+ [
## Memberikan akses identitas SAMP ke pengumpulan data
](#serverless-saml-policies)
+ [
## Membuat penyedia SAMP ()AWS CLI
](#serverless-saml-creating-api)
+ [
## Melihat penyedia SAMP
](#serverless-saml-viewing)
+ [
## Memperbarui penyedia SAMP
](#serverless-saml-updating)
+ [
## Menghapus penyedia SAMP
](#serverless-saml-deleting)
## Pertimbangan-pertimbangan
Pertimbangkan hal berikut saat mengonfigurasi otentikasi SAMP:
+ Permintaan yang ditandatangani dan dienkripsi tidak didukung.
+ Pernyataan terenkripsi tidak didukung.
+ Autentikasi dan sign-out yang diprakarsai IDP tidak didukung.
+ Kebijakan Kontrol Layanan (SCP) tidak akan berlaku atau dievaluasi dalam kasus identitas non-IAM (seperti SAMP di Amazon OpenSearch Tanpa Server & SAMP dan otorisasi pengguna internal dasar untuk Layanan Amazon). OpenSearch
## Izin diperlukan
Otentikasi SAMP untuk OpenSearch Tanpa Server menggunakan izin AWS Identity and Access Management (IAM) berikut:
+ `aoss:CreateSecurityConfig`— Buat penyedia SAMP.
+ `aoss:ListSecurityConfig`— Daftar semua penyedia SAMP di akun saat ini.
+ `aoss:GetSecurityConfig`— Lihat informasi penyedia SAMP.
+ `aoss:UpdateSecurityConfig`— Memodifikasi konfigurasi penyedia SAMP yang diberikan, termasuk metadata XML.
+ `aoss:DeleteSecurityConfig`— Hapus penyedia SAMP.
Kebijakan akses berbasis identitas berikut memungkinkan pengguna untuk mengelola semua konfigurasi iDP:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aoss:CreateSecurityConfig",
"aoss:DeleteSecurityConfig",
"aoss:GetSecurityConfig",
"aoss:UpdateSecurityConfig",
"aoss:ListSecurityConfigs"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Perhatikan bahwa `Resource` elemen harus menjadi wildcard.
## Membuat penyedia SAMP (konsol)
Langkah-langkah ini menjelaskan cara membuat penyedia SAMP. Ini memungkinkan otentikasi SAMP dengan otentikasi yang dimulai oleh penyedia layanan (SP) untuk Dasbor. OpenSearch Otentikasi yang diprakarsai IDP tidak didukung.
**Untuk mengaktifkan otentikasi SAMP untuk Dasbor OpenSearch**
1. Masuk ke konsol OpenSearch Layanan Amazon di [https://console.aws.amazon.com/aos/rumah](https://console.aws.amazon.com/aos/home ).
1. Di panel navigasi kiri, perluas **Tanpa Server** dan pilih otentikasi **SAMP**.
1. Pilih **Tambahkan penyedia SAMP**.
1. Berikan nama dan deskripsi untuk penyedia.
**catatan**
Nama yang Anda tentukan dapat diakses publik dan akan muncul di menu tarik-turun saat pengguna masuk ke Dasbor. OpenSearch Pastikan nama tersebut mudah dikenali dan tidak mengungkapkan informasi sensitif tentang penyedia identitas Anda.
1. Di bawah **Konfigurasi iDP Anda**, salin URL assertion consumer service (ACS).
1. Gunakan URL ACS yang baru saja Anda salin untuk mengonfigurasi penyedia identitas Anda. Terminologi dan langkah-langkah bervariasi menurut penyedia. Baca dokumentasi dari penyedia Anda.
Di Okta, misalnya, Anda membuat “aplikasi web SAMP 2.0” dan menentukan URL ACS sebagai URL **Single Sign On, URL** **Penerima, dan URL** **Tujuan**. Untuk Auth0, Anda menentukannya di **Allowed Callback URLs**.
1. Berikan batasan audiens jika IDP Anda memiliki bidang untuk itu. Pembatasan audiens adalah nilai dalam pernyataan SAMP yang menentukan untuk siapa pernyataan itu dimaksudkan. Dengan OpenSearch Tanpa Server, Anda dapat melakukan hal berikut. Pastikan untuk mengganti contoh kode berikut dengan Akun AWS ID Anda sendiri: *content*
1. Gunakan batasan `:opensearch:111122223333` audiens default.
1. (Opsional) mengkonfigurasi pembatasan audiens kustom menggunakan. AWS CLI Untuk informasi selengkapnya, lihat [Membuat penyedia SAMP ()AWS CLI](#serverless-saml-creating-api).
Nama bidang pembatasan audiens bervariasi menurut penyedia. Untuk Okta itu **Audience URI (SP Entity ID)**. Untuk Pusat Identitas IAM itu adalah audiens **Aplikasi SAMP**.
1. Jika Anda menggunakan IAM Identity Center, Anda juga perlu menentukan [pemetaan atribut](https://docs.aws.amazon.com/singlesignon/latest/userguide/attributemappingsconcept.html) berikut:`Subject=${user:name}`, dengan format. `unspecified`
1. Setelah Anda konfigurasi, penyedia identitas akan menghasilkan file metadata IdP. File XHTML ini berisi informasi tentang penyedia, seperti sertifikat TLS, titik akhir masuk tunggal, dan ID entitas penyedia identitas.
Salin teks dalam file metadata iDP dan tempel di bawah **Menyediakan metadata** dari bidang IDP Anda. Sebagai alternatif, pilih **Impor dari file XHTML dan unggah file**. File metadata harus terlihat seperti ini:
```
tls-certificate
s
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
```
1. Biarkan bidang **atribut Custom user ID** kosong untuk menggunakan `NameID` elemen pernyataan SAMP untuk nama pengguna. Jika penegasan Anda tidak menggunakan elemen standar ini dan sebagai gantinya menyertakan nama pengguna sebagai atribut kustom, tentukan atribut di sini. Atribut peka huruf besar/kecil. Hanya satu atribut pengguna yang didukung.
Contoh berikut menunjukkan atribut override untuk `NameID` dalam pernyataan SAMP:
```
annie
```
1. (Opsional) Tentukan atribut khusus di bidang **atribut Grup**, seperti `role` atau`group`. Hanya satu atribut grup yang didukung. Tidak ada atribut grup default. Jika Anda tidak menentukannya, kebijakan akses data Anda hanya dapat berisi prinsipal pengguna.
Contoh berikut menunjukkan atribut grup dalam pernyataan SAMP:
```
finance
```
1. Secara default, OpenSearch Dasbor membuat pengguna keluar setelah 24 jam. Anda dapat mengonfigurasi nilai ini ke angka apa pun antara 1 dan 12 jam (15 dan 720 menit) dengan menentukan batas waktu **OpenSearch Dasbor**. Jika Anda mencoba mengatur batas waktu sama dengan atau kurang dari 15 menit, sesi Anda akan diatur ulang menjadi satu jam.
1. Pilih **Buat penyedia SAMP**.
## Mengakses Dasbor OpenSearch
Setelah Anda mengonfigurasi penyedia SAMP, semua pengguna dan grup yang terkait dengan penyedia tersebut dapat menavigasi ke titik akhir OpenSearch Dasbor. URL Dasbor memiliki format `collection-endpoint/_dashboards/` *untuk semua koleksi*.
Jika Anda mengaktifkan SAMP, memilih tautan di Konsol Manajemen AWS mengarahkan Anda ke halaman pilihan iDP, tempat Anda dapat masuk menggunakan kredensyal SAMP Anda. Pertama, gunakan dropdown untuk memilih penyedia identitas:
![\[OpenSearch login page with dropdown menu for selecting SAML Identity Provider options.\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/images/idpList.png)
Kemudian masuk menggunakan kredensi IDP Anda.
Jika Anda tidak mengaktifkan SAMP, memilih tautan di Konsol Manajemen AWS mengarahkan Anda untuk masuk sebagai pengguna atau peran IAM, tanpa opsi untuk SAMP.
## Memberikan akses identitas SAMP ke pengumpulan data
Setelah membuat penyedia SAMP, Anda masih perlu memberi pengguna dan grup yang mendasarinya akses ke data dalam koleksi Anda. Anda memberikan akses melalui [kebijakan akses data](serverless-data-access.md). Sampai Anda memberikan akses kepada pengguna, mereka tidak akan dapat membaca, menulis, atau menghapus data apa pun dalam koleksi Anda.
Untuk memberikan akses, buat kebijakan akses data dan tentukan and/or grup pengguna SAMP Anda IDs dalam `Principal` pernyataan:
```
[
{
"Rules":[
...
],
"Principal":[
"saml/987654321098/myprovider/user/Shaheen",
"saml/987654321098/myprovider/group/finance"
]
}
]
```
Anda dapat memberikan akses ke koleksi, indeks, atau keduanya. Jika Anda ingin pengguna yang berbeda memiliki izin yang berbeda, buat beberapa aturan. Untuk daftar izin yang tersedia, lihat [Izin kebijakan yang didukung](serverless-data-access.md#serverless-data-supported-permissions). Untuk informasi tentang cara memformat kebijakan akses, lihat [Sintaks kebijakan](serverless-data-access.md).
## Membuat penyedia SAMP ()AWS CLI
Untuk membuat penyedia SAMP menggunakan API OpenSearch Tanpa Server, kirim permintaan: [CreateSecurityConfig](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateSecurityConfig.html)
```
aws opensearchserverless create-security-config \
--name myprovider \
--type saml \
--saml-options file://saml-auth0.json
```
Tentukan`saml-options`, termasuk metadata XML, sebagai peta nilai kunci dalam file.json. [Metadata XMLharus dikodekan sebagai string lolos JSON.](https://www.freeformatter.com/json-escape.html)
```
{
"sessionTimeout": 70,
"groupAttribute": "department",
"userAttribute": "userid",
"openSearchServerlessEntityId": "aws:opensearch:111122223333:app1",
"metadata": "EntityDescriptor xmlns=\"urn:oasis:names:tc:SAML:2.0:metadata\" ... ... ... IDPSSODescriptor\r\n\/EntityDescriptor"
}
```
**catatan**
(Opsional) mengkonfigurasi pembatasan audiens kustom menggunakan. AWS CLI Untuk informasi selengkapnya, lihat [Membuat penyedia SAMP ()AWS CLI](#serverless-saml-creating-api).
## Melihat penyedia SAMP
[ListSecurityConfigs](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_ListSecurityConfigs.html)Permintaan berikut mencantumkan semua penyedia SAMP di akun Anda:
```
aws opensearchserverless list-security-configs --type saml
```
Permintaan mengembalikan informasi tentang semua penyedia SAMP yang ada, termasuk metadata IDP lengkap yang dihasilkan oleh penyedia identitas Anda:
```
{
"securityConfigDetails": [
{
"configVersion": "MTY2NDA1MjY4NDQ5M18x",
"createdDate": 1664054180858,
"description": "Example SAML provider",
"id": "saml/111122223333/myprovider",
"lastModifiedDate": 1664054180858,
"samlOptions": {
"groupAttribute": "department",
"metadata": "EntityDescriptorxmlns=\"urn:oasis:names:tc:SAML:2.0:metadata\" ...... ...IDPSSODescriptor\r\n/EntityDescriptor",
"sessionTimeout": 120,
"openSearchServerlessEntityId": "aws:opensearch:111122223333:app1",
"userAttribute": "userid"
}
}
]
}
```
Untuk melihat detail tentang penyedia tertentu, termasuk pembaruan `configVersion` for future, kirim `GetSecurityConfig` permintaan.
## Memperbarui penyedia SAMP
**Untuk memperbarui penyedia SAMP menggunakan konsol OpenSearch Tanpa Server, pilih **otentikasi SAMP**, pilih penyedia identitas Anda, dan pilih Edit.** Anda dapat memodifikasi semua bidang, termasuk metadata dan atribut kustom.
Untuk memperbarui penyedia melalui API OpenSearch Tanpa Server, kirim [UpdateSecurityConfig](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_UpdateSecurityConfig.html)permintaan dan sertakan pengenal kebijakan yang akan diperbarui. Anda juga harus menyertakan versi konfigurasi, yang dapat Anda ambil menggunakan `GetSecurityConfig` perintah `ListSecurityConfigs` atau. Menyertakan versi terbaru memastikan bahwa Anda tidak secara tidak sengaja mengesampingkan perubahan yang dilakukan oleh orang lain.
Permintaan berikut memperbarui opsi SAMP untuk penyedia:
```
aws opensearchserverless update-security-config \
--id saml/123456789012/myprovider \
--type saml \
--saml-options file://saml-auth0.json \
--config-version MTY2NDA1MjY4NDQ5M18x
```
Tentukan opsi konfigurasi SAMP Anda sebagai peta nilai kunci dalam file.json.
**penting**
**Pembaruan untuk opsi SAMP *tidak inkremental***. Jika Anda tidak menentukan nilai untuk parameter dalam `SAMLOptions` objek saat Anda melakukan pembaruan, nilai yang ada akan diganti dengan nilai kosong. Misalnya, jika konfigurasi saat ini berisi nilai untuk`userAttribute`, dan kemudian Anda membuat pembaruan dan tidak menyertakan nilai ini, nilai akan dihapus dari konfigurasi. Pastikan Anda tahu apa nilai yang ada sebelum Anda membuat pembaruan dengan memanggil `GetSecurityConfig` operasi.
## Menghapus penyedia SAMP
Saat Anda menghapus penyedia SAMP, referensi apa pun ke pengguna dan grup terkait dalam kebijakan akses data Anda tidak lagi berfungsi. Untuk menghindari kebingungan, kami sarankan Anda menghapus semua referensi ke titik akhir dalam kebijakan akses Anda sebelum Anda menghapus titik akhir.
**Untuk menghapus penyedia SAMP menggunakan konsol OpenSearch Tanpa Server, pilih **Autentikasi**, pilih penyedia, dan pilih Hapus.**
Untuk menghapus penyedia melalui API OpenSearch Tanpa Server, kirim permintaan: [DeleteSecurityConfig](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_DeleteSecurityConfig.html)
```
aws opensearchserverless delete-security-config --id saml/123456789012/myprovider
```
# Validasi kepatuhan untuk Amazon Tanpa Server OpenSearch
Auditor pihak ketiga menilai keamanan dan kepatuhan Amazon OpenSearch Serverless sebagai bagian dari beberapa AWS program kepatuhan. Hal ini mencakup SOC, PCI, dan HIPAA.
Untuk mempelajari apakah an Layanan AWS berada dalam lingkup program kepatuhan tertentu, lihat [Layanan AWS di Lingkup oleh Program Kepatuhan Layanan AWS](https://aws.amazon.com/compliance/services-in-scope/) dan pilih program kepatuhan yang Anda minati. Untuk informasi umum, lihat [Program AWS Kepatuhan Program AWS](https://aws.amazon.com/compliance/programs/) .
Anda dapat mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat [Mengunduh Laporan di AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, dan hukum dan peraturan yang berlaku. Untuk informasi selengkapnya tentang tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS, lihat [Dokumentasi AWS Keamanan](https://docs.aws.amazon.com/security/).