Gestione dell'accesso all' OpenSearch interfaccia utente da un endpoint VPC - OpenSearch Servizio Amazon
Creazione di una connessione privata tra un VPC e un'interfaccia utente OpenSearch Aggiornamento della policy degli endpoint VPC per consentire l'accesso all'applicazione UI OpenSearch Revoca dell'accesso all' OpenSearchinterfaccia utente in una policy di endpoint VPC

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione dell'accesso all' OpenSearch interfaccia utente da un endpoint VPC

Puoi creare una connessione privata tra il tuo VPC e l' OpenSearch interfaccia utente utilizzando. AWS PrivateLink Utilizzando questa connessione, puoi accedere alle applicazioni OpenSearch dell'interfaccia utente come se si trovassero nello stesso VPC. In questo modo, non è necessario configurare un gateway Internet, un dispositivo NAT, una connessione VPN o AWS Direct Connect stabilire la connessione. Le istanze nel tuo VPC non necessitano di indirizzi IP pubblici per accedere all' OpenSearch interfaccia utente.

Per stabilire questa connessione privata, devi prima creare un'interfaccia endpoint alimentata da. AWS PrivateLink Un'interfaccia di rete endpoint viene creata automaticamente in ogni sottorete specificata per l'endpoint di interfaccia. Si tratta di interfacce di rete gestite dai richiedenti che fungono da punto di ingresso per il traffico destinato alle applicazioni dell'interfaccia utente. OpenSearch

Creazione di una connessione privata tra un VPC e un'interfaccia utente OpenSearch

Puoi creare una connessione privata per accedere all' OpenSearch interfaccia utente da un VPC utilizzando o. AWS Management Console AWS CLI

Creazione di una connessione privata tra un VPC e un' OpenSearch interfaccia utente (console)

Per creare una connessione privata tra un VPC e l' OpenSearch interfaccia utente utilizzando la console

  1. Accedi alla console di Amazon OpenSearch Service da https://console.aws.amazon.com/aos/casa.

  2. Nella barra di navigazione a sinistra, in Serverless, scegli Endpoint VPC.

  3. Scegli Create VPC endpoint (Crea endpoint VPC).

  4. In Nome, inserisci un nome per l'endpoint.

  5. Per VPC, seleziona il VPC da cui accederai alle OpenSearch applicazioni dell'interfaccia utente.

  6. Per le sottoreti, seleziona una sottorete da cui accedere alle applicazioni dell'interfaccia utente. OpenSearch

    Nota

    L'indirizzo IP e il tipo DNS di un endpoint si basano sul tipo di sottorete:

    • Dual-stack: se tutte le sottoreti hanno entrambi gli intervalli di indirizzi. IPv4 IPv6

    • IPv6: Se tutte le sottoreti sono solo sottoreti. IPv6

    • IPv4: Se tutte le sottoreti hanno intervalli di indirizzi. IPv4

  7. Per i gruppi di sicurezza, selezionare uno o più gruppi di sicurezza da associare alle interfacce di rete degli endpoint.

    Nota

    In questo passaggio, stai limitando le porte, i protocolli e le fonti per il traffico in entrata che stai autorizzando verso il tuo endpoint. Assicurati che le regole del gruppo di sicurezza consentano alle risorse che utilizzeranno l'endpoint VPC di comunicare con le applicazioni OpenSearch dell'interfaccia utente di comunicare anche con l'interfaccia di rete dell'endpoint.

  8. 8. Seleziona Crea endpoint.

Creazione di una connessione privata tra un VPC e l' OpenSearch interfaccia utente ()AWS CLI

Per creare una connessione privata tra un VPC e l' OpenSearch interfaccia utente utilizzando il AWS CLI

Esegui il comando seguente. Sostituire placeholder values con le proprie informazioni.

aws opensearchserverless create-vpc-endpoint \
    --region region \
    --endpoint endpoint \
    --name vpc_endpoint_name \
    --vpc-id vpc_id \
    --subnet-ids subnet_ids

Aggiornamento della policy degli endpoint VPC per consentire l'accesso all'applicazione UI OpenSearch

Dopo aver creato la connessione privata, aggiorna la policy degli endpoint VPC per consentire l'accesso all'applicazione OpenSearch UI nella policy degli endpoint VPC specificando l'ID dell'applicazione.

Per informazioni sull'aggiornamento di una policy per gli endpoint VPC, consulta Aggiornare una policy per gli endpoint VPC nella Guida.AWS PrivateLink

Assicurati che la policy degli endpoint VPC includa la seguente dichiarazione. Sostituire placeholder value con le proprie informazioni.

{
    "Statement": [{
        "Action": ["opensearch:*"],
        "Effect": "Allow",
        "Principal": "*",
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "opensearch:ApplicationId": ["opensearch-ui-application-id"]
            }
        }
    }]
}

Revoca dell'accesso all' OpenSearchinterfaccia utente in una policy di endpoint VPC

OpenSearch L'interfaccia utente richiede un'autorizzazione esplicita nella policy degli endpoint VPC per consentire agli utenti di accedere all'applicazione dal VPC. Se non desideri più che gli utenti accedano all' OpenSearch interfaccia utente dal VPC, puoi rimuovere l'autorizzazione nella policy degli endpoint. Successivamente, gli utenti visualizzano un messaggio di 403 forbidden errore quando tentano di accedere all'interfaccia utente. OpenSearch

Per informazioni sull'aggiornamento di una policy per gli endpoint VPC, consulta Aggiornare una policy per gli endpoint VPC nella Guida.AWS PrivateLink

Di seguito è riportato un esempio di policy degli endpoint VPC che nega l'accesso alle applicazioni dell'interfaccia utente dal VPC:

{
    "Statement": [{
        "Action": ["opensearch:*"],
        "Effect": "Allow",
        "Principal": "*",
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "opensearch:ApplicationId": [""]
            }
        }
    }]
}