Configurazione delle pipeline OpenSearch di ingestione per l'ingestione tra account - OpenSearch Servizio Amazon

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione delle pipeline OpenSearch di ingestione per l'ingestione tra account

Per sorgenti basate su push come HTTP e OTel Amazon OpenSearch Ingestion ti consente di condividere le pipeline Account AWS da un cloud privato virtuale (VPC) a un endpoint di pipeline in un VPC separato. I team che condividono le analisi con altri team della propria organizzazione utilizzano questa funzionalità per un mezzo più semplificato, ad esempio, per condividere l'analisi dei log.

Questa sezione utilizza la seguente terminologia:

  • Proprietario della pipeline: l'account che possiede e gestisce la pipeline di ingestione. OpenSearch Solo un account può possedere una pipeline.

  • Account di connessione: un account che si connette e utilizza una pipeline condivisa. È possibile connettere più account alla stessa pipeline.

VPCs Per configurare la condivisione tra le pipeline di OpenSearch Ingestion Account AWS, completa le seguenti attività, come descritto di seguito:

Prima di iniziare

Prima di configurare VPCs la condivisione tra le pipeline di OpenSearch Ingestion Account AWS, completate le seguenti attività:

Attività Informazioni

Crea una o più pipeline di ingestione OpenSearch

Imposta il numero minimo di unità di OpenSearch calcolo (OSUs) su 2 o superiore. Per ulteriori informazioni, consulta Creazione di pipeline Amazon OpenSearch Ingestion. Per informazioni sull'aggiornamento di una pipeline, vedere. Aggiornamento delle pipeline di Amazon OpenSearch Ingestion

Creane uno o più VPCs per Ingestion OpenSearch

Per abilitare la condivisione della pipeline tra account, qualsiasi VPC coinvolto per la pipeline e gli endpoint della pipeline deve essere configurato con i seguenti valori DNS:

  • enableDnsSupport=true

  • enableDnsHostnames=true

Per ulteriori informazioni, consulta Attributi DNS per il VPC nella Guida per l'utente di Amazon VPC.

Concedi agli account di connessione l'accesso a una pipeline

Le procedure in questa sezione descrivono come utilizzare la console di OpenSearch servizio e configurare l'accesso AWS CLI alla pipeline tra account tramite la creazione di una politica delle risorse. Una politica delle risorse consente al proprietario di una pipeline di specificare altri account che possono accedere a una pipeline. Una volta create, le politiche di pipeline esistono finché esiste la pipeline o fino a quando la policy non viene eliminata.

Nota

Le politiche relative alle risorse non sostituiscono l'autorizzazione standard di OpenSearch Ingestion utilizzando le autorizzazioni IAM. Le policy relative alle risorse sono un meccanismo di autorizzazione aggiuntivo per consentire l'accesso alla pipeline tra più account.

Concedi agli account connessi l'accesso a una pipeline (console)

Utilizza la seguente procedura per concedere agli account connessi l'accesso a una pipeline utilizzando la console di Amazon OpenSearch Service.

Per creare una connessione endpoint alla pipeline
  1. Nella console di Amazon OpenSearch Service, nel riquadro di navigazione, espandi Ingestion, quindi seleziona Pipelines.

  2. Nella sezione Pipelines, scegli il nome di una pipeline a cui desideri concedere l'accesso per un account di connessione.

  3. Scegli la scheda Endpoint VPC.

  4. Nella sezione Responsabili autorizzati, scegli Autorizza account.

  5. Nel campo Account AWS ID, inserisci l'ID dell'account numerico a 12 cifre, quindi seleziona Autorizza.

Concedi agli account connessi l'accesso a una pipeline (CLI)

Utilizzare la procedura seguente per concedere agli account di connessione l'accesso a una pipeline utilizzando. AWS CLI

Per concedere agli account connessi l'accesso alla pipeline
  1. Effettuare l'aggiornamento alla versione più recente di AWS CLI (versione 2.0). Per ulteriori informazioni, vedere Installazione o aggiornamento alla versione più recente di AWS CLI.

  2. Apri la CLI nell'account e Regione AWS con la pipeline che desideri condividere.

  3. Esegui il comando seguente per creare una politica delle risorse per la pipeline. Questa politica fornisce l'osis:CreatePipelineEndpointautorizzazione sulla pipeline. La politica include un parametro in cui è possibile Account AWS IDs elencare i dati consentiti.

    Nota

    Nel comando seguente, è necessario utilizzare la forma abbreviata dell'ID dell'account fornendo solo l'ID dell'account a dodici cifre. L'utilizzo di un ARN non funzionerà. È inoltre necessario fornire l'Amazon Resource Name (ARN) della pipeline nel parametro CLI per resource-arn e nella policy JSON sotto riportata, come illustrato. Resource

    aws --region region osis-cross-account put-resource-policy \ --resource-arn arn:aws:osis:region:pipeline-owner-account-ID:pipeline/pipeline-name --policy '{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccess", "Effect": "Allow", "Principal": { "AWS": [ "connecting-account-1", "connecting-account-2" ] }, "Action": [ "osis:CreatePipelineEndpoint" ], "Resource": "arn:aws:osis:region:pipeline-owner-account-ID:pipeline/pipeline-name" } ] }'

Crea una connessione endpoint della pipeline per ogni VPC connesso

Dopo che il proprietario della pipeline ha concesso l'accesso a una pipeline nel proprio VPC utilizzando la procedura precedente, un utente dell'account di connessione crea un endpoint della pipeline nel proprio VPC. Questa sezione include le procedure per la creazione di endpoint utilizzando la console di servizio e il. OpenSearch AWS CLI Quando si crea un endpoint, OpenSearch Ingestion esegue le seguenti azioni:

  • Crea il ruolo AWSServiceRoleForAmazonOpenSearchIngestionServicecollegato al servizio nel tuo account, se non esiste già. Questo ruolo fornisce all'utente dell'account di connessione l'autorizzazione a richiamare l'azione CreatePipelineEndpointAPI.

  • Crea l'endpoint della pipeline.

  • Configura l'endpoint della pipeline per importare i dati dalla pipeline condivisa nel VPC del proprietario della pipeline.

Creazione di una connessione all'endpoint della pipeline (console)

Utilizzare la procedura seguente per creare una connessione endpoint della pipeline utilizzando la console di servizio. OpenSearch

Per creare una connessione endpoint alla pipeline
  1. Nella console di Amazon OpenSearch Service, nel riquadro di navigazione, espandi Ingestion, quindi seleziona Endpoint VPC.

  2. Nella pagina degli endpoint VPC, scegli Crea.

  3. Per Pipeline location, scegli un'opzione. Se scegli Conto corrente, scegli la pipeline dall'elenco. Se scegli Cross-account, specifica l'ARN della pipeline nel campo. Il proprietario della pipeline deve aver concesso l'accesso alla pipeline, come descritto in. Concedi agli account di connessione l'accesso a una pipeline

  4. Nella sezione Impostazioni VPC, per VPC, scegli un VPC dall'elenco.

  5. Per Subnets (Sottoreti), scegliere una sottorete.

  6. Per i gruppi di sicurezza, scegli un gruppo.

  7. Seleziona Crea endpoint.

Attendi lo stato dell'endpoint che hai creato a cui passareACTIVE. Una volta completata la pipelineACTIVE, vedrai un nuovo campo denominato. ingestEndpointUrl Usa questo endpoint per accedere alla pipeline e importare dati utilizzando un client come. FluentBit Per ulteriori informazioni sull'utilizzo per FluentBit importare dati, consulta. Utilizzo di una pipeline di OpenSearch ingestione con Fluent Bit

Nota

ingestEndpointUrlÈ lo stesso URL per tutti gli account collegati.

Creazione di una connessione endpoint della pipeline (CLI)

Utilizzare la procedura seguente per creare una connessione all'endpoint della pipeline utilizzando. AWS CLI

Per creare una connessione all'endpoint della pipeline
  1. Se non l'hai già fatto, esegui l'aggiornamento alla versione più recente di AWS CLI (versione 2.0). Per ulteriori informazioni, consulta Installazione o aggiornamento alla versione più recente di AWS CLI.

  2. Apri la CLI nell'account di connessione nella pipeline Regione AWS condivisa.

  3. Esegui il comando seguente per creare un endpoint della pipeline.

    Nota

    È necessario fornire almeno una sottorete e un gruppo di sicurezza per il VPC dell'account di connessione. Il gruppo di sicurezza deve includere la porta 443 e supportare i client nella connessione del VPC dell'account.

    aws osis --region region create-pipeline-endpoint \ --pipeline-arn arn:aws:osis:region:connecting-account-ID:pipeline/shared-pipeline-name --vpc-options SecurityGroupIds={sg-security-group-ID-1,sg-security-group-ID-2},SubnetIds=subnet-subnet-ID
  4. Esegui il comando seguente per elencare gli endpoint nella regione specificata nel comando precedente:

    aws osis-cross-account --region region list-pipeline-endpoints

Attendi la transizione allo stato dell'endpoint che hai creato. ACTIVE Una volta completata la pipelineACTIVE, vedrai un nuovo campo denominato. ingestEndpointUrl Usa questo endpoint per accedere alla pipeline e importare dati utilizzando un client come. FluentBit Per ulteriori informazioni sull'utilizzo per FluentBit importare dati, consulta. Utilizzo di una pipeline di OpenSearch ingestione con Fluent Bit

Nota

ingestEndpointUrlÈ lo stesso URL per tutti gli account collegati.

Rimozione degli endpoint della pipeline

Se non desideri più fornire l'accesso a una pipeline condivisa, puoi rimuovere un endpoint della pipeline utilizzando uno dei seguenti metodi:

  • Eliminare l'endpoint della pipeline (account di connessione).

  • Revoca l'endpoint della pipeline (proprietario della pipeline).

Utilizzate la seguente procedura per eliminare un endpoint della pipeline in un account di connessione.

Per eliminare un endpoint della pipeline (account di connessione)
  1. Apri la CLI nell'account di connessione nella pipeline Regione AWS condivisa.

  2. Esegui il comando seguente per elencare gli endpoint della pipeline nella regione:

    aws osis-cross-account --region region list-pipeline-endpoints

    Prendi nota dell'ID della pipeline che desideri eliminare.

  3. Esegui il comando seguente per eliminare l'endpoint della pipeline:

    aws osis-cross-account --region region delete-pipeline-endpoint \ --endpoint-id 'ID'

In qualità di proprietario della pipeline condivisa, utilizzate la procedura seguente per revocare un endpoint della pipeline.

Per revocare un endpoint della pipeline (proprietario della pipeline)
  1. Apri la CLI nell'account di connessione nella pipeline Regione AWS condivisa.

  2. Esegui il comando seguente per elencare le connessioni degli endpoint della pipeline nella regione:

    aws osis-cross-account --region region list-pipeline-endpoint-connections

    Prendi nota dell'ID della pipeline che desideri eliminare.

  3. Esegui il comando seguente per eliminare l'endpoint della pipeline:

    aws osis-cross-account --region region revoke-pipeline-endpoint-connections \ --pipeline-arn pipeline-arn --endpoint-ids ID

    Il comando supporta la specificazione di un solo ID di endpoint.