View a markdown version of this page

Tutorial: Guida introduttiva alla sicurezza in Amazon OpenSearch Serverless (console) - OpenSearch Servizio Amazon
Fase 1: configurazione delle autorizzazioniFase 2: creazione di una policy di crittografiaFase 3: Creare una politica di reteFase 4: Creare una politica di accesso ai datiFase 5: Creare una raccoltaFase 6: caricamento e ricerca dei dati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Tutorial: Guida introduttiva alla sicurezza in Amazon OpenSearch Serverless (console)

In questo tutorial, crei e gestisci le policy di sicurezza utilizzando la console Amazon OpenSearch Serverless.

Completi i seguenti passaggi in questo tutorial:

  1. Configurazione delle autorizzazioni

  2. Creazione di una policy di crittografia

  3. Creazione di una policy di rete

  4. Configurazione di una policy di accesso ai dati

  5. Creazione di una raccolta

  6. Caricamento e ricerca dei dati

Questo tutorial mostra come configurare una raccolta utilizzando Console di gestione AWS. Per gli stessi passaggi utilizzando il AWS CLI, vedereTutorial: Guida introduttiva alla sicurezza in Amazon OpenSearch Serverless (CLI).

Fase 1: configurazione delle autorizzazioni

Nota

Puoi saltare questa fase se stai già utilizzando una policy più ampia basata sull'identità, ad esempio Action":"aoss:*" o Action":"*". Negli ambienti di produzione, tuttavia, seguite il principio del privilegio minimo e assegnate solo le autorizzazioni minime necessarie per completare un'attività.

Per completare questo tutorial, devi disporre delle autorizzazioni IAM corrette. L'utente o il ruolo devono avere una policy basata sull'identità allegata con le seguenti autorizzazioni minime:

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Action": [
        "aoss:ListCollections",
        "aoss:BatchGetCollection",
        "aoss:CreateCollection",
        "aoss:CreateSecurityPolicy",
        "aoss:GetSecurityPolicy",
        "aoss:ListSecurityPolicies",
        "aoss:CreateAccessPolicy",
        "aoss:GetAccessPolicy",
        "aoss:ListAccessPolicies"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Per un elenco completo delle autorizzazioni OpenSearch Serverless, consulta. Identity and Access Management per Amazon OpenSearch Serverless

Fase 2: creazione di una policy di crittografia

Le politiche di crittografia specificano la AWS KMS chiave utilizzata da OpenSearch Serverless per crittografare la raccolta. È possibile crittografare le raccolte con una Chiave gestita da AWS o un'altra chiave. Per semplicità, in questo tutorial, cripti la tua raccolta con un. Chiave gestita da AWS

Creazione di una policy di crittografia

  1. Apri la console Amazon OpenSearch Service all'indirizzo https://console.aws.amazon.com/aos/home.

  2. Espandi Serverless nel pannello di navigazione a sinistra e scegli Encryption policies (Policy di crittografia).

  3. Scegli Create encryption policy (Crea policy di crittografia).

  4. Assegnare un nome alla policy books-policy. Per la descrizione, inserisciEncryption policy for books collection.

  5. In Risorsebooks, inserisci il nome che darai alla tua raccolta. Se vuoi essere più generico, puoi includere un asterisco (books*) per fare in modo che la politica si applichi a tutte le raccolte che iniziano con la parola «libri».

  6. Per la crittografia, mantieni selezionata l'opzione Usa chiave AWS posseduta.

  7. Scegli Create (Crea).

Fase 3: Creare una politica di rete

Le politiche di rete determinano se la raccolta è accessibile su Internet dalle reti pubbliche o se è necessario accedervi tramite endpoint VPC OpenSearch gestiti senza server. In questo tutorial, configuri l'accesso pubblico.

Creazione di una policy di rete

  1. Nel pannello di navigazione a sinistra, scegli Network policies (Policy di rete) e Create network policy (Crea policy di rete).

  2. Assegnare un nome alla policy books-policy. Per la descrizione, inserisciNetwork policy for books collection.

  3. In Regola 1, assegna un nome alla regolaPublic access for books collection.

  4. Per semplificare questo tutorial, configura l'accesso pubblico alla raccolta di libri. Per il tipo di accesso, seleziona Public (Pubblico).

  5. Puoi accedere alla raccolta da OpenSearch Dashboards. Per fare ciò, devi configurare l'accesso alla rete per le dashboard e l' OpenSearch endpoint, altrimenti le dashboard non funzioneranno.

    Per il tipo di risorsa, abilita sia Accesso agli OpenSearch endpoint che Accesso ai dashboard. OpenSearch

  6. In entrambe le caselle di input, inserisci. Collection Name = books Questa impostazione riduce l'ambito della policy in modo che si applichi solo a una singola raccolta (books). La tua regola dovrebbe assomigliare a questa:

    Interfaccia di ricerca che mostra due campi di input per la raccolta o la selezione dei termini con prefisso, entrambi impostati su «libri».

  7. Scegli Create (Crea).

Fase 4: Creare una politica di accesso ai dati

Non puoi accedere ai dati della raccolta finché non configuri l'accesso ai dati. Le policy di accesso ai dati sono separate dalla policy basata sull'identità IAM configurata nella fase 1. Consentono agli utenti di accedere ai dati effettivi all'interno di una raccolta.

In questo tutorial, fornisci a un singolo utente le autorizzazioni necessarie per indicizzare i dati nella raccolta di libri.

Creazione di una policy di accesso ai dati

  1. Nel pannello di navigazione a sinistra, scegli Data access policies (Policy di accesso ai dati) e Create access policy (Crea policy di accesso).

  2. Assegnare un nome alla policy books-policy. Per la descrizione, inserisciData access policy for books collection.

  3. Per il metodo di definizione della policy seleziona JSON e incolla la seguente policy nell'editor JSON.

    Sostituisci l'ARN principale con l'ARN dell'account che usi per accedere alle OpenSearch dashboard e indicizzare i dati.

    [
   {
      "Rules":[
         {
            "ResourceType":"index",
            "Resource":[
               "index/books/*"
            ],
            "Permission":[
               "aoss:CreateIndex",
               "aoss:DescribeIndex", 
               "aoss:ReadDocument",
               "aoss:WriteDocument",
               "aoss:UpdateIndex",
               "aoss:DeleteIndex"
            ]
         }
      ],
      "Principal":[
         "arn:aws:iam::123456789012:user/my-user"
      ]
   }
]

    Questa policy fornisce a un singolo utente le autorizzazioni minime necessarie per creare un indice nella raccolta books, indicizzare alcuni dati e cercarli.

  4. Scegli Create (Crea).

Fase 5: Creare una raccolta

Ora che hai configurato le politiche di crittografia e di rete, puoi creare una raccolta che corrisponda a tali criteri. OpenSearch Serverless applica automaticamente le impostazioni di sicurezza.

Per creare una raccolta OpenSearch Serverless

  1. Scegli Collections (Raccolte) nel pannello di navigazione a sinistra e scegli Create collection (Crea raccolta).

  2. Nel campo Generazione Serverless, scegli Passa alla versione classica se non sei già su Classic.

  3. Per il nome della raccolta, inseriscibooks.

  4. Per il tipo di raccolta, scegli Search (Cerca).

  5. In Encryption, OpenSearch Serverless ti informa che il nome della raccolta corrisponde alla politica di books-policy crittografia.

  6. In Impostazioni di accesso alla rete, OpenSearch Serverless informa che il nome della raccolta corrisponde alla politica di rete. books-policy

  7. Scegli Next (Successivo).

  8. In Opzioni della politica di accesso ai dati, OpenSearch Serverless ti informa che il nome della raccolta corrisponde alla politica di accesso ai books-policy dati.

  9. Scegli Next (Successivo).

  10. In Configure OpenSearch UI, configura l' OpenSearch applicazione e l'area di lavoro per la tua raccolta. Scegli Seleziona OpenSearch applicazione esistente o Crea nuova OpenSearch applicazione e seleziona o crea un'area di lavoro. Scegli Next (Successivo).

  11. Rivedi la configurazione della raccolta e scegli Submit (Invia). Generalmente, l'inizializzazione delle raccolte richiede meno di un minuto.

Nota

Questo tutorial utilizza il flusso di creazione della raccolta Classic per dimostrare come le politiche di sicurezza preconfigurate vengono automaticamente abbinate durante la creazione della raccolta. Per informazioni sulla creazione di raccolte utilizzando il NextGen flusso, consulta. Creazione di raccolte

Fase 6: caricamento e ricerca dei dati

Puoi caricare dati in una raccolta OpenSearch Serverless usando Postman o curl. Per brevità, questi esempi utilizzano Dev Tools all'interno della console Dashboards. OpenSearch

Indicizzazione e ricerca di dati in una raccolta

  1. Scegli Collections (Raccolte) nel pannello di navigazione a sinistra e scegli la raccolta books per aprirne la pagina dei dettagli.

  2. Scegli l'URL delle OpenSearch dashboard per la raccolta. L'URL assume il formato https://collection-id.us-east-1.aoss.amazonaws.com/_dashboards.

  3. Accedi alle OpenSearch dashboard utilizzando le chiavi di AWS accesso e segrete per il principale che hai specificato nella politica di accesso ai dati.

  4. All'interno di OpenSearch Dashboards, apri il menu di navigazione a sinistra e scegli Dev Tools.

  5. Per creare un singolo indice chiamato books-index, esegui il seguente comando:

    PUT books-index
    OpenSearch Console di dashboard che mostra la richiesta PUT per l'indice dei libri con risposta JSON.

  6. Per indicizzare un singolo documento in books-index, esegui il seguente comando:

    PUT books-index/_doc/1
{ 
  "title": "The Shining",
  "author": "Stephen King",
  "year": 1977
}

  7. Per cercare dati nei OpenSearch dashboard, devi configurare almeno un modello di indice. OpenSearch utilizza questi modelli per identificare gli indici da analizzare. Apri il menu principale di Dashboards, scegliere Gestione stack, scegliere Modelli di indice, quindi scegliere Crea modello di indice. Per questo tutorial, inserisci books-index.

  8. Scegliere Fase successiva quindi selezionare Crea modello di indice. Dopo aver creato il modello, è possibile visualizzare i vari campi del documento, ad esempio author e title.

  9. Per iniziare a cercare i dati, apri di nuovo il menu principale e scegli Discover (Rileva) o utilizza l'API di ricerca.