Considerazioni Fornitura dell'accesso a un dominio Creazione di un endpoint VPC dell'interfaccia Gestione tramite le operazioni API del OpenSearch servizio

Accesso al OpenSearch servizio Amazon utilizzando un endpoint OpenSearch VPC gestito dal servizio ()AWS PrivateLink

Configurando un endpoint OpenSearch VPC gestito dal OpenSearch servizio (con tecnologia) è possibile accedere a un dominio Amazon Service. AWS PrivateLink Questi endpoint creano una connessione privata tra il tuo VPC e il servizio Amazon OpenSearch . Puoi accedere ai domini VPC del OpenSearch servizio come se fossero nel tuo VPC, senza utilizzare un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. AWS Direct Connect Le istanze nel tuo VPC non richiedono indirizzi IP pubblici per l'accesso al OpenSearch servizio.

È possibile configurare i domini OpenSearch di servizio per esporre endpoint aggiuntivi in esecuzione su sottoreti pubbliche o private all'interno dello stesso VPC, di un VPC diverso o di un altro. Account AWS Ciò consente di aggiungere un ulteriore livello di sicurezza per accedere ai domini indipendentemente da dove vengono eseguiti, senza alcuna infrastruttura da gestire. Il diagramma seguente illustra gli endpoint VPC OpenSearch gestiti dal servizio all'interno dello stesso VPC:

VPC diagram showing Amazon PrivateLink in public subnet connecting to OpenSearch Service in private subnet.

Stabilisci questa connessione privata creando un endpoint VPC dell' OpenSearch interfaccia gestito dal servizio attivato da. AWS PrivateLink In ciascuna sottorete viene creata un'interfaccia di rete endpoint da abilitare per l'endpoint VPC dell'interfaccia. Queste sono interfacce di rete gestite dal servizio che fungono da punto di ingresso per il traffico destinato al servizio. OpenSearch I prezzi degli endpoint con AWS PrivateLink interfaccia standard si applicano agli endpoint VPC gestiti dal OpenSearch servizio fatturati in base al prezzo. AWS PrivateLink

Puoi creare endpoint VPC per i domini che eseguono tutte le versioni di OpenSearch Elasticsearch legacy. Per ulteriori informazioni, consulta la sezione Accesso a Servizi AWS tramite AWS PrivateLink nella Guida di AWS PrivateLink .

Considerazioni e limitazioni per il servizio OpenSearch

Prima di impostare un endpoint VPC dell'interfaccia per il OpenSearch servizio, consulta la pagina Accesso a un AWS servizio utilizzando un endpoint VPC dell'interfaccia nella Guida.AWS PrivateLink

Durante l'utilizzo degli endpoint OpenSearch VPC gestiti dal servizio, considera quando segue:

È possibile utilizzare solo gli endpoint VPC dell'interfaccia per connettersi ai domini VPC. I domini pubblici non sono supportati.
Gli endpoint VPC possono connettersi solo ai domini all'interno della stessa Regione AWS.
HTTPS è l'unico protocollo supportato per gli endpoint VPC. HTTP non è consentito.
OpenSearch Il servizio supporta le chiamate a tutte le operazioni OpenSearch API supportate tramite un endpoint VPC dell'interfaccia.
Puoi configurare un massimo di 50 endpoint per account e un massimo di 10 endpoint per dominio. Un singolo dominio può avere un massimo di 10 principali autorizzati.
Al momento non è possibile utilizzare AWS CloudFormation per creare endpoint VPC dell'interfaccia.
È possibile creare endpoint VPC dell'interfaccia solo tramite la console del OpenSearch servizio o utilizzando l'API del OpenSearch servizio. Non è possibile creare endpoint VPC dell'interfaccia per il OpenSearch servizio utilizzando la console Amazon VPC.
OpenSearch Gli endpoint VPC gestiti dal servizio non sono accessibili da Internet. Un endpoint OpenSearch VPC gestito dal servizio è accessibile solo all'interno del VPC in cui viene eseguito il provisioning dell'endpoint come di qualsiasi VPC sottoposto a peering VPCs con il VPC in cui viene eseguito il provisioning dell'endpoint come consentito dalle tabelle di instradamento e dai gruppi di sicurezza.
Le policy endpoint VPC non sono supportate per il servizio. OpenSearch È possibile associare un gruppo di sicurezza alle interfacce di rete degli endpoint per controllare il traffico verso il OpenSearch servizio tramite l'endpoint VPC dell'endpoint VPC dell'interfaccia.
Il tuo ruolo collegato al servizio deve trovarsi nello stesso AWS account che usi per creare l'endpoint VPC.
Per creare, aggiornare ed eliminare l'endpoint OpenSearch Service VPC, devi disporre delle seguenti autorizzazioni Amazon oltre alle EC2 autorizzazioni Amazon Service: OpenSearch
- ec2:CreateVpcEndpoint
- ec2:DescribeVpcEndpoints
- ec2:ModifyVpcEndpoint
- ec2:DeleteVpcEndpoints
- ec2:CreateTags
- ec2:DescribeTags
- ec2:DescribeSubnets
- ec2:DescribeSecurityGroups
- ec2:DescribeVpcs

Nota

Al momento, non puoi limitare la creazione di endpoint VPC a Service. OpenSearch Stiamo lavorando per rendere possibile tutto questo in uno dei prossimi aggiornamenti.

Fornitura dell'accesso a un dominio

Se il VPC a cui desideri accedere al tuo dominio si trova in un altro Account AWS, devi autorizzarlo dall'account del proprietario prima di poter creare un endpoint VPC dell'interfaccia.

Per consentire a un VPC in un altro di accedere Account AWS al tuo dominio

Apri la console Amazon OpenSearch Service a https://console.aws.amazon.com/aos/casa/.
Nel pannello di navigazione, scegli Domains (Domini) e apri il dominio a cui desideri fornire l'accesso.
Vai alla scheda Endpoint VPC, che mostra gli account e i corrispondenti VPCs che hanno accesso al dominio.
Scegli Authorize principal (Autorizza principale).
Inserisci l' Account AWS ID dell'relativo all'account che accederà al dominio. In questa fase autorizzi l'account specificato a creare endpoint VPC sul dominio.
Seleziona Authorize (Autorizza).

Creazione di un endpoint VPC dell'interfaccia per un dominio VPC

Utilizzando la console di OpenSearch servizio o la () è possibile creare un endpoint VPC dell'interfaccia per il OpenSearch AWS Command Line Interface servizio.AWS CLI

Creazione di un endpoint VPC dell'interfaccia per un dominio di servizio OpenSearch

Apri la console Amazon OpenSearch Service a https://console.aws.amazon.com/aos/casa/.
Nel pannello di navigazione a sinistra, scegli Endpoint VPC.
Seleziona Crea endpoint.
Seleziona se connettere un dominio all'corrente Account AWS o a un altro Account AWS.
Seleziona il dominio a cui ti connetti con questo endpoint. Se il dominio è nell'corrente Account AWS, utilizza il menu a discesa per scegliere il dominio. Se il dominio si trova in un altro account, immetti il nome della risorsa Amazon (ARN) del dominio a cui connettersi. Per scegliere un dominio in un altro account, il proprietario deve fornirti l'accesso al dominio.
Per VPC, seleziona il VPC da cui accederai al servizio. OpenSearch
Per Subnets (Sottoreti), seleziona una o più sottoreti dalle quali accederai al servizio. OpenSearch
Per Security groups (Gruppi di sicurezza), seleziona i gruppi di sicurezza da associare alle interfacce di rete dell'endpoint. Si tratta di una fase fondamentale per limitare le porte, i protocolli e le origini per il traffico in ingresso che si sta autorizzando per l'endpoint. Le regole del gruppo di sicurezza devono consentire alle risorse che utilizzeranno l'endpoint VPC per comunicare con il OpenSearch servizio di comunicare con l'interfaccia di rete dell'endpoint.
Seleziona Crea endpoint. L'endpoint dovrebbe essere attivo entro 2-5 minuti.

Utilizzo degli endpoint OpenSearch VPC gestiti dal servizio utilizzando l'API di configurazione

Utilizza le seguenti operazioni API per creare e gestire gli endpoint OpenSearch VPC gestiti dal servizio.

Utilizza le seguenti operazioni API per gestire l'accesso degli endpoint ai domini VPC:

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Sicurezza dell'infrastruttura

Autenticazione SAML per OpenSearch Dashboards