VPC 엔드포인트에서 OpenSearch UI에 대한 액세스 관리 - Amazon OpenSearch Service
VPC와 OpenSearch UI 간에 프라이빗 연결 생성OpenSearch UI 애플리케이션에 대한 액세스를 허용하도록 VPC 엔드포인트 정책 업데이트VPC 엔드포인트 정책에서 OpenSearch UI에 대한 액세스 취소

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

VPC 엔드포인트에서 OpenSearch UI에 대한 액세스 관리

를 사용하여 VPC와 OpenSearch UI 간에 프라이빗 연결을 생성할 수 있습니다 AWS PrivateLink. 이 연결을 사용하면 동일한 VPC에 있는 것처럼 OpenSearch UI 애플리케이션에 액세스할 수 있습니다. 이렇게 하면 인터넷 게이트웨이, NAT 디바이스, VPN 연결을 구성하거나 연결을 AWS Direct Connect 설정할 필요가 없습니다. VPC의 인스턴스는 OpenSearch UI에 액세스하는 데 퍼블릭 IP 주소가 필요하지 않습니다.

이 프라이빗 연결을 설정하려면 먼저 기반 인터페이스 엔드포인트를 생성합니다 AWS PrivateLink. 엔드포인트 네트워크 인터페이스는 인터페이스 엔드포인트에 지정한 각 서브넷에 자동으로 생성됩니다. 이는 OpenSearch UI 애플리케이션으로 향하는 트래픽의 진입점 역할을 하는 요청자 관리형 네트워크 인터페이스입니다.

VPC와 OpenSearch UI 간에 프라이빗 연결 생성

AWS Management Console 또는를 사용하여 VPC에서 OpenSearch UI에 액세스하기 위한 프라이빗 연결을 생성할 수 있습니다 AWS CLI.

VPC와 OpenSearch UI 간의 프라이빗 연결 생성(콘솔)

콘솔을 사용하여 VPC와 OpenSearch UI 간에 프라이빗 연결을 생성하려면

  1. https://console.aws.amazon.com/aos/home Amazon OpenSearch Service 콘솔에 로그인합니다.

  2. 왼쪽 탐색의 서버리스에서 VPC 엔드포인트를 선택합니다.

  3. Create VPC endpoint(VPC 엔드포인트 생성)를 선택합니다.

  4. 이름에 엔드포인트의 이름을 입력합니다.

  5. VPC에서 OpenSearch UI 애플리케이션에 액세스할 VPC를 선택합니다.

  6. 서브넷에서 OpenSearch UI 애플리케이션에 액세스할 서브넷을 하나 선택합니다.

    참고

    엔드포인트의 IP 주소 및 DNS 유형은 서브넷 유형을 기반으로 합니다.

    • 듀얼 스택: 모든 서브넷에 IPv4 및 IPv6 주소 범위가 모두 있는 경우.

    • IPv6: 모든 서브넷이 IPv6 전용 서브넷인 경우.

    • IPv4: 모든 서브넷에 IPv4 주소 범위가 있는 경우.

  7. 보안 그룹에서 엔드포인트 네트워크 인터페이스와 연결할 보안 그룹을 하나 이상 선택합니다.

    참고

    이 단계에서는 엔드포인트에 권한을 부여하는 인바운드 트래픽의 포트, 프로토콜 및 소스를 제한합니다. 보안 그룹 규칙이 VPC 엔드포인트를 사용할 리소스가 OpenSearch UI 애플리케이션과 통신하여 엔드포인트 네트워크 인터페이스와도 통신할 수 있도록 허용하는지 확인합니다.

  8. 8. Create endpoint(엔드포인트 생성)을 선택합니다.

VPC와 OpenSearch UI 간의 프라이빗 연결 생성(AWS CLI)

를 사용하여 VPC와 OpenSearch UI 간에 프라이빗 연결을 생성하려면 AWS CLI

다음 명령을 실행합니다. 자리 표시자를 자신의 정보로 바꿉니다.

aws opensearchserverless create-vpc-endpoint \
    --region region \
    --endpoint endpoint \
    --name vpc_endpoint_name \
    --vpc-id vpc_id \
    --subnet-ids subnet_ids

OpenSearch UI 애플리케이션에 대한 액세스를 허용하도록 VPC 엔드포인트 정책 업데이트

프라이빗 연결을 생성한 후 애플리케이션 ID를 지정하여 VPC 엔드포인트 정책에서 OpenSearch UI 애플리케이션에 대한 액세스를 허용하도록 VPC 엔드포인트 정책을 업데이트합니다.

VPC 엔드포인트 정책 업데이트에 대한 자세한 내용은 AWS PrivateLink 가이드VPC 엔드포인트 정책 업데이트를 참조하세요.

VPC 엔드포인트 정책에 다음 문이 포함되어 있는지 확인합니다. 자리 표시자 값을 자신의 정보로 바꿉니다.

{
    "Statement": [{
        "Action": ["opensearch:*"],
        "Effect": "Allow",
        "Principal": "*",
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "opensearch:ApplicationId": ["opensearch-ui-application-id"]
            }
        }
    }]
}

VPC 엔드포인트 정책에서 OpenSearch UI에 대한 액세스 취소

OpenSearch UI는 사용자가 VPC에서 애플리케이션에 액세스할 수 있도록 VPC 엔드포인트 정책에 명시적 권한이 필요합니다. 사용자가 더 이상 VPC에서 OpenSearch UI에 액세스하지 않도록 하려면 엔드포인트 정책에서 권한을 제거할 수 있습니다. 그런 다음 OpenSearch UI에 액세스하려고 할 때 사용자에게 403 forbidden 오류 메시지가 표시됩니다.

VPC 엔드포인트 정책 업데이트에 대한 자세한 내용은 AWS PrivateLink 가이드VPC 엔드포인트 정책 업데이트를 참조하세요.

다음은 VPC에서 UI 애플리케이션에 대한 액세스를 거부하는 VPC 엔드포인트 정책의 예입니다.

{
    "Statement": [{
        "Action": ["opensearch:*"],
        "Effect": "Allow",
        "Principal": "*",
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "opensearch:ApplicationId": [""]
            }
        }
    }]
}