기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
교차 계정 수집을 위한 OpenSearch Ingestion 파이프라인 구성
HTTP 및 OTel과 같은 푸시 기반 소스의 경우 Amazon OpenSearch Ingestion을 사용하면 Virtual Private Cloud(VPC) AWS 계정 에서 별도의 VPC의 파이프라인 엔드포인트로 파이프라인을 공유할 수 있습니다. 조직 내 다른 팀과 분석을 공유하는 팀은 로그 분석 공유와 같은 보다 간소화된 수단을 위해이 기능을 사용합니다.
이 섹션에서는 다음 용어를 사용합니다.
-
파이프라인 소유자 - OpenSearch Ingestion 파이프라인을 소유하고 관리하는 계정입니다. 하나의 계정만 파이프라인을 소유할 수 있습니다.
-
계정 연결 - 공유 파이프라인에 연결하고 사용하는 계정입니다. 여러 계정을 동일한 파이프라인에 연결할 수 있습니다.
OpenSearch Ingestion 파이프라인을 공유하도록 VPCs를 구성하려면 여기에 설명된 대로 다음 작업을 AWS 계정완료합니다.
-
(파이프라인 소유자) 연결 계정에 파이프라인에 대한 액세스 권한 부여
-
(연결 계정) 각 연결 VPC에 대한 파이프라인 엔드포인트 연결 생성
시작하기 전 준비 사항
OpenSearch Ingestion 파이프라인을 공유하도록 VPCs를 구성하기 전에 다음 작업을 AWS 계정완료합니다.
| Task | 세부 정보 |
|---|---|
|
하나 이상의 OpenSearch Ingestion 파이프라인 생성 |
최소 OpenSearch 컴퓨팅 유닛(OSUs)을 2 이상으로 설정합니다. 자세한 내용은 Amazon OpenSearch Ingestion 파이프라인 생성 단원을 참조하십시오. 파이프라인 업데이트에 대한 자세한 내용은 섹션을 참조하세요Amazon OpenSearch Ingestion 파이프라인 업데이트. |
|
OpenSearch Ingestion을 위한 하나 이상의 VPCs 생성 |
교차 계정 파이프라인 공유를 활성화하려면 파이프라인 및 파이프라인 엔드포인트와 관련된 모든 VPC를 다음 DNS 값으로 구성해야 합니다.
자세한 내용을 알아보려면 Amazon VPC 사용 설명서의 VPC에 대한 DNS 속성을 참조하세요. |
연결 계정에 파이프라인에 대한 액세스 권한 부여
이 섹션의 절차에서는 OpenSearch Service 콘솔과를 사용하여 리소스 정책을 생성하여 교차 계정 파이프라인 액세스를 AWS CLI 설정하는 방법을 설명합니다. 리소스 정책을 사용하면 파이프라인 소유자가 파이프라인에 액세스할 수 있는 다른 계정을 지정할 수 있습니다. 파이프라인이 생성되면 파이프라인이 존재하는 한 또는 정책이 삭제될 때까지 파이프라인 정책이 존재합니다.
참고
리소스 정책은 IAM 권한을 사용하는 표준 OpenSearch Ingestion 권한 부여를 대체하지 않습니다. 리소스 정책은 교차 계정 파이프라인 액세스를 활성화하기 위한 추가 권한 부여 메커니즘입니다.
연결 계정에 파이프라인에 대한 액세스 권한 부여(콘솔)
다음 절차에 따라 Amazon OpenSearch Service 콘솔을 사용하여 연결 계정에 파이프라인에 대한 액세스 권한을 부여합니다.
파이프라인 엔드포인트 연결을 생성하려면
-
Amazon OpenSearch Service 콘솔의 탐색 창에서 수집을 확장한 다음 파이프라인을 선택합니다.
-
파이프라인 섹션에서 연결 계정에 대한 액세스 권한을 부여하려는 파이프라인의 이름을 선택합니다.
-
VPC 엔드포인트 탭을 선택합니다.
-
권한 있는 보안 주체 섹션에서 계정 권한 부여를 선택합니다.
-
AWS 계정 ID 필드에 12자리 숫자 계정 ID를 입력한 다음 승인을 선택합니다.
연결 계정에 파이프라인에 대한 액세스 권한 부여(CLI)
다음 절차에 따라를 사용하여 연결 계정에 파이프라인에 대한 액세스 권한을 부여합니다 AWS CLI.
연결 계정에 파이프라인에 대한 액세스 권한을 부여하려면
-
최신 버전의 AWS CLI (버전 2.0)로 업데이트합니다. 자세한 내용은 Installing or updating to the latest version of the AWS CLI를 참조하세요.
-
계정에서 공유하려는 파이프라인 AWS 리전 을 사용하여 CLI를 엽니다.
-
다음 명령을 실행하여 파이프라인에 대한 리소스 정책을 생성합니다. 이 정책은 파이프라인에 대한
osis:CreatePipelineEndpoint권한을 부여합니다. 정책에는 허용할 AWS 계정 IDs할 수 있는 파라미터가 포함되어 있습니다.참고
다음 명령에서는 12자리 계정 ID만 제공하여 짧은 형태의 계정 ID를 사용해야 합니다. ARN을 사용하면 작동하지 않습니다. 또한 다음과
Resource같이의 CLI 파라미터에 파이프라인의 Amazon 리소스 이름(ARN)을 제공하고 아래의 정책 JSONresource-arn에 제공해야 합니다.aws --regionregionosis-cross-account put-resource-policy \ --resource-arn arn:aws:osis:region:pipeline-owner-account-ID:pipeline/pipeline-name--policy 'IAM-policy'IAM 정책에다음과 같은 정책 사용
각 연결 VPC에 대한 파이프라인 엔드포인트 연결 생성
파이프라인 소유자가 이전 절차를 사용하여 VPC의 파이프라인에 대한 액세스 권한을 부여한 후 연결 계정의 사용자는 VPC에 파이프라인 엔드포인트를 생성합니다. 이 단원에는 OpenSearch Service 콘솔 및를 사용하여 엔드포인트를 생성하는 절차가 포함되어 있습니다 AWS CLI. 엔드포인트를 생성할 때 OpenSearch Ingestion은 다음 작업을 수행합니다.
-
아직 존재하지 않는 경우 계정에 AWSServiceRoleForAmazonOpenSearchIngestionService 서비스 연결 역할을 생성합니다. 이 역할은 연결 계정의 사용자에게 CreatePipelineEndpoint API 작업을 호출할 수 있는 권한을 부여합니다.
-
파이프라인 엔드포인트를 생성합니다.
-
파이프라인 소유자 VPC의 공유 파이프라인에서 데이터를 수집하도록 파이프라인 엔드포인트를 구성합니다.
파이프라인 엔드포인트 연결 생성(콘솔)
다음 절차에 따라 OpenSearch Service 콘솔을 사용하여 파이프라인 엔드포인트 연결을 생성합니다.
파이프라인 엔드포인트 연결을 생성하려면
-
Amazon OpenSearch Service 콘솔의 탐색 창에서 수집을 확장한 다음 VPC 엔드포인트를 선택합니다.
-
VPC 엔드포인트 페이지에서 생성을 선택합니다.
-
파이프라인 위치에서 옵션을 선택합니다. 현재 계정을 선택하는 경우 목록에서 파이프라인을 선택합니다. 교차 계정을 선택하는 경우 필드에 파이프라인 ARN을 지정합니다. 파이프라인 소유자는에 설명된 대로 파이프라인에 대한 액세스 권한을 부여해야 합니다연결 계정에 파이프라인에 대한 액세스 권한 부여.
-
VPC 설정 섹션의 VPC에서 목록에서 VPC를 선택합니다.
-
서브넷에서 서브넷을 선택합니다.
-
보안 그룹에서 그룹을 선택합니다.
-
Create endpoint(엔드포인트 생성)을 선택합니다.
생성한 엔드포인트의 상태가 로 전환될 때까지 기다립니다ACTIVE. 파이프라인이가 되면 라는 새 필드가 ACTIVE표시됩니다ingestEndpointUrl. 이 엔드포인트를 사용하여 파이프라인에 액세스하고 FluentBit와 같은 클라이언트를 사용하여 데이터를 수집합니다. FluentBit를 사용하여 데이터를 수집하는 방법에 대한 자세한 내용은 섹션을 참조하세요Fluent Bit와 함께 OpenSearch Ingestion 파이프라인 사용.
참고
는 모든 연결 계정에 대해 동일한 URLingestEndpointUrl입니다.
파이프라인 엔드포인트 연결 생성(CLI)
다음 절차에 따라를 사용하여 파이프라인 엔드포인트 연결을 크레이트합니다 AWS CLI.
파이프라인 엔드포인트 연결을 생성하려면
-
아직 업데이트하지 않았다면의 최신 버전 AWS CLI (버전 2.0)으로 업데이트합니다. 자세한 내용은 Installing or updating to the latest version of the AWS CLI를 참조하세요.
-
공유 파이프라인을 AWS 리전 사용하여의 연결 계정에서 CLI를 엽니다.
-
다음 명령을 실행하여 파이프라인 엔드포인트를 생성합니다.
참고
연결 계정 VPC에 대해 하나 이상의 서브넷과 하나의 보안 그룹을 제공해야 합니다. 보안 그룹에는 포트 443이 포함되어야 하며 계정 VPC 연결 시 클라이언트를 지원해야 합니다.
aws osis --regionregioncreate-pipeline-endpoint \ --pipeline-arn arn:aws:osis:region:connecting-account-ID:pipeline/shared-pipeline-name--vpc-options SecurityGroupIds={sg-security-group-ID-1,sg-security-group-ID-2},SubnetIds=subnet-subnet-ID -
다음 명령을 실행하여 이전 명령에 지정된 리전의 엔드포인트를 나열합니다.
aws osis-cross-account --regionregionlist-pipeline-endpoints
생성한 엔드포인트의 상태가 로 전환될 때까지 기다립니다ACTIVE. 파이프라인이가 되면 라는 새 필드가 ACTIVE표시됩니다ingestEndpointUrl. 이 엔드포인트를 사용하여 파이프라인에 액세스하고 FluentBit와 같은 클라이언트를 사용하여 데이터를 수집합니다. FluentBit를 사용하여 데이터를 수집하는 방법에 대한 자세한 내용은 섹션을 참조하세요Fluent Bit와 함께 OpenSearch Ingestion 파이프라인 사용.
참고
는 모든 연결 계정에 대해 동일한 URLingestEndpointUrl입니다.
파이프라인 엔드포인트 제거
공유 파이프라인에 대한 액세스를 더 이상 제공하지 않으려면 다음 방법 중 하나를 사용하여 파이프라인 엔드포인트를 제거할 수 있습니다.
-
파이프라인 엔드포인트(연결 계정)를 삭제합니다.
-
파이프라인 엔드포인트(파이프라인 소유자)를 취소합니다.
다음 절차에 따라 연결 계정에서 파이프라인 엔드포인트를 삭제합니다.
파이프라인 엔드포인트를 삭제하려면(연결 계정)
-
공유 파이프라인을 AWS 리전 사용하여의 연결 계정에서 CLI를 엽니다.
-
다음 명령을 실행하여 리전의 파이프라인 엔드포인트를 나열합니다.
aws osis-cross-account --regionregionlist-pipeline-endpoints삭제할 파이프라인 ID를 기록해 둡니다.
-
파이프라인 엔드포인트를 삭제하려면 다음 명령을 실행합니다.
aws osis-cross-account --regionregiondelete-pipeline-endpoint \ --endpoint-id 'ID'
공유 파이프라인의 파이프라인 소유자는 다음 절차에 따라 파이프라인 엔드포인트를 취소합니다.
파이프라인 엔드포인트를 취소하려면(파이프라인 소유자)
-
공유 파이프라인을 AWS 리전 사용하여의 연결 계정에서 CLI를 엽니다.
-
다음 명령을 실행하여 리전의 파이프라인 엔드포인트 연결을 나열합니다.
aws osis-cross-account --regionregionlist-pipeline-endpoint-connections삭제할 파이프라인 ID를 기록해 둡니다.
-
파이프라인 엔드포인트를 삭제하려면 다음 명령을 실행합니다.
aws osis-cross-account --regionregionrevoke-pipeline-endpoint-connections \ --pipeline-arnpipeline-arn--endpoint-idsID명령은 엔드포인트 ID를 하나만 지정할 수 있습니다.
