View a markdown version of this page

자습서: Amazon OpenSearch Serverless에서 보안 시작하기(콘솔) - Amazon OpenSearch Service
1단계: 권한 구성2단계: 암호화 정책 생성3단계: 네트워크 정책 생성4단계: 데이터 액세스 정책 생성5단계: 컬렉션 생성6단계: 데이터 업로드 및 검색

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

자습서: Amazon OpenSearch Serverless에서 보안 시작하기(콘솔)

이 자습서에서는 Amazon OpenSearch Serverless 콘솔을 사용하여 보안 정책을 생성하고 관리합니다.

이 자습서에서는 다음 단계를 완료합니다.

  1. 권한 구성

  2. 암호화 정책 생성

  3. 네트워크 정책 생성

  4. 데이터 액세스 정책 구성

  5. 컬렉션 생성

  6. 데이터 업로드 및 검색

이 자습서에서는를 사용하여 컬렉션을 설정하는 방법을 보여줍니다 AWS Management Console. 를 사용하는 것과 동일한 단계는 단원을 AWS CLI참조하십시오자습서: Amazon OpenSearch Serverless에서 보안 시작하기(CLI).

1단계: 권한 구성

참고

Action":"aoss:*" 또는 Action":"*"과 같은 보다 광범위한 자격 증명 기반 정책을 이미 사용 중인 경우 이 단계를 건너뛸 수 있습니다. 그러나 프로덕션 환경에서는 최소 권한 원칙을 따르고 작업을 완료하는 데 필요한 최소 권한만 할당합니다.

이 튜토리얼을 완료하려면 올바른 IAM 권한이 있어야 합니다. 사용자 또는 역할에는 다음과 같은 최소 권한이 포함된 연결된 자격 증명 기반 정책이 있어야 합니다.

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Action": [
        "aoss:ListCollections",
        "aoss:BatchGetCollection",
        "aoss:CreateCollection",
        "aoss:CreateSecurityPolicy",
        "aoss:GetSecurityPolicy",
        "aoss:ListSecurityPolicies",
        "aoss:CreateAccessPolicy",
        "aoss:GetAccessPolicy",
        "aoss:ListAccessPolicies"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

OpenSearch Serverless 권한의 전체 목록은 Amazon OpenSearch Serverless에 대한 Identity and Access Management 섹션을 참조하세요.

2단계: 암호화 정책 생성

암호화 정책은 OpenSearch Serverless가 컬렉션을 암호화하는 데 사용하는 키를 지정합니다 AWS KMS . AWS 관리형 키 또는 다른 키로 컬렉션을 암호화할 수 있습니다. 이 자습서에서는 간소화를 위해 로 컬렉션을 암호화합니다 AWS 관리형 키.

암호화 정책 생성하기

  1. https://console.aws.amazon.com/aos/home Amazon OpenSearch Service 콘솔을 엽니다.

  2. 왼쪽 탐색 창에서 Serverless(서버리스)를 확장하고 Encryption policies(암호화 정책)를 선택합니다.

  3. Create encryption policy(암호화 정책 생성)를 선택합니다.

  4. 정책 이름을 books-policy로 지정합니다. 설명에를 입력합니다Encryption policy for books collection.

  5. 리소스에 컬렉션 이름을 books지정하는를 입력합니다. 더 넓은 범위를 원한다면 별표(books*)를 포함하여 정책이 "books"라는 단어로 시작하는 모든 컬렉션에 적용되도록 할 수 있습니다.

  6. 암호화의 경우 AWS 소유 키 사용을 선택한 상태로 둡니다.

  7. 생성(Create)을 선택합니다.

3단계: 네트워크 정책 생성

네트워크 정책은 퍼블릭 네트워크에서 인터넷을 통해 컬렉션에 액세스할 수 있는지 또는 OpenSearch Serverless 관리형 VPC 엔드포인트를 통해 액세스해야 하는지 여부를 결정합니다. 이 자습서에서는 퍼블릭 액세스를 구성합니다.

네트워크 정책 생성하기

  1. 왼쪽 탐색 창에서 Network policies(네트워크 정책)를 선택한 후 Create network policy(네트워크 정책 생성)를 선택합니다.

  2. 정책 이름을 books-policy로 지정합니다. 설명에를 입력합니다Network policy for books collection.

  3. 규칙 1에서 규칙의 이름을 로 지정합니다Public access for books collection.

  4. 이 자습서에서는 간소화를 위해 컬렉션에 대한 퍼블릭 액세스를 구성합니다. 액세스 유형으로 Public(퍼블릭)을 선택합니다.

  5. OpenSearch Dashboards에서 컬렉션에 액세스합니다. 이렇게 하려면 Dashboards OpenSearch 엔드포인트에 대한 네트워크 액세스를 구성해야 합니다. 그렇지 않으면 Dashboards가 작동하지 않습니다.

    리소스 유형의 경우 Access to OpenSearch endpoints(OpenSearch 엔드포인트에 대한 액세스)와 Access to OpenSearch Dashboards(OpenSearch Dashboards에 대한 액세스)를 모두 활성화합니다.

  6. 두 입력 상자에 모두를 입력합니다Collection Name = books. 이 설정은 단일 컬렉션(books)에만 적용되도록 정책의 범위를 축소합니다. 규칙은 다음과 같아야 합니다.

    컬렉션 또는 접두사 용어 선택에 대한 두 개의 입력 필드를 보여주는 검색 인터페이스로, 둘 다 "책"으로 설정됩니다.

  7. 생성(Create)을 선택합니다.

4단계: 데이터 액세스 정책 생성

데이터 액세스를 구성할 때까지 컬렉션 데이터에 액세스할 수 없습니다. 데이터 액세스 정책은 1단계에서 구성한 IAM 자격 증명 기반 정책과는 별개입니다. 이를 통해 사용자는 컬렉션 내의 실제 데이터에 액세스할 수 있습니다.

이 자습서에서는 데이터를 컬렉션으로 인덱싱하는 데 필요한 권한을 단일 사용자에게 제공합니다.

데이터 액세스 정책 생성하기

  1. 왼쪽 탐색 창에서 Data access policies(데이터 액세스 정책)를 선택하고 Create access policy(액세스 정책 생성)를 선택합니다.

  2. 정책 이름을 books-policy로 지정합니다. 설명에를 입력합니다Data access policy for books collection.

  3. 정책 정의 방법으로 JSON을 선택하고 JSON 편집기에 다음 정책을 붙여 넣습니다.

    보안 주체 ARN을 OpenSearch Dashboards에 로그인하고 데이터를 인덱싱하는 데 사용하는 계정의 ARN으로 바꿉니다.

    [
   {
      "Rules":[
         {
            "ResourceType":"index",
            "Resource":[
               "index/books/*"
            ],
            "Permission":[
               "aoss:CreateIndex",
               "aoss:DescribeIndex", 
               "aoss:ReadDocument",
               "aoss:WriteDocument",
               "aoss:UpdateIndex",
               "aoss:DeleteIndex"
            ]
         }
      ],
      "Principal":[
         "arn:aws:iam::123456789012:user/my-user"
      ]
   }
]

    이 정책은 단일 사용자에게 books(책) 컬렉션에서 인덱스를 생성하고, 일부 데이터를 인덱싱하고, 검색하는 데 필요한 최소 권한을 제공합니다.

  4. 생성(Create)을 선택합니다.

5단계: 컬렉션 생성

암호화 및 네트워크 정책을 구성했으므로 이제 해당 정책과 일치하는 컬렉션을 생성할 수 있습니다. OpenSearch Serverless는 보안 설정을 자동으로 적용합니다.

OpenSearch Serverless 컬렉션 생성하기

  1. 왼쪽 탐색 창에서 Collections(컬렉션)를 선택하고 Create collection(컬렉션 생성)을 선택합니다.

  2. 아직 Classic에 있지 않은 경우 서버리스 생성 필드에서 Classic으로 전환을 선택합니다.

  3. 컬렉션 이름에를 입력합니다books.

  4. 컬렉션 유형에서 Search(검색)를 선택합니다.

  5. Encryption(암호화)에서 OpenSearch Serverless는 컬렉션 이름이 books-policy 암호화 정책과 일치한다고 알려줍니다.

  6. Network access settings(네트워크 액세스 설정)에서 OpenSearch Serverless는 컬렉션 이름이 books-policy 네트워크 정책과 일치한다고 알려줍니다.

  7. 다음을 선택합니다.

  8. Data access policy options(데이터 액세스 정책 옵션)에서 OpenSearch Serverless는 컬렉션 이름이 books-policy 데이터 액세스 정책과 일치한다고 알려줍니다.

  9. 다음을 선택합니다.

  10. OpenSearch UI 구성에서 컬렉션에 대한 OpenSearch 애플리케이션 및 워크스페이스를 구성합니다. 기존 OpenSearch 애플리케이션 선택 또는 새 OpenSearch 애플리케이션 생성을 선택하고 워크스페이스를 선택하거나 생성합니다. 다음을 선택합니다.

  11. 컬렉션 구성을 검토하고 Submit(제출)을 선택합니다. 컬렉션을 초기화하는 데 보통 1분도 채 걸리지 않습니다.

참고

이 자습서에서는 Classic 컬렉션 생성 흐름을 사용하여 컬렉션 생성 중에 사전 구성된 보안 정책이 자동으로 매칭되는 방법을 보여줍니다. NextGen 흐름을 사용하여 컬렉션을 생성하는 방법에 대한 자세한 내용은 섹션을 참조하세요컬렉션 생성.

6단계: 데이터 업로드 및 검색

Postman 또는 curl을 사용하여 OpenSearch Serverless 컬렉션에 데이터를 업로드할 수 있습니다. 간결하게 하기 위해 이러한 예시는 OpenSearch Dashboards 콘솔의 Dev Tools(개발 도구)를 사용합니다.

컬렉션의 데이터를 인덱싱하고 검색하기

  1. 왼쪽 탐색 창에서 Collections(컬렉션)를 선택하고 books(책) 컬렉션을 선택하여 세부 정보 페이지를 엽니다.

  2. 컬렉션에 대한 OpenSearch Dashboards URL을 선택합니다. URL은 https://collection-id.us-east-1.aoss.amazonaws.com/_dashboards 형식을 취합니다.

  3. 데이터 액세스 정책에서 지정한 보안 주체의 AWS 액세스 및 보안 키를 사용하여 OpenSearch Dashboards에 로그인합니다.

  4. OpenSearch Dashboards에서 왼쪽 탐색 메뉴를 열고 Dev Tools(개발 도구)를 선택합니다.

  5. books-index라는 단일 인덱스를 생성하려면 다음 명령을 실행합니다.

    PUT books-index
    OpenSearch JSON 응답이 포함된 books-index에 대한 PUT 요청을 보여주는 대시보드 콘솔입니다.

  6. books-index라는 단일 문서를 인덱싱하려면 다음 명령을 실행합니다.

    PUT books-index/_doc/1
{ 
  "title": "The Shining",
  "author": "Stephen King",
  "year": 1977
}

  7. OpenSearch Dashboards에서 데이터를 검색하려면 하나 이상의 인덱스 패턴을 구성해야 합니다. OpenSearch는 이러한 패턴을 사용하여 분석할 인덱스를 식별하기 때문입니다. Dashboards 주 메뉴를 열고 스택 관리(Stack Management)를 선택하고 인덱스 패턴(Index Patterns)을 선택한 다음 인덱스 패턴 생성(Create index pattern)을 선택합니다. 이 자습서에서는 books-index를 입력하세요.

  8. 다음 단계(Next step)를 선택한 후 인덱스 패턴 생성(Create index pattern)을 선택합니다. 패턴이 생성되면 author, title와 같은 다양한 문서 필드를 볼 수 있습니다.

  9. 데이터 검색을 시작하려면 기본 메뉴를 다시 열고 Discover(발견)를 선택하거나 검색 API를 사용합니다.