As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Acesso a dados entre regiões a domínios OpenSearch
Você pode configurar seus aplicativos de OpenSearch interface de usuário em um Região da AWS para acessar OpenSearch domínios em diferentes Região da AWS s. Isso permite criar painéis unificados que agregam dados de OpenSearch domínios em vários Região da AWS s na mesma partição. O suporte a fontes de dados entre regiões exige que um controle de acesso refinado seja ativado no domínio de destino. O controle de acesso refinado fornece uma camada de autorização adicional além da política de acesso ao domínio, permitindo que você controle o acesso a índices, documentos e campos individuais.
Principais conceitos
- Região de aplicação
-
O Região da AWS local onde seu aplicativo de OpenSearch interface de usuário está hospedado.
- Região de destino
-
O Região da AWS local onde o OpenSearch domínio reside. Isso pode ser qualquer região dentro da mesma partição, independentemente de a OpenSearch interface do usuário estar disponível nessa região.
- Função entre contas
-
Uma função do IAM na conta de destino que é usada somente durante a associação da fonte de dados. OpenSearch A interface do usuário assume essa função para chamar
es:DescribeDomain, o que recupera o endpoint do domínio e verifica se o controle de acesso refinado está ativado. Essa função só é necessária quando o domínio está em uma conta diferente da do aplicativo. Para obter mais informações, consulte Acesso a dados entre contas a domínios OpenSearch. - Função do aplicativo IAM Identity Center
-
Uma função do IAM na conta do aplicativo que é usada para acessar o plano de dados do usuário do IAM Identity Center.
- Regiões suportadas (para domínios VPC)
-
Para domínios de VPC, você deve colocar na lista de permissões os locais em que seus aplicativos de OpenSearch interface de usuário estão hospedados ao autorizar o VPC endpoint. Região da AWS Essa lista de permissões é necessária para que a OpenSearch interface do usuário possa fazer chamadas para o domínio VPC.
Pré-requisitos
Antes de configurar o acesso aos dados entre regiões, verifique se você tem o seguinte:
-
AWS CLI instalado e configurado
-
Acesso ao Conta da AWS na região do aplicativo e na região de destino
-
OpenSearch domínios com controle de acesso refinado ativado. A associação de fontes de dados multirregionais só é compatível com domínios com controle de acesso refinado ativado.
-
Para cenários de várias contas: acesso à origem e ao destino Conta da AWS
-
Para fluxos do IAM Identity Center: uma instância Centro de Identidade do AWS IAM da organização. O aplicativo de OpenSearch interface do usuário deve estar na mesma região da instância do IAM Identity Center.
Cenários
Escolha o cenário que corresponda ao método de autenticação e à configuração do domínio:
-
Cenário 1: usuário do IAM acessando um domínio público em uma região diferente
-
Cenário 2: usuário do IAM Identity Center acessando um domínio público em uma região diferente
-
Cenário 3: usuário do IAM acessando um domínio VPC em uma região diferente
-
Cenário 4: usuário do IAM Identity Center acessando um domínio VPC em uma região diferente
Cada cenário abrange o acesso entre regiões da mesma conta. Para acesso entre contas e regiões, combine as etapas nesses cenários com a configuração da função entre contas descrita em. Acesso a dados entre contas a domínios OpenSearch
Cenário 1: usuário do IAM acessando um domínio público em uma região diferente
Nesse cenário, você cria um aplicativo de OpenSearch interface de usuário em uma região e o conecta a um OpenSearch domínio público em uma região diferente dentro da mesma conta.
Etapa 1: criar o OpenSearch domínio (região de destino)
Crie um OpenSearch domínio na região de destino com o controle de acesso refinado ativado. Defina o escopo da política de acesso à raiz da conta ou aos diretores específicos do IAM.
aws opensearch create-domain \ --domain-namedomain-name\ --engine-version OpenSearch_2.19 \ --cluster-config InstanceType=m5.large.search,InstanceCount=1 \ --ebs-options "EBSEnabled=true,VolumeType=gp3,VolumeSize=100" \ --advanced-security-options '{"Enabled":true,"InternalUserDatabaseEnabled":true,"MasterUserOptions":{"MasterUserName":"admin","MasterUserPassword":"master-password"}}' \ --node-to-node-encryption-options '{"Enabled":true}' \ --encryption-at-rest-options '{"Enabled":true}' \ --domain-endpoint-options '{"EnforceHTTPS":true,"TLSSecurityPolicy":"Policy-Min-TLS-1-2-2019-07"}' \ --access-policies '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Principal":{"AWS":"arn:aws:iam::account-id:root"},"Action":"es:ESHttp*","Resource":"arn:aws:es:target-region:account-id:domain/domain-name/*"}]}' \ --regiontarget-region
Aguarde até que o status do domínio se torne Active antes de continuar.
Etapa 2: criar o aplicativo de OpenSearch interface do usuário (região do aplicativo)
Crie o aplicativo na região do aplicativo com a fonte de dados entre regiões. A região é extraída automaticamente do ARN da fonte de dados.
aws opensearch create-application \ --regionapplication-region\ --name "cross-region-iam-app" \ --data-sources '[{ "dataSourceArn":"arn:aws:es:target-region:account-id:domain/domain-name", "dataSourceDescription":"Cross-region domain" }]' \ --app-configs '[{"key":"opensearchDashboards.dashboardAdmin.users","value":"[\"test-user\"]"}]'
Etapa 3: verificar e acessar
Recupere os detalhes do aplicativo para obter o URL do endpoint:
aws opensearch get-application \ --regionapplication-region\ --idapplication-id
-
Navegue até o URL do endpoint do aplicativo a partir da resposta.
-
Faça login com as credenciais do IAM.
-
O usuário do IAM assina as solicitações do plano de dados com suas próprias credenciais.
-
A política de acesso e os mapeamentos de funções de back-end do domínio de destino controlam quais dados o usuário pode acessar.
Cenário 2: usuário do IAM Identity Center acessando um domínio público em uma região diferente
Nesse cenário, você cria um aplicativo de OpenSearch interface de usuário com a autenticação do IAM Identity Center em uma região e o conecta a um OpenSearch domínio público em uma região diferente dentro da mesma conta.
Etapa 1: criar o OpenSearch domínio com o IAM Identity Center ativado (região de destino)
Crie um OpenSearch domínio na região de destino com controle de acesso refinado e integração com o IAM Identity Center ativada. Use o --identity-center-options parâmetro with IdentityCenterInstanceRegion para especificar a região em que sua instância do IAM Identity Center está localizada. Essa região deve ser a mesma em que o aplicativo de OpenSearch interface do usuário está hospedado.
aws opensearch create-domain \ --domain-namedomain-name\ --engine-version OpenSearch_2.19 \ --cluster-config InstanceType=m5.large.search,InstanceCount=1 \ --ebs-options "EBSEnabled=true,VolumeType=gp3,VolumeSize=100" \ --advanced-security-options '{"Enabled":true,"InternalUserDatabaseEnabled":true,"MasterUserOptions":{"MasterUserName":"admin","MasterUserPassword":"master-password"}}' \ --node-to-node-encryption-options '{"Enabled":true}' \ --encryption-at-rest-options '{"Enabled":true}' \ --domain-endpoint-options '{"EnforceHTTPS":true,"TLSSecurityPolicy":"Policy-Min-TLS-1-2-2019-07"}' \ --identity-center-options '{"EnabledAPIAccess":true,"IdentityCenterInstanceARN":"arn:aws:sso:::instance/ssoins-instance-id","IdentityCenterInstanceRegion":"idc-region","RolesKey":"GroupId","SubjectKey":"UserId"}' \ --access-policies '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Principal":{"AWS":"arn:aws:iam::account-id:role/NeoIdCAppRole"},"Action":"es:ESHttp*","Resource":"arn:aws:es:target-region:account-id:domain/domain-name/*"}]}' \ --regiontarget-region
Aguarde até que o status do domínio se torne Active antes de continuar.
Etapa 2: criar a função do IAM para o aplicativo IAM Identity Center
Crie uma função do IAM que a OpenSearch UI use para acessar o plano de dados do usuário do IAM Identity Center.
Para criar a função do aplicativo IAM Identity Center
-
Crie uma política de confiança apenas com a
sts:AssumeRoledeclaração. Você atualizará essa política para adicionar asts:SetContextdeclaração depois de criar o aplicativo na próxima etapa.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "application.opensearchservice.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
Crie uma política de permissões:
{ "Version": "2012-10-17", "Statement": [{ "Sid": "OpenSearchDomain", "Effect": "Allow", "Action": ["es:ESHttp*"], "Resource": "arn:aws:es:target-region:account-id:domain/domain-name/*" }] } -
Crie a função e anexe as políticas:
aws iam create-role \ --role-nameNeoIdCAppRole\ --assume-role-policy-document file://neoidc-trust-policy.jsonaws iam put-role-policy \ --role-nameNeoIdCAppRole\ --policy-nameNeoIdCAppPermissions\ --policy-document file://neoidc-permissions-policy.json
Etapa 3: criar o aplicativo de OpenSearch interface do usuário com o IAM Identity Center (região do aplicativo)
nota
Certifique-se de que a instância do IAM Identity Center esteja localizada na mesma região da região do aplicativo de OpenSearch interface do usuário.
aws opensearch create-application \ --regionapplication-region\ --name "cross-region-idc-app" \ --iam-identity-center-options '{ "enabled":true, "iamIdentityCenterInstanceArn":"arn:aws:sso:::instance/ssoins-instance-id", "iamRoleForIdentityCenterApplicationArn":"arn:aws:iam::account-id:role/NeoIdCAppRole" }' \ --data-sources '[{ "dataSourceArn":"arn:aws:es:target-region:account-id:domain/domain-name", "dataSourceDescription":"Cross-region domain" }]' \ --app-configs '[{"key":"opensearchDashboards.dashboardAdmin.users","value":"[\"test-user\"]"}]'
Depois que o aplicativo for criado, anote o ID do aplicativo SSO na resposta. Em seguida, atualize a política de confiança na função do aplicativo do IAM Identity Center para adicionar a sts:SetContext declaração:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "application.opensearchservice.amazonaws.com" }, "Action": "sts:AssumeRole" }, { "Effect": "Allow", "Principal": { "Service": "application.opensearchservice.amazonaws.com" }, "Action": "sts:SetContext", "Condition": { "ForAllValues:ArnEquals": { "sts:RequestContextProviders": "arn:aws:iam::account-id:oidc-provider/portal.sso.idc-region.amazonaws.com/apl/application-id" } } } ] }
aws iam update-assume-role-policy \ --role-nameNeoIdCAppRole\ --policy-document file://updated-trust-policy.json
Etapa 4: criar e atribuir usuários e grupos do IAM Identity Center
Crie um usuário do IAM Identity Center
Execute o comando a seguir. Substitua placeholder
values por suas próprias informações.
aws identitystore create-user \ --identity-store-idd-directory-id\ --user-nameuser-email\ --display-name "display-name" \ --name Formatted=string,FamilyName=last-name,GivenName=first-name\ --emails Value=user-email,Type=work,Primary=true
Crie um grupo do IAM Identity Center e adicione o usuário
Execute os seguintes comandos :
aws identitystore create-group \ --identity-store-idd-directory-id\ --display-name "OpenSearchUsers" \ --description "Users with OpenSearch access" aws identitystore create-group-membership \ --identity-store-idd-directory-id\ --group-idgroup-id\ --member-id UserId=user-id
Atribua o usuário ou grupo ao aplicativo
Execute este comando: .
aws sso-admin create-application-assignment \ --application-arn "arn:aws:sso::account-id:application/ssoins-instance-id/apl-application-id" \ --principal-iduser-id-or-group-id\ --principal-typeUSER
Configurar o mapeamento de funções de back-end no domínio de destino
Mapeie o grupo do IAM Identity Center para uma função de OpenSearch segurança no domínio de destino:
curl -XPATCH "https://domain-endpoint/_plugins/_security/api/rolesmapping/all_access" \ -uadmin:master-password\ -H 'Content-Type: application/json' \ -d '[{"op": "add", "path": "/backend_roles", "value": ["group-id"]}]'
Etapa 5: verificar e acessar
Recupere os detalhes do aplicativo para obter o URL do endpoint:
aws opensearch get-application \ --regionapplication-region\ --idapplication-id
-
Navegue até o URL do endpoint do aplicativo.
-
Faça login com as credenciais de usuário do IAM Identity Center.
-
As solicitações de dados dos usuários do IAM Identity Center são assinadas com a função do aplicativo IAM Identity Center.
-
Mapeamentos de funções de back-end nas permissões de acesso aos dados de controle de domínio.
Cenário 3: usuário do IAM acessando um domínio VPC em uma região diferente
Nesse cenário, você cria um aplicativo de OpenSearch interface de usuário em uma região e o conecta a um OpenSearch domínio VPC em uma região diferente dentro da mesma conta. Os domínios VPC exigem configuração de rede adicional e autorização explícita de VPC endpoint com suporte entre regiões.
Etapa 1: configurar a VPC (região de destino)
Ignore essa etapa se uma VPC já existir na região de destino.
# Create VPC aws ec2 create-vpc \ --cidr-block 10.0.0.0/16 \ --regiontarget-region# Create subnet aws ec2 create-subnet \ --vpc-idvpc-id\ --cidr-block 10.0.1.0/24 \ --availability-zonetarget-regiona \ --regiontarget-region# Create security group aws ec2 create-security-group \ --group-nameopensearch-vpc-sg\ --description "Security group for OpenSearch VPC domain" \ --vpc-idvpc-id\ --regiontarget-region# Allow inbound HTTPS aws ec2 authorize-security-group-ingress \ --group-idsecurity-group-id\ --protocol tcp \ --port 443 \ --cidr 10.0.0.0/16 \ --regiontarget-region
Saiba mais sobre a criação de domínios VPC.
Etapa 2: criar o domínio VPC (região de destino)
aws opensearch create-domain \ --domain-namevpc-domain-name\ --engine-version OpenSearch_2.19 \ --cluster-config InstanceType=m5.large.search,InstanceCount=1 \ --ebs-options "EBSEnabled=true,VolumeType=gp3,VolumeSize=100" \ --vpc-options "SubnetIds=subnet-id,SecurityGroupIds=security-group-id" \ --advanced-security-options '{"Enabled":true,"InternalUserDatabaseEnabled":true,"MasterUserOptions":{"MasterUserName":"admin","MasterUserPassword":"master-password"}}' \ --node-to-node-encryption-options '{"Enabled":true}' \ --encryption-at-rest-options '{"Enabled":true}' \ --domain-endpoint-options '{"EnforceHTTPS":true,"TLSSecurityPolicy":"Policy-Min-TLS-1-2-2019-07"}' \ --access-policies '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Principal":{"AWS":"arn:aws:iam::account-id:root"},"Action":"es:ESHttp*","Resource":"arn:aws:es:target-region:account-id:domain/vpc-domain-name/*"}]}' \ --regiontarget-region
Aguarde até que o status do domínio se torne Active antes de continuar.
Etapa 3: autorizar o VPC endpoint para o principal serviço de interface OpenSearch do usuário com suporte entre regiões (região de destino)
# Authorize the service principal with cross-region support aws opensearch authorize-vpc-endpoint-access \ --domain-namevpc-domain-name\ --service "application.opensearchservice.amazonaws.com" \ --service-options '{"SupportedRegions":["target-region","application-region"]}' \ --regiontarget-region# Verify authorization aws opensearch list-vpc-endpoint-access \ --domain-namevpc-domain-name\ --regiontarget-region
Resposta esperada:
{ "AuthorizedPrincipalList": [ { "PrincipalType": "AWS_SERVICE", "Principal": "application.opensearchservice.amazonaws.com", "ServiceOptions": { "SupportedRegions": ["target-region", "application-region"] } } ] }
Etapa 4: criar o aplicativo de OpenSearch interface do usuário (região do aplicativo)
aws opensearch create-application \ --regionapplication-region\ --name "cross-region-vpc-iam-app" \ --data-sources '[{ "dataSourceArn":"arn:aws:es:target-region:account-id:domain/vpc-domain-name", "dataSourceDescription":"Cross-region VPC domain" }]' \ --app-configs '[{"key":"opensearchDashboards.dashboardAdmin.users","value":"[\"test-user\"]"}]'
Etapa 5: verificar e acessar
Recupere os detalhes do aplicativo para obter o URL do endpoint:
aws opensearch get-application \ --regionapplication-region\ --idapplication-id
-
Navegue até o URL do endpoint do aplicativo a partir da resposta.
-
Faça login com as credenciais do IAM.
-
O usuário do IAM assina as solicitações do plano de dados com suas próprias credenciais.
-
A política de acesso e os mapeamentos de funções de back-end do domínio de destino controlam quais dados o usuário pode acessar.
Cenário 4: usuário do IAM Identity Center acessando um domínio VPC em uma região diferente
Nesse cenário, você cria um aplicativo de OpenSearch interface de usuário com a autenticação do IAM Identity Center em uma região e o conecta a um OpenSearch domínio VPC em uma região diferente dentro da mesma conta.
Etapa 1: configurar a VPC (região de destino)
Ignore essa etapa se uma VPC já existir na região de destino.
# Create VPC aws ec2 create-vpc \ --cidr-block 10.0.0.0/16 \ --regiontarget-region# Create subnet aws ec2 create-subnet \ --vpc-idvpc-id\ --cidr-block 10.0.1.0/24 \ --availability-zonetarget-regiona \ --regiontarget-region# Create security group aws ec2 create-security-group \ --group-nameopensearch-vpc-sg\ --description "Security group for OpenSearch VPC domain" \ --vpc-idvpc-id\ --regiontarget-region# Allow inbound HTTPS aws ec2 authorize-security-group-ingress \ --group-idsecurity-group-id\ --protocol tcp \ --port 443 \ --cidr 10.0.0.0/16 \ --regiontarget-region
Saiba mais sobre a criação de domínios VPC.
Etapa 2: criar o domínio VPC com o IAM Identity Center ativado (região de destino)
Crie um OpenSearch domínio na região de destino com controle de acesso refinado, integração com o IAM Identity Center e configuração de VPC ativada. Atualize a política de acesso para permitir o papel do aplicativo IAM Identity Center e adicione o --identity-center-options parâmetro:
aws opensearch create-domain \ --domain-namevpc-domain-name\ --engine-version OpenSearch_2.19 \ --cluster-config InstanceType=m5.large.search,InstanceCount=1 \ --ebs-options "EBSEnabled=true,VolumeType=gp3,VolumeSize=100" \ --vpc-options "SubnetIds=subnet-id,SecurityGroupIds=security-group-id" \ --advanced-security-options '{"Enabled":true,"InternalUserDatabaseEnabled":true,"MasterUserOptions":{"MasterUserName":"admin","MasterUserPassword":"master-password"}}' \ --node-to-node-encryption-options '{"Enabled":true}' \ --encryption-at-rest-options '{"Enabled":true}' \ --domain-endpoint-options '{"EnforceHTTPS":true,"TLSSecurityPolicy":"Policy-Min-TLS-1-2-2019-07"}' \ --identity-center-options '{"EnabledAPIAccess":true,"IdentityCenterInstanceARN":"arn:aws:sso:::instance/ssoins-instance-id","IdentityCenterInstanceRegion":"idc-region","RolesKey":"GroupId","SubjectKey":"UserId"}' \ --access-policies '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Principal":{"AWS":"arn:aws:iam::account-id:role/NeoIdCAppRole"},"Action":"es:ESHttp*","Resource":"arn:aws:es:target-region:account-id:domain/vpc-domain-name/*"}]}' \ --regiontarget-region
Aguarde até que o status do domínio se torne Active antes de continuar.
Etapa 3: autorizar o VPC endpoint para o principal serviço de interface OpenSearch do usuário com suporte entre regiões (região de destino)
Importante
Essa é uma etapa crítica exclusiva dos domínios VPC com acesso entre regiões. O serviço de OpenSearch interface do usuário deve estar explicitamente autorizado a acessar o VPC endpoint, e você deve incluir a região do aplicativo na lista. SupportedRegions
# Authorize the service principal with cross-region support aws opensearch authorize-vpc-endpoint-access \ --domain-namevpc-domain-name\ --service "application.opensearchservice.amazonaws.com" \ --service-options '{"SupportedRegions":["target-region","application-region"]}' \ --regiontarget-region# Verify authorization aws opensearch list-vpc-endpoint-access \ --domain-namevpc-domain-name\ --regiontarget-region
Resposta esperada:
{ "AuthorizedPrincipalList": [ { "PrincipalType": "AWS_SERVICE", "Principal": "application.opensearchservice.amazonaws.com", "ServiceOptions": { "SupportedRegions": ["target-region", "application-region"] } } ] }
Etapa 4: criar a função do IAM para o aplicativo IAM Identity Center
Crie uma função do IAM que a OpenSearch UI use para acessar o plano de dados do usuário do IAM Identity Center.
Para criar a função do aplicativo IAM Identity Center
-
Crie uma política de confiança apenas com a
sts:AssumeRoledeclaração. Você atualizará essa política para adicionar asts:SetContextdeclaração depois de criar o aplicativo na próxima etapa.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "application.opensearchservice.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
Crie uma política de permissões:
{ "Version": "2012-10-17", "Statement": [{ "Sid": "OpenSearchDomain", "Effect": "Allow", "Action": ["es:ESHttp*"], "Resource": "arn:aws:es:target-region:account-id:domain/vpc-domain-name/*" }] } -
Crie a função e anexe as políticas:
aws iam create-role \ --role-nameNeoIdCAppRole\ --assume-role-policy-document file://neoidc-trust-policy.jsonaws iam put-role-policy \ --role-nameNeoIdCAppRole\ --policy-nameNeoIdCAppPermissions\ --policy-document file://neoidc-permissions-policy.json
Etapa 5: criar o aplicativo de OpenSearch interface do usuário com o IAM Identity Center (região do aplicativo)
aws opensearch create-application \ --regionapplication-region\ --name "cross-region-vpc-idc-app" \ --iam-identity-center-options '{ "enabled":true, "iamIdentityCenterInstanceArn":"arn:aws:sso:::instance/ssoins-instance-id", "iamRoleForIdentityCenterApplicationArn":"arn:aws:iam::account-id:role/NeoIdCAppRole" }' \ --data-sources '[{ "dataSourceArn":"arn:aws:es:target-region:account-id:domain/vpc-domain-name", "dataSourceDescription":"Cross-region VPC domain" }]' \ --app-configs '[{"key":"opensearchDashboards.dashboardAdmin.users","value":"[\"test-user\"]"}]'
Depois que o aplicativo for criado, anote o ID do aplicativo SSO na resposta. Em seguida, atualize a política de confiança na função do aplicativo do IAM Identity Center para adicionar a sts:SetContext declaração:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "application.opensearchservice.amazonaws.com" }, "Action": "sts:AssumeRole" }, { "Effect": "Allow", "Principal": { "Service": "application.opensearchservice.amazonaws.com" }, "Action": "sts:SetContext", "Condition": { "ForAllValues:ArnEquals": { "sts:RequestContextProviders": "arn:aws:iam::account-id:oidc-provider/portal.sso.idc-region.amazonaws.com/apl/application-id" } } } ] }
aws iam update-assume-role-policy \ --role-nameNeoIdCAppRole\ --policy-document file://updated-trust-policy.json
Etapa 6: criar e atribuir usuários e grupos do IAM Identity Center
Siga as mesmas etapas Etapa 4: criar e atribuir usuários e grupos do IAM Identity Center para criar usuários, grupos, atribuí-los ao aplicativo e configurar o mapeamento de funções de back-end no domínio de destino.
Etapa 7: verificar e acessar
Recupere os detalhes do aplicativo para obter o URL do endpoint:
aws opensearch get-application \ --regionapplication-region\ --idapplication-id
-
Navegue até o URL do endpoint do aplicativo.
-
Faça login com as credenciais de usuário do IAM Identity Center.
-
As solicitações de dados dos usuários do IAM Identity Center são assinadas com a função do aplicativo IAM Identity Center.
-
Mapeamentos de funções de back-end nas permissões de acesso aos dados de controle de domínio.
Como gerenciar aplicações do
Atualizar um aplicativo com fontes de dados entre regiões
Execute o comando a seguir. Substitua placeholder
values por suas próprias informações.
aws opensearch update-application \ --regionapplication-region\ --idapplication-id\ --data-sources '[{ "dataSourceArn":"arn:aws:es:target-region-1:account-id:domain/domain-1", "dataSourceDescription":"Domain in target Region 1" },{ "dataSourceArn":"arn:aws:es:target-region-2:account-id:domain/domain-2", "dataSourceDescription":"Domain in target Region 2" }]'
Importante
A operação de atualização substitui toda a matriz de fontes de dados. Inclua todas as fontes de dados que você deseja manter.
Listar aplicativos
Execute este comando: .
aws opensearch list-applications \ --regionapplication-region
Deleta a aplicação
Execute este comando: .
aws opensearch delete-application \ --regionapplication-region\ --idapplication-id
Revogar o acesso ao VPC endpoint para regiões específicas
Para revogar o acesso entre regiões para Região da AWS s específicos e manter outros, use o --service-options parâmetro com as Regiões para revogar:
aws opensearch revoke-vpc-endpoint-access \ --domain-namevpc-domain-name\ --service "application.opensearchservice.amazonaws.com" \ --service-options '{"SupportedRegions":["region-to-revoke"]}' \ --regiontarget-region
Referência rápida
As tabelas a seguir resumem as principais diferenças entre tipos de domínio, métodos de autenticação e acesso na mesma região versus acesso entre regiões.
| Aspecto | Domínio público | Domínio VPC |
|---|---|---|
| Autorização de VPC endpoint | Não obrigatório | Obrigatório — deve autorizar com application.opensearchservice.amazonaws.com SupportedRegions |
| Configuração da rede | Nenhum | VPC, sub-rede, grupo de segurança com entrada HTTPS (443) |
| Política de acesso do IAM | Obrigatório | Obrigatório |
| Aspecto | IAM user (Usuário do IAM) | Usuários do IAM Identity Center |
|---|---|---|
| Credenciais do plano de dados | Credenciais do IAM do próprio usuário | Função do aplicativo IAM Identity Center |
| Controle de acesso | Política de acesso ao domínio e mapeamentos de funções de back-end | Política de acesso ao domínio e mapeamentos de funções de back-end |
| Restrição de região do aplicativo | Qualquer região | Deve estar na mesma região da instância do IAM Identity Center |
| Configuração do domínio | Standard | Requer --identity-center-options com IdentityCenterInstanceRegion |
| Configuração adicional | Nenhum | Função do aplicativo IAM Identity Center, user/group criação, atribuição de aplicativos, mapeamento de funções de back-end |
| Aspecto | Mesma região | Entre regiões |
|---|---|---|
| ARN da fonte de dados | Mesma região do aplicativo | Região diferente do aplicativo (mesma partição) |
| Autorização de VPC endpoint | Omitir --service-options |
Incluir --service-options com SupportedRegions |
| Configuração de domínio do IAM Identity Center | IdentityCenterInstanceRegion opcional |
IdentityCenterInstanceRegion obrigatório |
| Suporte a partições cruzadas | N/D | Não suportado — as fontes de dados devem estar na mesma partição |
Observações importantes
-
A associação de fontes de dados entre regiões exige que um controle de acesso refinado seja ativado no domínio de destino.
-
As fontes de dados entre regiões devem estar na mesma partição. O acesso entre partições (por exemplo, de
awsparaaws-cn) não é suportado. -
A região da fonte de dados é extraída automaticamente do ARN da fonte de dados. Nenhum parâmetro de região adicional é necessário no
CreateApplicationouUpdateApplicationAPIs. -
Para fontes de dados entre regiões com a mesma conta, não
iamRoleForDataSourceArné necessário. Ela só é necessária para fontes de dados entre contas. -
Para domínios VPC, você deve incluir a região do aplicativo no
SupportedRegionsparâmetro ao chamar.AuthorizeVpcEndpointAccessA omissão--service-optionsautoriza somente o acesso à mesma região. -
Para fluxos do IAM Identity Center, o aplicativo de OpenSearch interface do usuário deve estar na mesma região da instância do IAM Identity Center.
-
Para fluxos do IAM Identity Center com domínios entre regiões, o domínio de destino deve ser incluído
--identity-center-optionspara permitir aIdentityCenterInstanceRegionintrospecção de tokens entre regiões. -
Versões de motor suportadas: OpenSearch 1.3 e superiores.
Solução de problemas
| Problema | Resolução |
|---|---|
| A criação do aplicativo falha com “Não é possível acessar o domínio” | Verifique se o domínio existe na região de destino e se o controle de acesso refinado está ativado. Para cenários de várias contas, verifique se a função entre contas tem a es:DescribeDomain permissão e se a política de confiança permite a conta de origem. |
| O acesso ao domínio VPC falha entre regiões | Certifique-se de que o VPC endpoint esteja autorizado application.opensearchservice.amazonaws.com com a região do aplicativo incluída em. SupportedRegions |
| Acesso ao plano de dados negado para usuário do IAM | Verifique se a política de acesso ao domínio de destino permite o usuário ou o responsável pela função do IAM e se os mapeamentos refinados das funções de back-end do controle de acesso concedem as permissões apropriadas. |
| Acesso ao plano de dados negado para o usuário do IAM Identity Center | Verifique se o mapeamento da função de back-end inclui o ID do grupo do IAM Identity Center, se a política de domínio permite a função do aplicativo do IAM Identity Center e IdentityCenterInstanceRegion está definido corretamente na mesma região do aplicativo de OpenSearch interface do usuário no domínio. |
| Fonte de dados de partição cruzada rejeitada | O acesso entre partições não é suportado. Verifique se o ARN da fonte de dados está na mesma partição do aplicativo. |
| A autenticação do IAM Identity Center falha em domínios entre regiões | Verifique se IdentityCenterInstanceRegion está definido para a região correta em que sua instância do IAM Identity Center está ativada. O aplicativo de OpenSearch interface do usuário também deve estar nessa mesma região. |
