Tutorial: Conceitos básicos de segurança no Amazon OpenSearch Sem Servidor (console) - Amazon OpenSearch Service
Etapa 1: configurar permissõesEtapa 2: criar uma política de criptografiaEtapa 3: criar uma política de redeEtapa 4: Criar uma política de acesso a dadosEtapa 5: Criar uma coleçãoEtapa 6: transferir e pesquisar dados

Tutorial: Conceitos básicos de segurança no Amazon OpenSearch Sem Servidor (console)

Este tutorial orienta você pelas etapas básicas de criação e gerenciamento das políticas de segurança usando o console do Amazon OpenSearch Sem Servidor.

Você concluirá as seguintes etapas neste tutorial:

  1. Configurar permissões

  2. Criar uma política de criptografia

  3. Criar uma política de rede

  4. Configurar uma política de acesso a dados

  5. Criar uma coleção

  6. Transferir e pesquisar dados

Este tutorial orienta você ao longo da configuração de uma coleção usando o Console de gerenciamento da AWS. Para obter as mesmas etapas usando a AWS CLI, consulte Tutorial: Conceitos básicos de segurança no Amazon OpenSearch Sem Servidor (CLI).

Etapa 1: configurar permissões

nota

É possível pular esta etapa se já estiver usando uma política baseada em identidade mais ampla, como Action":"aoss:*" ou Action":"*". Em ambientes de produção, no entanto, recomendamos que você siga a entidade principal do privilégio mínimo e atribua somente as permissões mínimas necessárias para concluir uma tarefa.

Para concluir este tutorial, você deve ter as permissões corretas do IAM. Seu usuário ou função deve ter uma política baseada em identidade anexada com as seguintes permissões mínimas:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
        "aoss:ListCollections",
        "aoss:BatchGetCollection",
        "aoss:CreateCollection",
        "aoss:CreateSecurityPolicy",
        "aoss:GetSecurityPolicy",
        "aoss:ListSecurityPolicies",
        "aoss:CreateAccessPolicy",
        "aoss:GetAccessPolicy",
        "aoss:ListAccessPolicies"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Para obter uma lista completa de permissões do OpenSearch Sem Servidor, consulte Gerenciamento de identidade e acesso no Amazon OpenSearch Sem Servidor.

Etapa 2: criar uma política de criptografia

As políticas de criptografia especificam a chave do AWS KMS que o OpenSearch Sem Servidor usará para criptografar a coleção. É possível criptografar coleções com uma Chave gerenciada pela AWS ou uma chave diferente. Por simplicidade, neste tutorial, criptografaremos nossa coleção com uma Chave gerenciada pela AWS.

Para criar uma política de criptografia

  1. Abra o console do Amazon OpenSearch Service em https://console.aws.amazon.com/aos/home.

  2. No painel de navegação à esquerda, expanda Sem Servidor e escolha Políticas de criptografia.

  3. Escolha Criar política de criptografia.

  4. Nomeie a política como books-policy. Para a descrição, insira Política de criptografia para coleção de livros.

  5. Em Recursos, insira livros, que é como você chamará sua coleção. Se você quiser ser mais amplo, inclua um asterisco (books*) para que a política se aplique a todas as coleções que comecem com a palavra “books” (livros).

  6. Em Criptografia, mantenha a opção Usar chave própria da AWS selecionada.

  7. Escolha Criar.

Etapa 3: criar uma política de rede

As políticas de rede determinam se a sua coleção é acessível pela Internet a partir de redes públicas, ou se ela deve ser acessada por meio de endpoints da VPC gerenciados pelo OpenSearch Sem Servidor. Neste tutorial, configuraremos o acesso público.

Para criar uma política de rede

  1. Escolha Políticas de rede no painel de navegação à esquerda, e escolha Criar política de rede.

  2. Nomeie a política como books-policy. Para a descrição, insira Política de rede para coleção de livros.

  3. Na Regra 1, nomeie a regra como Acesso público para coleção de livros .

  4. Para simplificar, neste tutorial, configuraremos o acesso público para a coleção livros. Para o tipo de acesso, selecione Público.

  5. Vamos acessar a coleção a partir do OpenSearch Dashboards. Para fazer isso, você precisa configurar o acesso à rede para o Dashboards e o endpoint do OpenSearch, caso contrário o Dashboards não funcionará.

    Para o tipo de recurso, habilite Acesso aos endpoints do OpenSearch e Acesso ao OpenSearch Dashboards.

  6. Em ambas as caixas de entrada, insira Nome da coleção = livros. Essa configuração reduz o escopo da política para que ela se aplique somente a uma única coleção (books). Sua regra deve ser semelhante a esta:

    Search interface showing two input fields for collection or prefix term selection, both set to "books".

  7. Escolha Criar.

Etapa 4: Criar uma política de acesso a dados

Os dados da sua coleção não estarão acessíveis até que você configure o acesso aos dados. As políticas de acesso a dados são separadas da política baseada em identidade do IAM que você configurou na etapa 1. Elas permitem que os usuários acessem os dados reais de uma coleção.

Neste tutorial, forneceremos a um único usuário as permissões necessárias para indexar dados na coleção livros.

Para criar uma política de acesso a dados

  1. No painel de navegação à esquerda, escolha Políticas de acesso a dados e, em seguida, Criar política de acesso.

  2. Nomeie a política como books-policy. Para a descrição, insira Política de acesso a dados para coleção de livros.

  3. Selecione JSON para o método de definição de política e cole a seguinte política no editor JSON.

    Substitua o ARN da entidade principal pelo ARN da conta que você usará para fazer login no OpenSearch Dashboards e indexar os dados.

    [
   {
      "Rules":[
         {
            "ResourceType":"index",
            "Resource":[
               "index/books/*"
            ],
            "Permission":[
               "aoss:CreateIndex",
               "aoss:DescribeIndex", 
               "aoss:ReadDocument",
               "aoss:WriteDocument",
               "aoss:UpdateIndex",
               "aoss:DeleteIndex"
            ]
         }
      ],
      "Principal":[
         "arn:aws:iam::123456789012:user/my-user"
      ]
   }
]

    Esta política fornece a um único usuário as permissões mínimas necessárias para criar um índice na coleção livros, indexar alguns dados e pesquisá-los.

  4. Escolha Criar.

Etapa 5: Criar uma coleção

Agora que você configurou as políticas de criptografia e rede, será possível criar uma coleção correspondente e as configurações de segurança serão aplicadas automaticamente a ela.

Para criar uma coleção do OpenSearch Sem Servidor

  1. Escolha Coleções no painel de navegação à esquerda e escolha Criar coleção.

  2. Dê o nome de livros à coleção.

  3. Para o tipo de coleção, escolha Pesquisar.

  4. Em Criptografia, o OpenSearch de tecnologia sem servidor informa que o nome da coleção corresponde à política de criptografia books-policy.

  5. Em Configurações de acesso à rede, o OpenSearch de tecnologia sem servidor informa que o nome da coleção corresponde à política de rede books-policy.

  6. Escolha Próximo.

  7. Em Opções de política de acesso a dados, o OpenSearch de tecnologia sem servidor informa que o nome da coleção corresponde à política de acesso a dados books-policy.

  8. Escolha Próximo.

  9. Reveja a configuração da coleção e escolha Enviar. Normalmente, as coleções levam menos de um minuto para serem inicializadas.

Etapa 6: transferir e pesquisar dados

É possível transferir os dados para uma coleção do OpenSearch Sem Servidor usando Postman ou curl. Para resumir, estes exemplos usam Ferramentas de desenvolvimento no console do OpenSearch Dashboards.

Para indexar e pesquisar dados em uma coleção

  1. Escolha Coleções no painel de navegação à esquerda e escolha a coleção livros para abrir sua página de detalhes.

  2. Escolha o URL do OpenSearch Dashboards para a coleção. O URL assume o formato https://collection-id.us-east-1.aoss.amazonaws.com/_dashboards.

  3. Faça login no OpenSearch Dashboards usando as chaves de acesso e secreta da AWS da entidade principal que você especificou em sua política de acesso a dados.

  4. No OpenSearch Dashboards, abra o painel de navegação à esquerda e escolha Ferramentas de desenvolvimento.

  5. Para criar um único índice chamado books-index, execute o seguinte comando:

    PUT books-index
    OpenSearch Dashboards console showing PUT request for books-index with JSON response.

  6. Para indexar um único documento em books-index, execute o seguinte comando:

    PUT books-index/_doc/1
{ 
  "title": "The Shining",
  "author": "Stephen King",
  "year": 1977
}

  7. Para pesquisar dados no OpenSearch Dashboards, você precisa configurar pelo menos um padrão de índice. O OpenSearch usa esses padrões para identificar quais índices você deseja analisar. Abra o menu principal do Dashboards, escolha Gerenciamento de pilhas, escolha Padrões de índice e, em seguida, escolha Criar padrão de índice. Para este tutorial, insira books-index.

  8. Escolha Próxima etapa e, em seguida, Criar padrão de índice. Depois que o padrão é criado, você pode visualizar os vários campos do documento, como author e title.

  9. Para começar a pesquisar seus dados, abra o menu principal novamente e escolha Descobrir, ou use a API de pesquisa.