View a markdown version of this page

Tutorial: Introdução à segurança no Amazon OpenSearch Serverless (console) - OpenSearch Serviço Amazon
Etapa 1: configurar permissõesEtapa 2: criar uma política de criptografiaEtapa 3: criar uma política de redeEtapa 4: Criar uma política de acesso a dadosEtapa 5: Criar uma coleçãoEtapa 6: transferir e pesquisar dados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Tutorial: Introdução à segurança no Amazon OpenSearch Serverless (console)

Neste tutorial, você cria e gerencia políticas de segurança usando o console Amazon OpenSearch Serverless.

Você conclui as seguintes etapas neste tutorial:

  1. Configurar permissões

  2. Criar uma política de criptografia

  3. Criar uma política de rede

  4. Configurar uma política de acesso a dados

  5. Criar uma coleção

  6. Transferir e pesquisar dados

Este tutorial mostra como configurar uma coleção usando Console de gerenciamento da AWS o. Para ver as mesmas etapas usando o AWS CLI, consulteTutorial: Introdução à segurança no Amazon OpenSearch Serverless (CLI).

Etapa 1: configurar permissões

nota

É possível pular esta etapa se já estiver usando uma política baseada em identidade mais ampla, como Action":"aoss:*" ou Action":"*". Em ambientes de produção, no entanto, siga o princípio do privilégio mínimo e atribua apenas as permissões mínimas necessárias para concluir uma tarefa.

Para concluir este tutorial, você deve ter as permissões corretas do IAM. Seu usuário ou função deve ter uma política baseada em identidade anexada com as seguintes permissões mínimas:

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Action": [
        "aoss:ListCollections",
        "aoss:BatchGetCollection",
        "aoss:CreateCollection",
        "aoss:CreateSecurityPolicy",
        "aoss:GetSecurityPolicy",
        "aoss:ListSecurityPolicies",
        "aoss:CreateAccessPolicy",
        "aoss:GetAccessPolicy",
        "aoss:ListAccessPolicies"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Para obter uma lista completa das permissões OpenSearch sem servidor, consulte. Identity and Access Management para Amazon OpenSearch Serverless

Etapa 2: criar uma política de criptografia

As políticas de criptografia especificam a AWS KMS chave que o OpenSearch Serverless usa para criptografar a coleção. Você pode criptografar coleções com uma chave Chave gerenciada pela AWS ou uma chave diferente. Para simplificar este tutorial, você criptografa sua coleção com um Chave gerenciada pela AWS.

Para criar uma política de criptografia

  1. Abra o console do Amazon OpenSearch Service em https://console.aws.amazon.com/aos/home.

  2. No painel de navegação à esquerda, expanda Sem Servidor e escolha Políticas de criptografia.

  3. Escolha Criar política de criptografia.

  4. Atribua o nome books-policy à política. Para a descrição, insiraEncryption policy for books collection.

  5. Em Recursos, insirabooks, qual é o nome que você dá à sua coleção. Se quiser ser mais amplo, você pode incluir um asterisco (books*) para que a política se aplique a todas as coleções que começam com a palavra “livros”.

  6. Para Criptografia, mantenha a opção AWS Usar chave própria selecionada.

  7. Escolha Criar.

Etapa 3: criar uma política de rede

As políticas de rede determinam se sua coleção pode ser acessada pela Internet a partir de redes públicas ou se ela deve ser acessada por meio de VPC endpoints OpenSearch gerenciados sem servidor. Neste tutorial, você configura o acesso público.

Para criar uma política de rede

  1. Escolha Políticas de rede no painel de navegação à esquerda, e escolha Criar política de rede.

  2. Atribua o nome books-policy à política. Para a descrição, insiraNetwork policy for books collection.

  3. Na Regra 1, nomeie a regraPublic access for books collection.

  4. Para simplificar este tutorial, configure o acesso público à coleção de livros. Para o tipo de acesso, selecione Público.

  5. Você acessa a coleção a partir dos OpenSearch painéis. Para fazer isso, você precisa configurar o acesso à rede para painéis e o OpenSearch endpoint, caso contrário, os painéis não funcionarão.

    Para o tipo de recurso, habilite o acesso aos OpenSearch endpoints e o acesso aos OpenSearch painéis.

  6. Nas duas caixas de entrada, insiraCollection Name = books. Essa configuração reduz o escopo da política para que ela se aplique somente a uma única coleção (books). Sua regra deve ser semelhante a esta:

    Interface de pesquisa mostrando dois campos de entrada para seleção de termos de coleção ou prefixo, ambos definidos como “livros”.

  7. Escolha Criar.

Etapa 4: Criar uma política de acesso a dados

Você não pode acessar seus dados de coleta até configurar o acesso aos dados. As políticas de acesso a dados são separadas da política baseada em identidade do IAM que você configurou na etapa 1. Elas permitem que os usuários acessem os dados reais de uma coleção.

Neste tutorial, você fornece a um único usuário as permissões necessárias para indexar dados na coleção de livros.

Para criar uma política de acesso a dados

  1. No painel de navegação à esquerda, escolha Políticas de acesso a dados e, em seguida, Criar política de acesso.

  2. Atribua o nome books-policy à política. Para a descrição, insiraData access policy for books collection.

  3. Selecione JSON para o método de definição de política e cole a seguinte política no editor JSON.

    Substitua o ARN principal pelo ARN da conta que você usa para fazer login nos OpenSearch painéis e indexar dados.

    [
   {
      "Rules":[
         {
            "ResourceType":"index",
            "Resource":[
               "index/books/*"
            ],
            "Permission":[
               "aoss:CreateIndex",
               "aoss:DescribeIndex", 
               "aoss:ReadDocument",
               "aoss:WriteDocument",
               "aoss:UpdateIndex",
               "aoss:DeleteIndex"
            ]
         }
      ],
      "Principal":[
         "arn:aws:iam::123456789012:user/my-user"
      ]
   }
]

    Esta política fornece a um único usuário as permissões mínimas necessárias para criar um índice na coleção livros, indexar alguns dados e pesquisá-los.

  4. Escolha Criar.

Etapa 5: Criar uma coleção

Agora que você configurou as políticas de criptografia e rede, pode criar uma coleção que corresponda a elas. OpenSearch O Serverless aplica automaticamente as configurações de segurança.

Para criar uma coleção OpenSearch sem servidor

  1. Escolha Coleções no painel de navegação à esquerda e escolha Criar coleção.

  2. No campo Geração sem servidor, escolha Alternar para o Classic se ainda não estiver no Classic.

  3. Para o nome da coleção, insirabooks.

  4. Para o tipo de coleção, escolha Pesquisar.

  5. Em Criptografia, OpenSearch Serverless informa que o nome da coleção corresponde à política de criptografia. books-policy

  6. Em Configurações de acesso à rede, o OpenSearch Serverless informa que o nome da coleção corresponde à books-policy política de rede.

  7. Escolha Próximo.

  8. Em Opções de política de acesso a dados, o OpenSearch Serverless informa que o nome da coleção corresponde à política de acesso a books-policy dados.

  9. Escolha Próximo.

  10. Em Configurar OpenSearch UI, configure o OpenSearch aplicativo e o espaço de trabalho da sua coleção. Escolha Selecionar OpenSearch aplicativo existente ou Criar novo OpenSearch aplicativo e selecione ou crie um espaço de trabalho. Escolha Próximo.

  11. Reveja a configuração da coleção e escolha Enviar. Normalmente, as coleções levam menos de um minuto para serem inicializadas.

nota

Este tutorial usa o fluxo clássico de criação da coleção para demonstrar como as políticas de segurança pré-configuradas são automaticamente combinadas durante a criação da coleção. Para obter informações sobre como criar coleções usando o NextGen fluxo, consulteCriação de coleções.

Etapa 6: transferir e pesquisar dados

Você pode carregar dados para uma coleção OpenSearch sem servidor usando Postman ou curl. Para resumir, esses exemplos usam Dev Tools no console OpenSearch Dashboards.

Para indexar e pesquisar dados em uma coleção

  1. Escolha Coleções no painel de navegação à esquerda e escolha a coleção livros para abrir sua página de detalhes.

  2. Escolha o URL dos OpenSearch painéis para a coleção. O URL assume o formato https://collection-id.us-east-1.aoss.amazonaws.com/_dashboards.

  3. Faça login nos OpenSearch painéis usando as chaves de AWS acesso e secretas do principal que você especificou em sua política de acesso a dados.

  4. Em OpenSearch Painéis, abra o menu de navegação à esquerda e escolha Ferramentas de desenvolvimento.

  5. Para criar um único índice chamado books-index, execute o seguinte comando:

    PUT books-index
    OpenSearch Console de painéis mostrando a solicitação PUT para índice de livros com resposta JSON.

  6. Para indexar um único documento em books-index, execute o seguinte comando:

    PUT books-index/_doc/1
{ 
  "title": "The Shining",
  "author": "Stephen King",
  "year": 1977
}

  7. Para pesquisar dados em OpenSearch painéis, você precisa configurar pelo menos um padrão de índice. OpenSearch usa esses padrões para identificar quais índices você deseja analisar. Abra o menu principal do Dashboards, escolha Gerenciamento de pilhas, escolha Padrões de índice e, em seguida, escolha Criar padrão de índice. Para este tutorial, insira books-index.

  8. Escolha Próxima etapa e, em seguida, Criar padrão de índice. Depois que o padrão é criado, você pode visualizar os vários campos do documento, como author e title.

  9. Para começar a pesquisar seus dados, abra o menu principal novamente e escolha Descobrir, ou use a API de pesquisa.