Concedendo acesso aos pipelines OpenSearch do Amazon Ingestion aos domínios - OpenSearch Serviço Amazon
Etapa 1: Criar a função de pipelineEtapa 2: configurar o acesso a dados para o domínio

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Concedendo acesso aos pipelines OpenSearch do Amazon Ingestion aos domínios

Um pipeline OpenSearch de ingestão da Amazon precisa de permissão para gravar no domínio do OpenSearch serviço que está configurado como seu coletor. Para fornecer acesso, você configura uma função AWS Identity and Access Management (IAM) com uma política de permissões restritiva que limita o acesso ao domínio para o qual um pipeline está enviando dados. Por exemplo, talvez você queira limitar um pipeline de ingestão somente ao domínio e aos índices necessários para ser compatível com seu caso de uso.

Importante

Você pode escolher criar manualmente a função do pipeline ou fazer com que o OpenSearch Inestion a crie para você durante a criação do pipeline. Se você escolher a criação automática de funções, o OpenSearch Ingestion adicionará todas as permissões necessárias à política de acesso à função do pipeline com base na fonte e no coletor que você escolher. Ele cria um perfil de pipeline no IAM com o prefixo OpenSearchIngestion- e o sufixo que você insere. Para obter mais informações, consulte Perfis do pipeline.

Se você fizer com que o OpenSearch Ingestion crie a função de pipeline para você, ainda precisará incluir a função na política de acesso ao domínio e mapeá-la para uma função de back-end (se o domínio usar controle de acesso refinado), antes ou depois de criar o pipeline. Veja instruções na etapa 2.

Etapa 1: Criar a função de pipeline

O perfil deve ter uma política de permissões anexada que permita enviar dados para o coletor de domínios. Ele também deve ter uma relação de confiança que permita que o OpenSearch Inestion assuma a função. Para obter instruções de como associar uma política gerenciada a uma função, consulte Adição de permissões de identidade do IAM no Manual do usuário do IAM.

O seguinte exemplo de política demonstra o privilégio mínimo que você pode fornecer em um perfil de pipeline para que ele grave em um único domínio:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "es:DescribeDomain",
            "Resource": "arn:aws:es:*:111122223333:domain/*"
        },
        {
            "Effect": "Allow",
            "Action": "es:ESHttp*",
            "Resource": "arn:aws:es:*:111122223333:domain/domain-name/*"
        }
    ]
}

Se planeja reutilizar a função para gravar em vários domínios, você pode tornar a política mais ampla substituindo o nome do domínio por um caractere curinga (*).

A função deve ter a seguinte relação de confiança, o que permite que o OpenSearch Inestion assuma a função do pipeline:

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"osis-pipelines.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Etapa 2: configurar o acesso a dados para o domínio

Para que um pipeline grave dados em um domínio o domínio deve ter uma política de acesso em nível de domínio que permita que o perfil de pipeline o acesse.

O seguinte exemplo de política de acesso ao domínio permite que o perfil de pipeline denominado pipeline-role grave dados no domínio denominado ingestion-domain:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/pipeline-role"
            },
            "Action": [
                "es:DescribeDomain",
                "es:ESHttp*"
            ],
            "Resource": "arn:aws:es:us-east-1:111122223333:domain/domain-name/*"
        }
    ]
}

Mapear o perfil de pipeline (somente para domínios que usam o controle de acesso refinado)

Se seu domínio usa controle de acesso refinado para autenticação, há etapas adicionais que você precisa seguir para fornecer acesso ao pipeline a um domínio. As etapas variam de acordo com a configuração do seu domínio:

  • Cenário 1: função de mestre e função de pipeline diferentes — Se você estiver usando um Amazon Resource Name (ARN) do IAM como usuário principal e ele é diferente da função de pipeline, você precisa mapear a função de pipeline para a função de OpenSearch all_access back-end. Isso adiciona o perfil do pipeline como um usuário-mestre adicional. Para saber mais, consulte Usuários primários adicionais.

  • Cenário 2: Usuário principal no banco de dados de usuário interno — Se seu domínio usa um usuário mestre no banco de dados de usuário interno e autenticação básica HTTP para OpenSearch painéis, você não pode passar o nome de usuário e a senha principais diretamente para a configuração do pipeline. Em vez disso, mapeie a função do pipeline para a função de OpenSearch all_access back-end. Isso adiciona o perfil do pipeline como um usuário-mestre adicional. Para saber mais, consulte Usuários primários adicionais.

  • Cenário 3: perfil do mestre e perfil do pipeline iguais (pouco comum): se você estiver usando um ARN do IAM como usuário-mestre e for o mesmo ARN que você está usando como perfil do pipeline, não será necessário realizar nenhuma ação adicional. O pipeline tem as permissões necessárias para gravar no domínio. Esse cenário é pouco comum porque a maioria dos ambientes usa um perfil de administrador ou algum outro perfil como perfil de mestre.

A imagem a seguir mostra como mapear a função do pipeline para uma função de backend:

Backend roles section showing an AWSIAM role ARN for a pipeline role with a Remove option.