Configurando funções e usuários na Amazon OpenSearch Ingestion - OpenSearch Serviço Amazon
Perfis do pipelinePerfil de ingestão

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurando funções e usuários na Amazon OpenSearch Ingestion

O Amazon OpenSearch Ingestion usa uma variedade de modelos de permissões e funções do IAM para permitir que os aplicativos de origem gravem em pipelines e para permitir que os pipelines gravem em sumidouros. Antes de começar a ingerir dados, você precisa criar um ou mais perfis do IAM com permissões específicas com base no seu caso de uso.

No mínimo, os seguintes perfis são necessários para configurar um pipeline bem-sucedido.

Nome Descrição
Perfis do pipeline

A função de pipeline fornece as permissões necessárias para que um pipeline leia da fonte e grave no domínio ou no coletor da coleção. Você pode criar manualmente a função do pipeline ou fazer com que o OpenSearch Inestion a crie para você.
Perfil de ingestão

O perfil de ingestão contém a permissão osis:Ingest para o recurso de pipeline. Essa permissão permite que fontes baseadas em push consumam dados em um pipeline.

A imagem a seguir demonstra uma configuração típica de pipeline, em que uma fonte de dados, como Amazon S3 ou Fluent Bit, está gravando em um pipeline em uma conta diferente. Nesse caso, o cliente precisa assumir o perfil de ingestão para acessar o pipeline. Para obter mais informações, consulte Ingestão entre contas.

Cross-account data ingestion pipeline showing client application, roles, and OpenSearch sink.

Para obter um guia de configuração simples, consulte Tutorial: Ingestão de dados em um domínio usando o Amazon OpenSearch Ingestion.

Tópicos

Perfis do pipeline

Um pipeline precisa de certas permissões para ler de sua fonte e gravar em seu coletor. Essas permissões dependem do aplicativo cliente ou do aplicativo AWS service (Serviço da AWS) que está gravando no pipeline e se o coletor é um domínio de OpenSearch serviço, uma coleção OpenSearch sem servidor ou o Amazon S3. Além disso, um pipeline pode precisar de permissões para extrair fisicamente dados do aplicativo de origem (se a fonte for um plug-in baseado em pull) e permissões para gravar em uma fila de letras mortas do S3, se habilitado.

Ao criar um pipeline, você tem a opção de especificar uma função existente do IAM que você criou manualmente ou fazer com que o OpenSearch Ingestion crie automaticamente a função do pipeline com base na fonte e no coletor que você selecionou. A imagem a seguir mostra como especificar a função do pipeline no AWS Management Console.

Automatizando a criação de funções no pipeline

Você pode optar por fazer com que o OpenSearch Inestion crie a função de pipeline para você. Ele identifica automaticamente quais permissões a função exige com base na fonte e nos coletores configurados. Ele cria uma função do IAM com o prefixo OpenSearchIngestion- e com o sufixo que você insere. Por exemplo, se você inserir PipelineRole como sufixo, o OpenSearch Ingestion cria uma função chamada. OpenSearchIngestion-PipelineRole

A criação automática da função de pipeline simplifica o processo de configuração e reduz a probabilidade de erros de configuração. Ao automatizar a criação de funções, você pode evitar a atribuição manual de permissões, garantindo que as políticas corretas sejam aplicadas sem correr o risco de configurações incorretas de segurança. Isso também economiza tempo e melhora a conformidade de segurança ao aplicar as melhores práticas e, ao mesmo tempo, garantir a consistência em várias implantações de pipeline.

Você só pode fazer com que o OpenSearch Ingestion crie automaticamente a função do pipeline no AWS Management Console. Se você estiver usando a AWS CLI API de OpenSearch ingestão ou uma das SDKs, deverá especificar uma função de pipeline criada manualmente.

Para que o OpenSearch Inestion crie a função para você, selecione Criar e usar uma nova função de serviço.

Importante

Você ainda precisa modificar manualmente a política de acesso ao domínio ou à coleção para conceder acesso à função do pipeline. Para domínios que usam controle de acesso refinado, você também deve mapear a função do pipeline para uma função de back-end. Você pode executar essas etapas antes ou depois de criar o pipeline.

Para obter instruções, consulte os tópicos a seguir:

Criação manual da função do pipeline

Talvez você prefira criar manualmente a função do pipeline se precisar de mais controle sobre as permissões para atender aos requisitos específicos de segurança ou conformidade. A criação manual permite que você personalize as funções de acordo com a infraestrutura existente ou as estratégias de gerenciamento de acesso. Você também pode escolher a configuração manual para integrar a função a outra Serviços da AWS ou garantir que ela esteja alinhada às suas necessidades operacionais exclusivas.

Para escolher uma função de pipeline criada manualmente, selecione Usar uma função do IAM existente e escolha uma função existente. A função deve ter todas as permissões necessárias para receber dados da fonte selecionada e gravar no coletor selecionado. As seções a seguir descrevem como criar manualmente uma função de pipeline.

Permissões para ler de uma fonte

Um pipeline OpenSearch de ingestão precisa de permissão para ler e receber dados da fonte especificada. Por exemplo, para uma fonte do Amazon DynamoDB, ela precisa de permissões como e. dynamodb:DescribeTable dynamodb:DescribeStream Para exemplos de políticas de acesso à função de pipeline para fontes comuns, como Amazon S3, Fluent Bit e OpenTelemetry Collector, consulte. Integração dos pipelines OpenSearch de ingestão da Amazon com outros serviços e aplicativos

Permissões para gravar em um coletor de domínio

Um pipeline OpenSearch de ingestão precisa de permissão para gravar em um domínio OpenSearch de serviço configurado como coletor. Essas permissões incluem a capacidade de descrever o domínio e enviar solicitações HTTP para ele. Essas permissões são as mesmas para domínios públicos e VPC. Para obter instruções sobre como criar uma função de pipeline e especificá-la na política de acesso ao domínio, consulte Permitir que pipelines acessem domínios.

Permissões para gravar em um coletor de coleção

Um pipeline OpenSearch de ingestão precisa de permissão para gravar em uma coleção OpenSearch Serverless configurada como coletor. Essas permissões incluem a capacidade de descrever a coleção e enviar solicitações HTTP para ela.

Primeiro, certifique-se de que sua política de acesso à função do pipeline conceda as permissões necessárias. Em seguida, inclua esse perfil em uma política de acesso a dados e forneça permissões para criar índices, atualizar índices, descrever índices e escrever documentos na coleção. Para obter instruções sobre como concluir cada uma dessas etapas, consulte Como permitir que os pipelines acessem as coleções.

Permissões para gravar no Amazon S3 ou em uma fila de mensagens sem saída

Se você especificar o Amazon S3 como destino de coletor para seu pipeline, ou se habilitar uma fila de mensagens mortas (DLQ), a função do pipeline deverá permitir que ele acesse o bucket do S3 que você especifica como destino.

Anexe uma política de permissões separada à função do pipeline que fornece acesso ao DLQ. No mínimo, a função deve receber a S3:PutObject ação no recurso do bucket:

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "WriteToS3DLQ",
      "Effect": "Allow",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::my-dlq-bucket/*"
    }
  ]
}

Perfil de ingestão

A função de ingestão é uma função do IAM que permite que serviços externos interajam com segurança e enviem dados para um OpenSearch pipeline de ingestão. Para fontes baseadas em push, como o Amazon Security Lake, essa função deve conceder permissões para enviar dados para o pipeline, inclusiveosis:Ingest. Para fontes baseadas em pull, como o Amazon S3, a função deve OpenSearch permitir que a Ingestion a assuma e acesse os dados com as permissões necessárias.

Função de ingestão para fontes baseadas em push

Para fontes baseadas em push, os dados são enviados ou enviados para o pipeline de ingestão de outro serviço, como o Amazon Security Lake ou o Amazon DynamoDB. Nesse cenário, a função de ingestão precisa, no mínimo, da osis:Ingest permissão para interagir com o pipeline.

A política de acesso do IAM a seguir demonstra como conceder essa permissão à função de ingestão:

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "osis:Ingest"
      ],
      "Resource": "arn:aws:osis:region:account-id:pipeline/pipeline-name/*"
    }
  ]
}

Função de ingestão para fontes baseadas em pull

Para fontes baseadas em pull, o pipeline de OpenSearch ingestão extrai ou busca ativamente dados de uma fonte externa, como o Amazon S3. Nesse caso, o pipeline deve assumir uma função de pipeline do IAM que conceda as permissões necessárias para acessar a fonte de dados. Nesses cenários, a função de ingestão é sinônimo da função de pipeline.

A função deve incluir uma relação de confiança que permita que a OpenSearch Inestion a assuma e permissões específicas para a fonte de dados. Para obter mais informações, consulte Permissões para ler de uma fonte.

Ingestão entre contas

Talvez seja necessário ingerir dados em um pipeline de outro Conta da AWS, como uma conta de aplicativo. Para configurar a ingestão entre contas, defina uma perfil de ingestão na mesma conta do pipeline e estabeleça uma relação de confiança entre o perfil de ingestão e a conta do aplicativo:

JSON
{
  "Version": "2012-10-17",
  "Statement": [{
     "Effect": "Allow",
     "Principal": {
       "AWS": "arn:aws:iam::external-account-id:root"
      },
     "Action": "sts:AssumeRole"
  }]
}

Em seguida, configure seu aplicativo para assumir o perfil de ingestão. A conta do aplicativo deve conceder AssumeRolepermissões à função do aplicativo para a função de ingestão na conta do pipeline.

Para obter etapas detalhadas e exemplos de políticas do IAM, consulte Concessão de acesso de ingestão entre contas.