Métodos de criação de endpoints VPC Resolução de DNS dos endpoints de coleta Classic VPCs e políticas de acesso à rede Políticas de VPCs e endpoint Considerações Permissões obrigatórias Crie um endpoint de interface padrão () NextGen Crie um endpoint de OpenSearch Serverless-managed interface (Classic)Configuração de VPC compartilhada para Amazon Serverless OpenSearch

Acesso ao plano de dados por meio de AWS PrivateLink

O Amazon OpenSearch Serverless oferece suporte a dois tipos de AWS PrivateLink conexões para operações de plano de controle e plano de dados. As operações do plano de controle incluem a criação e exclusão de coleções e o gerenciamento de políticas de acesso. As operações do plano de dados servem para indexar e consultar dados em uma coleção. Esta página aborda os endpoints VPC do plano de dados. Para obter informações sobre os AWS PrivateLink pontos finais do plano de controle, consulteControle o acesso ao avião por meio de AWS PrivateLink.

Você pode usar AWS PrivateLink para criar uma conexão privada entre sua VPC e o Amazon OpenSearch Serverless. Você pode acessar o OpenSearch Serverless como se estivesse em sua VPC, sem o uso de um gateway de internet, dispositivo NAT, conexão VPN ou conexão. Direct Connect As instâncias em sua VPC não precisam de endereços IP públicos para acessar OpenSearch o Serverless. Para obter mais informações sobre o acesso à rede VPC, consulte Padrões de conectividade de rede para Amazon OpenSearch Serverless.

Você estabelece essa conexão privada criando um endpoint de interface, alimentado pelo AWS PrivateLink. Criamos uma interface de rede de endpoint em cada sub-rede que você habilitar para o endpoint de interface. Essas são interfaces de rede gerenciadas pelo solicitante que servem como ponto de entrada para o tráfego destinado ao Serverless. OpenSearch

Para saber mais, consulte Acessar os Serviços da AWS pelo AWS PrivateLink no Guia do AWS PrivateLink .

Tópicos

Métodos de criação de endpoints VPC
Resolução de DNS dos endpoints de coleta Classic
VPCs e políticas de acesso à rede
Políticas de VPCs e endpoint
Considerações
Permissões obrigatórias
Crie um padrão AWS PrivateLink endpoint de interface (sem OpenSearch servidor NextGen)
Crie um endpoint de OpenSearch Serverless-managed interface (OpenSearch Serverless Classic)
Configuração de VPC compartilhada para Amazon Serverless OpenSearch

Métodos de criação de endpoints VPC

O Amazon OpenSearch Serverless oferece suporte a duas maneiras de criar um endpoint VPC de plano de dados, dependendo do tipo de endpoint de coleta que você deseja acessar. Para obter mais informações sobre formatos de endpoint de coleta, consulteEndpoints de coleta para Amazon Serverless OpenSearch.

Endpoint AWS PrivateLink VPC padrão (NextGen) — Use esse método para acessar os endpoints de coleção OpenSearch Serverless em on.aws (formatos por NextGen coleção e por conta). Você cria o VPC endpoint por meio do console Amazon VPC ou da CreateVpcEndpoint API do Amazon EC2, da mesma forma que cria uma interface VPC endpoint para qualquer outro. AWS service (Serviço da AWS) Para criar esse tipo de endpoint, consulteCrie um padrão AWS PrivateLink endpoint de interface (sem OpenSearch servidor NextGen).
OpenSearch Serverless-managed VPC endpoint (Classic) — Use esse método para acessar os endpoints OpenSearch Serverless Classic por coleção em. aoss.amazonaws.com Você cria o VPC endpoint por meio do console Serverless, da OpenSearch API Serverless ou do OpenSearch CreateVpcEndpoint Serverless. OpenSearch AWS CLI O serviço cria a interface VPC endpoint e uma zona hospedada privada do Amazon Route 53 em sua conta em seu nome. Para criar esse tipo de endpoint, consulteCrie um endpoint de OpenSearch Serverless-managed interface (OpenSearch Serverless Classic).

Resolução de DNS dos endpoints de coleta Classic

Quando você cria um endpoint VPC de plano de dados por meio do console OpenSearch Serverless, o serviço cria uma nova zona hospedada Amazon Route 53 privada e a anexa à VPC. Essa zona hospedada privada consiste em um registro para resolver o registro DNS curinga para coleções OpenSearch sem servidor (*.us-east-1.aoss.amazonaws.com) para os endereços de interface usados para o endpoint. Você só precisa de um OpenSearch VPC endpoint sem servidor em uma VPC para acessar todas e quaisquer coleções e painéis em cada uma. Região da AWS Cada VPC com um endpoint para OpenSearch Serverless tem sua própria zona hospedada privada anexada.

nota

Um único VPC endpoint não fornece redundância. Multi-AZ Se for necessária alta disponibilidade, considere a implantação de VPC endpoints em várias sub-redes em diferentes zonas de disponibilidade.

O endpoint da interface OpenSearch sem servidor também cria um registro DNS curinga público do Route 53 para todas as coleções na região. O nome DNS é resolvido para os endereços IP OpenSearch públicos sem servidor. Clientes em VPCs que não têm um endpoint VPC OpenSearch sem servidor ou clientes em redes públicas podem usar o resolvedor público do Route 53 e acessar as coleções e os painéis com esses endereços IP. O tipo de endereço IP (IPv4, IPv6 ou Dualstack) do VPC endpoint é determinado com base nas sub-redes fornecidas quando você cria um endpoint de interface para Serverless. OpenSearch

nota

OpenSearch O Serverless cria uma zona hospedada privada `<region>.opensearch.amazonaws.com (`) adicional do Amazon Route 53 para OpenSearch uma resolução de domínio de serviço. Você pode atualizar o endpoint IPv4 da VPC existente para pilha dupla usando o comando update-vpc-endpoint na AWS CLI.

O endereço do resolvedor DNS de uma determinada VPC é o segundo endereço IP do CIDR da VPC. Qualquer cliente na VPC precisa usar esse resolvedor para obter o endereço do endpoint da VPC para qualquer coleção. O resolvedor usa uma zona hospedada privada criada pelo OpenSearch Serverless. É suficiente usar esse resolvedor para todas as coleções em qualquer conta. Também é possível usar o resolvedor da VPC para alguns endpoints de coleção e o resolvedor público para outros, embora isso normalmente não seja necessário.

VPCs e políticas de acesso à rede

Para conceder permissão de rede às OpenSearch APIs e painéis de suas coleções, você pode usar políticas de acesso à rede OpenSearch sem servidor. Você pode controlar esse acesso à rede a partir dos seus endpoints da VPC ou de Internet pública. Como sua política de rede controla apenas as permissões de tráfego, você também deve configurar uma política de acesso a dados que especifique a permissão para operar com os dados em uma coleção e seus índices. Pense em um endpoint OpenSearch VPC sem servidor como um ponto de acesso ao serviço, uma política de acesso à rede como o ponto de acesso em nível de rede para coleções e painéis e uma política de acesso a dados como o ponto de acesso para controle de acesso refinado para qualquer operação com dados na coleção.

Como você pode especificar vários IDs de endpoint da VPC em uma política de rede, recomendamos criar um endpoint da VPC para cada VPC que precise acessar uma coleção. Essas VPCs podem pertencer a AWS contas diferentes da conta proprietária da coleção e da política de OpenSearch rede Serverless. Não recomendamos que você crie uma solução de VPC-to-VPC emparelhamento ou outra solução de proxy entre duas contas para que a VPC de uma conta possa usar o VPC endpoint de outra conta. Isso é menos seguro e econômico do que cada VPC ter seu próprio endpoint. A primeira VPC não será facilmente visível para o administrador da outra VPC, que configurou o acesso ao endpoint dessa VPC na política de rede.

Políticas de VPCs e endpoint

O Amazon OpenSearch Serverless oferece suporte a políticas de endpoint para VPCs. Uma política de endpoint é uma política baseada em recursos do IAM que você anexa a um VPC endpoint para controlar quais AWS entidades principais podem usar o endpoint para acessar seu serviço. AWS Para saber mais, consulte Controlar o acesso a endpoints de VPC usando políticas de endpoint.

Para usar uma política de endpoint, primeiro você deve criar um endpoint de interface. Você pode criar um endpoint de interface usando o console OpenSearch Serverless ou a API Serverless. OpenSearch Depois de criar seu endpoint de interface, você precisará adicionar a política de endpoint a esse endpoint. Para obter mais informações, consulte Crie um endpoint de OpenSearch Serverless-managed interface (OpenSearch Serverless Classic).

nota

Você não pode definir uma política de endpoint diretamente no console OpenSearch de serviço.

Uma política de endpoint não substitui políticas baseadas em recursos, políticas de rede nem políticas de acesso a dados que você possa ter configurado. Para obter informações sobre como atualizar sua política de endpoint de VPC, consulte Controlar o acesso a endpoints da VPC usando políticas de endpoint.

Por padrão, uma política de endpoint concede acesso total ao seu endpoint de VPC.


{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

Embora a política padrão de endpoint de VPC conceda acesso total ao endpoint, você pode configurar uma política de endpoint de VPC para permitir acesso a perfis e usuários específicos. Para fazer isso, veja o exemplo a seguir:

Você pode especificar uma coleção OpenSearch Serverless para ser incluída como um elemento condicional na sua política de VPC endpoint. Para fazer isso, veja o exemplo a seguir:

aoss:CollectionId é compatível.


Condition": {
         "StringEquals": {
               "aoss:CollectionId": "collection-id"
          }
}

Você pode usar identidades SAML em sua política de endpoint de VPC para determinar o acesso ao endpoint de VPC. Você deve usar um caractere curinga (*) na seção principal da sua política de endpoint de VPC. Para fazer isso, veja o exemplo a seguir:

Além disso, você pode configurar sua política de endpoint para incluir uma política de entidade principal de SAML específica. Para isso, veja o seguinte:

Para obter mais informações sobre o uso da autenticação SAML com o Amazon OpenSearch Serverless, consulte Autenticação SAML para Amazon Serverless. OpenSearch

Você também pode incluir usuários do IAM e do SAML na mesma política de endpoint de VPC. Para fazer isso, veja o exemplo a seguir:

Você também pode acessar uma coleção Amazon OpenSearch Serverless do Amazon EC2 por meio da interface VPC endpoints. Para obter mais informações, consulte Acesse uma coleção OpenSearch sem servidor do Amazon EC2 (via interface VPC endpoints).

Considerações

Antes de configurar um endpoint de interface para OpenSearch Serverless, considere o seguinte:

OpenSearch O Serverless oferece suporte para fazer chamadas para todas as operações de OpenSearch API suportadas (não operações de API de configuração) por meio do endpoint da interface.
Depois de criar um endpoint de interface para OpenSearch Serverless, você ainda precisa incluí-lo nas políticas de acesso à rede para que ele acesse coleções sem servidor.
Por padrão, o acesso total ao OpenSearch Serverless é permitido por meio do endpoint da interface. Você pode associar um grupo de segurança às interfaces de rede do endpoint para controlar o tráfego para o OpenSearch Serverless por meio do endpoint da interface.
Um único Conta da AWS pode ter no máximo 50 endpoints OpenSearch VPC sem servidor.
Se você habilitar o acesso público à API ou aos painéis da sua coleção em uma política de rede, sua coleção poderá ser acessada por qualquer VPC e pela Internet pública.
Se você estiver no local e fora da VPC, não poderá usar um resolvedor de DNS diretamente para a resolução do endpoint da VPC OpenSearch sem servidor. Se você precisar de acesso à VPN, a VPC precisará de um resolvedor de proxy DNS para ser usado por clientes externos. O Route 53 fornece uma opção de endpoint de entrada que você pode usar para resolver consultas ao DNS à VPC, originadas na rede no local (on-premises) ou em outra VPC.
A zona hospedada privada que o OpenSearch Serverless cria e anexa à VPC é gerenciada pelo serviço, mas aparece nos seus Amazon Route 53 recursos e é cobrada na sua conta.
Para outras considerações, consulte Considerações no Guia do AWS PrivateLink .

Permissões obrigatórias

O acesso à VPC para OpenSearch Serverless usa as seguintes permissões AWS Identity and Access Management (IAM). É possível especificar as condições do IAM para restringir os usuários a coleções específicas.

aoss:CreateVpcEndpoint: criar um endpoint da VPC.
aoss:ListVpcEndpoints: listar todos os endpoints da VPC.
aoss:BatchGetVpcEndpoint: veja detalhes sobre um subconjunto de endpoints da VPC.
aoss:UpdateVpcEndpoint: modificar um endpoint da VPC.
aoss:DeleteVpcEndpoint: excluir um endpoint da VPC.

Além disso, as seguintes permissões do Amazon EC2 e do Route 53 são necessárias para criar um endpoint de VPC.

ec2:CreateTags
ec2:CreateVpcEndpoint
ec2:DeleteVpcEndPoints
ec2:DescribeSecurityGroups
ec2:DescribeSubnets
ec2:DescribeVpcEndpoints
ec2:DescribeVpcs
ec2:ModifyVpcEndPoint
route53:AssociateVPCWithHostedZone
route53:ChangeResourceRecordSets
route53:CreateHostedZone
route53:DeleteHostedZone
route53:GetChange
route53:GetHostedZone
route53:ListHostedZonesByName
route53:ListHostedZonesByVPC
route53:ListResourceRecordSets

Crie um padrão AWS PrivateLink endpoint de interface (sem OpenSearch servidor NextGen)

Para endpoints de NextGen coleta OpenSearch Serverless onon.aws, você cria o VPC endpoint como um endpoint VPC de interface padrão, da mesma forma que você faz com qualquer outro. AWS service (Serviço da AWS) Você pode usar o console Amazon VPC ou a API do Amazon CreateVpcEndpoint EC2. Você não precisa usar a CreateVpcEndpoint API OpenSearch Serverless para esses endpoints.

O endpoint resolve todas as coleções na Região em *.aoss.region.on.aws (e nas regiões *.aoss-fips.region.on.aws em que o FIPS é suportado).

Use o seguinte nome de serviço ao criar o VPC endpoint:


com.amazonaws.region.aoss-data

Por exemplo, na us-east-1 Região, o nome do serviço écom.amazonaws.us-east-1.aoss-data.

Para criar um endpoint VPC de interface padrão para Serverless OpenSearch NextGen

Siga o procedimento em Access e AWS service (Serviço da AWS) usando uma interface VPC endpoint no Guia.AWS PrivateLink
Para o nome do serviço, escolhacom.amazonaws.region.aoss-data.
Selecione a VPC, as sub-redes e os grupos de segurança para o endpoint. Certifique-se de que seus grupos de segurança permitam tráfego HTTPS de entrada (porta 443) dos recursos que usarão o endpoint.
Ative o DNS privado para o endpoint para usar a resolução de DNS AWS PrivateLink gerenciada para nomes de host de coleções sem servidor. OpenSearch NextGen

Depois de criar o endpoint, você pode usar o vpce-abc123def4EXAMPLE ID nas políticas de acesso à rede OpenSearch sem servidor para conceder ao endpoint acesso às suas coleções, da mesma forma que você faz com os endpoints VPC. OpenSearch Serverless-managed

Crie um endpoint de OpenSearch Serverless-managed interface (OpenSearch Serverless Classic)

Para endpoints por coleção OpenSearch Serverless Classic ativadosaoss.amazonaws.com, você cria um endpoint de OpenSearch Serverless-managed interface usando o console Serverless ou a API OpenSearch Serverless. OpenSearch

Para criar um endpoint de interface para uma coleção OpenSearch Serverless Classic

Abra o console do Amazon OpenSearch Service em https://console.aws.amazon.com/aos/home.
Expanda Sem Servidor no painel de navegação à esquerda e escolha Endpoints da VPC.
Escolha Criar endpoint da VPC.
Forneça um nome para o endpoint.
Para VPC, selecione a VPC a partir da qual você acessará o Serverless. OpenSearch
Em Sub-redes, selecione uma sub-rede a partir da qual você OpenSearch acessará o Serverless.
- O endereço IP e o tipo de DNS do endpoint são baseados no tipo de sub-rede
  - Pilha dupla: se todas as sub-redes tiverem intervalos de endereços IPv4 e IPv6
  - IPv6: se todas as sub-redes forem sub-redes IPv6 apenas
  - IPv4: se todas as sub-redes tiverem intervalos de endereços IPv4
Em Grupos de segurança, selecione os grupos de segurança para associar às interfaces de rede do endpoint. Essa é uma etapa crítica em que você limita as portas, protocolos e fontes do tráfego de entrada que você está autorizando em seu endpoint. Certifique-se de que as regras do grupo de segurança permitam que os recursos que usarão o VPC endpoint se comuniquem com o OpenSearch Serverless se comuniquem com a interface de rede do endpoint.
Escolha Criar endpoint.

Para criar um VPC endpoint usando a API OpenSearch Serverless, use o comando. CreateVpcEndpoint

nota

Depois de criar um endpoint, anote seu ID (por exemplo, vpce-abc123def4EXAMPLE. Para fornecer ao endpoint acesso às suas coleções, será necessário incluir esse ID em uma ou mais políticas de acesso à rede.

Depois de criar um endpoint da interface, você deverá fornecer a ele acesso às coleções por meio de políticas de acesso à rede. Para obter mais informações, consulte Acesso à rede para Amazon OpenSearch Serverless.

Configuração de VPC compartilhada para Amazon Serverless OpenSearch

Você pode usar a Amazon Virtual Private Cloud (VPC) para compartilhar sub-redes VPC com outras pessoas Contas da AWS em sua organização, bem como compartilhar a infraestrutura de rede, como uma VPN, entre vários recursos. Contas da AWS

Atualmente, o Amazon OpenSearch Serverless não oferece suporte à criação de uma AWS PrivateLink conexão em uma VPC compartilhada, a menos que você seja proprietário dessa VPC. AWS PrivateLink também não suporta o compartilhamento de conexões entre Contas da AWS.

No entanto, com base na arquitetura flexível e modular do OpenSearch Serverless, você ainda pode configurar uma VPC compartilhada. Isso ocorre porque a infraestrutura de rede OpenSearch sem servidor é separada da infraestrutura de coleção individual (OpenSearch Serviço). Portanto, você pode criar um endpoint VPCe do AWS PrivateLink para uma contas em que uma VPC se encontra e, em seguida, usar um ID da VPCe na política de rede de outras contas para restringir o tráfego apenas ao que vem dessa VPC compartilhada.

Os procedimentos a seguir se referem a uma conta de proprietário e a uma conta de consumidor.

Uma conta de proprietário funciona como uma conta de rede comum, na qual você configura e compartilha uma VPC com outras contas. As contas de consumidor são aquelas contas que criam e mantêm suas coleções OpenSearch sem servidor na VPC compartilhadas com elas pela conta do proprietário.

Pré-requisitos

Certifique-se de que os seguintes requisitos sejam atendidos antes de configurar a VPC compartilhada:

A conta de proprietário em questão já deve ter configurada uma VPC, sub-redes, uma tabela de rotas e os outros recursos necessários na Amazon Virtual Private Cloud. Para saber mais, consulte o Manual do usuário da Amazon VPC.
A conta de proprietário e as contas de consumidor em questão devem pertencer à mesma organização do AWS Organizations. Para obter mais informações, consulte o Guia do usuário do AWS Organizations.

Para configurar uma VPC compartilhada em uma conta de account/common rede do proprietário.

Faça login no console do Amazon OpenSearch Service em https://console.aws.amazon.com/aos/home.
Siga as etapas em Crie um endpoint de OpenSearch Serverless-managed interface (OpenSearch Serverless Classic). Ao fazer isso, faça as seguintes seleções:
- Selecione uma VPC e as sub-redes que são compartilhadas com as contas de consumidores da sua organização.
Depois de criar o endpoint, anote o ID da VPCe que é gerado e o forneça aos administradores que farão a configuração nas contas dos consumidores.

Os IDs da VPCe são no formato vpce-abc123def4EXAMPLE.

Para configurar uma VPC compartilhada em uma conta de consumidor

Faça login no console do Amazon OpenSearch Service em https://console.aws.amazon.com/aos/home.
Use as informações em Gerenciando coleções Amazon OpenSearch Serverless para criar uma coleção, se ainda não tiver uma.
Use as informações em Criação de políticas de rede (console) para criar uma política de rede. Ao fazer isso, faça as seleções a seguir.

nota
Também é possível atualizar uma política de rede existente para essa finalidade.
1. Em Tipo de acesso, selecione VPC (recomendado).
2. Em Endpoints da VPC para acesso, escolha o ID da VPCe fornecido a você pela conta de proprietário, no formato vpce-abc123def4EXAMPLE.
3. Na área Tipo de recurso, faça o seguinte:
  - Selecione a caixa Habilitar acesso ao OpenSearch endpoint e, em seguida, selecione o nome da coleção ou o padrão de coleção a ser usado para habilitar o acesso a partir dessa VPC compartilhada.
  - Selecione a caixa Habilitar acesso ao OpenSearch painel e, em seguida, selecione o nome da coleção ou o padrão de coleção a ser usado para habilitar o acesso a partir dessa VPC compartilhada.
Para uma nova política, escolha Criar. Para uma política existente, escolha Atualizar.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Controle de acesso a dados

Endpoint VPC do plano de controle