Acesse o Amazon OpenSearch Serverless usando um endpoint de interface ()AWS PrivateLink - OpenSearch Serviço Amazon
Resolução de DNS dos endpoints de coletaVPCs e políticas de acesso à redeVPCs e políticas de endpointConsideraçõesPermissões obrigatóriasComo criar um endpoint de interfaceConfiguração de VPC compartilhada para Amazon Serverless OpenSearch

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Acesse o Amazon OpenSearch Serverless usando um endpoint de interface ()AWS PrivateLink

Você pode usar AWS PrivateLink para criar uma conexão privada entre sua VPC e o Amazon OpenSearch Serverless. Você pode acessar o OpenSearch Serverless como se estivesse em sua VPC, sem o uso de um gateway de internet, dispositivo NAT, conexão VPN ou conexão. AWS Direct Connect As instâncias em sua VPC não precisam de endereços IP públicos para acessar OpenSearch o Serverless. Para obter mais informações sobre o acesso à rede VPC, consulte Padrões de conectividade de rede para Amazon OpenSearch Serverless.

Você estabelece essa conexão privada criando um endpoint de interface, alimentado pelo AWS PrivateLink. Criamos uma interface de rede de endpoint em cada sub-rede que você habilitar para o endpoint de interface. Essas são interfaces de rede gerenciadas pelo solicitante que servem como ponto de entrada para o tráfego destinado ao Serverless. OpenSearch

Para obter mais informações, consulte Acessar os Serviços da AWS pelo AWS PrivateLink no Guia do AWS PrivateLink .

Resolução de DNS dos endpoints de coleta

Quando você cria um VPC endpoint, o serviço cria uma nova zona hospedada Amazon Route 53 privada e a anexa à VPC. Essa zona hospedada privada consiste em um registro para resolver o registro DNS curinga para coleções OpenSearch sem servidor (*.aoss.us-east-1.amazonaws.com) para os endereços de interface usados para o endpoint. Você só precisa de um OpenSearch VPC endpoint sem servidor em uma VPC para acessar todas e quaisquer coleções e painéis em cada uma. Região da AWS Cada VPC com um endpoint para OpenSearch Serverless tem sua própria zona hospedada privada anexada.

OpenSearch O Serverless também cria um registro DNS curinga público do Route 53 para todas as coleções na região. O nome DNS é resolvido para os endereços IP OpenSearch públicos sem servidor. Clientes VPCs que não têm um endpoint OpenSearch VPC sem servidor ou clientes em redes públicas podem usar o resolvedor público do Route 53 e acessar as coleções e os painéis com esses endereços IP. O tipo de endereço IP (IPv4 IPv6, ou Dualstack) do VPC endpoint é determinado com base nas sub-redes fornecidas quando você cria um endpoint de interface para Serverless. OpenSearch

nota

OpenSearch O Serverless cria uma zona hospedada privada `<region>.opensearch.amazonaws.com (`) adicional do Amazon Route 53 para OpenSearch uma resolução de domínio de serviço. Você pode atualizar seu IPv4 VPC endpoint existente para o Dualstack usando o comando no. update-vpc-endpoint AWS CLI

O endereço do resolvedor DNS de uma determinada VPC é o segundo endereço IP do CIDR da VPC. Qualquer cliente na VPC precisa usar esse resolvedor para obter o endereço do endpoint da VPC para qualquer coleção. O resolvedor usa uma zona hospedada privada criada pelo OpenSearch Serverless. É suficiente usar esse resolvedor para todas as coleções em qualquer conta. Também é possível usar o resolvedor da VPC para alguns endpoints de coleção e o resolvedor público para outros, embora isso normalmente não seja necessário.

VPCs e políticas de acesso à rede

Para conceder permissão de rede OpenSearch APIs e painéis para suas coleções, você pode usar políticas de acesso à rede OpenSearch sem servidor. Você pode controlar esse acesso à rede a partir dos seus endpoints da VPC ou de Internet pública. Como sua política de rede controla apenas as permissões de tráfego, você também deve configurar uma política de acesso a dados que especifique a permissão para operar com os dados em uma coleção e seus índices. Pense em um endpoint OpenSearch VPC sem servidor como um ponto de acesso ao serviço, uma política de acesso à rede como o ponto de acesso em nível de rede para coleções e painéis e uma política de acesso a dados como o ponto de acesso para controle de acesso refinado para qualquer operação com dados na coleção.

Como você pode especificar vários VPC endpoints IDs em uma política de rede, recomendamos criar um VPC endpoint para cada VPC que precisa acessar uma coleção. Eles VPCs podem pertencer a AWS contas diferentes da conta que possui a política de rede e coleção OpenSearch Serverless. Não recomendamos que você crie uma solução de VPC-to-VPC emparelhamento ou outra solução de proxy entre duas contas para que a VPC de uma conta possa usar o VPC endpoint de outra conta. Isso é menos seguro e econômico do que cada VPC ter seu próprio endpoint. A primeira VPC não será facilmente visível para o administrador da outra VPC, que configurou o acesso ao endpoint da VPC na política de rede.

VPCs e políticas de endpoint

O Amazon OpenSearch Serverless oferece suporte a políticas de endpoint para. VPCs Uma política de endpoint é uma política baseada em recursos do IAM que você anexa a um VPC endpoint para controlar quais AWS entidades principais podem usar o endpoint para acessar seu serviço. AWS Para obter mais informações, consulte Controlar o acesso a endpoints de VPC usando políticas de endpoint.

Para usar uma política de endpoint, primeiro você deve criar um endpoint de interface. Você pode criar um endpoint de interface usando o console OpenSearch Serverless ou a API Serverless. OpenSearch Depois de criar seu endpoint de interface, você precisará adicionar a política de endpoint a esse endpoint. Para obter mais informações, consulte Acesse o Amazon OpenSearch Serverless usando um endpoint de interface ().AWS PrivateLink

nota

Você não pode definir uma política de endpoint diretamente no console OpenSearch de serviço.

Uma política de endpoint não substitui políticas baseadas em recursos, políticas de rede nem políticas de acesso a dados que você possa ter configurado. Para obter informações sobre como atualizar sua política de endpoint de VPC, consulte Controlar o acesso a endpoints da VPC usando políticas de endpoint.

Por padrão, uma política de endpoint concede acesso total ao seu endpoint de VPC. 

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

Embora a política padrão de endpoint de VPC conceda acesso total ao endpoint, você pode configurar uma política de endpoint de VPC para permitir acesso a perfis e usuários específicos. Para fazer isso, veja o exemplo a seguir:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "123456789012",
                    "987654321098"
                ]
            },
            "Action": "*",
            "Resource": "*"
        }
    ]
}

Você pode especificar uma coleção OpenSearch Serverless para ser incluída como um elemento condicional na sua política de VPC endpoint. Para fazer isso, veja o exemplo a seguir:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aoss:collection": [
                        "coll-abc"
                    ]
                }
            }
        }
    ]
}

O suporte para aoss:CollectionId é suportado.

Condition": {
         "StringEquals": {
               "aoss:CollectionId": "collection-id"
          }
}

Você pode usar identidades SAML em sua política de endpoint de VPC para determinar o acesso ao endpoint de VPC. Você deve usar um caractere curinga (*) na seção principal da sua política de endpoint de VPC. Para fazer isso, veja o exemplo a seguir:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:SamlGroups": [
                        "saml/123456789012/idp123/group/football",
                        "saml/123456789012/idp123/group/soccer",
                        "saml/123456789012/idp123/group/cricket"
                    ]
                }
            }
        }
    ]
}

Além disso, você pode configurar sua política de endpoint para incluir uma política de entidade principal de SAML específica. Para isso, veja o seguinte:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aoss:SamlPrincipal": [
                        "saml/123456789012/idp123/user/user1234"]
                    }
                }
            }
        ]
    }

Para obter mais informações sobre o uso da autenticação SAML com o Amazon OpenSearch Serverless, consulte Autenticação SAML para Amazon Serverless. OpenSearch

Você também pode incluir usuários do IAM e do SAML na mesma política de endpoint de VPC. Para fazer isso, veja o exemplo a seguir:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aoss:SamlGroups": [
                        "saml/123456789012/idp123/group/football",
                        "saml/123456789012/idp123/group/soccer",
                        "saml/123456789012/idp123/group/cricket"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            },
            "Action": "*",
            "Resource": "*"
        }
    ]
}

Você também pode acessar uma coleção Amazon OpenSearch Serverless da Amazon EC2 por meio de endpoints VPC de interface. Para obter mais informações, consulte Acesse uma coleção OpenSearch sem servidor da Amazon EC2 (via interface VPC endpoints).

Considerações

Antes de configurar um endpoint de interface para OpenSearch Serverless, considere o seguinte:

  • OpenSearch O Serverless oferece suporte para fazer chamadas para todas as operações de OpenSearch API suportadas (não operações de API de configuração) por meio do endpoint da interface.

  • Depois de criar um endpoint de interface para OpenSearch Serverless, você ainda precisa incluí-lo nas políticas de acesso à rede para que ele acesse coleções sem servidor.

  • Por padrão, o acesso total ao OpenSearch Serverless é permitido por meio do endpoint da interface. Você pode associar um grupo de segurança às interfaces de rede do endpoint para controlar o tráfego para o OpenSearch Serverless por meio do endpoint da interface.

  • Um único Conta da AWS pode ter no máximo 50 endpoints OpenSearch VPC sem servidor.

  • Se você habilitar o acesso público à API ou aos painéis da sua coleção em uma política de rede, sua coleção pode ser acessada por qualquer VPC e pela internet pública.

  • Se você estiver no local e fora da VPC, não poderá usar um resolvedor de DNS diretamente para a resolução do endpoint da VPC OpenSearch sem servidor. Se você precisar de acesso à VPN, a VPC precisará de um resolvedor de proxy DNS para ser usado por clientes externos. O Route 53 fornece uma opção de endpoint de entrada que você pode usar para resolver consultas ao DNS à VPC, originadas na rede no local (on-premises) ou em outra VPC.

  • A zona hospedada privada que o OpenSearch Serverless cria e anexa à VPC é gerenciada pelo serviço, mas aparece nos seus Amazon Route 53 recursos e é cobrada na sua conta.

  • Para outras considerações, consulte Considerações no Guia do AWS PrivateLink .

Permissões obrigatórias

O acesso à VPC para OpenSearch Serverless usa as seguintes permissões AWS Identity and Access Management (IAM). É possível especificar as condições do IAM para restringir os usuários a coleções específicas.

  • aoss:CreateVpcEndpoint: criar um endpoint da VPC.

  • aoss:ListVpcEndpoints: listar todos os endpoints da VPC.

  • aoss:BatchGetVpcEndpoint: veja detalhes sobre um subconjunto de endpoints da VPC.

  • aoss:UpdateVpcEndpoint: modificar um endpoint da VPC.

  • aoss:DeleteVpcEndpoint: excluir um endpoint da VPC.

Além disso, você precisa das seguintes permissões da Amazon EC2 e do Route 53 para criar um VPC endpoint.

  • ec2:CreateTags

  • ec2:CreateVpcEndpoint

  • ec2:DeleteVpcEndPoints

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeVpcs

  • ec2:ModifyVpcEndPoint

  • route53:AssociateVPCWithHostedZone

  • route53:ChangeResourceRecordSets

  • route53:CreateHostedZone

  • route53:DeleteHostedZone

  • route53:GetChange

  • route53:GetHostedZone

  • route53:ListHostedZonesByName

  • route53:ListHostedZonesByVPC

  • route53:ListResourceRecordSets

Crie um endpoint de interface para Serverless OpenSearch

Você pode criar um endpoint de interface para OpenSearch Serverless usando o console ou a OpenSearch API Serverless.

Para criar um endpoint de interface para uma coleção sem OpenSearch servidor

  1. Abra o console do Amazon OpenSearch Service em https://console.aws.amazon.com/aos/casa.

  2. Expanda Sem Servidor no painel de navegação à esquerda e escolha Endpoints da VPC.

  3. Escolha Criar endpoint da VPC.

  4. Forneça um nome para o endpoint.

  5. Para VPC, selecione a VPC a partir da qual você acessará o Serverless. OpenSearch

  6. Em Sub-redes, selecione uma sub-rede a partir da qual você OpenSearch acessará o Serverless.

    • O endereço IP e o tipo DNS do endpoint são baseados no tipo de sub-rede

      • Dualstack: se todas as sub-redes tiverem ambos os intervalos de endereços IPv4 IPv6

      • IPv6: Se todas as sub-redes forem IPv6 somente sub-redes

      • IPv4: Se todas as sub-redes tiverem intervalos de endereços IPv4

  7. Em Grupos de segurança, selecione os grupos de segurança para associar às interfaces de rede do endpoint. Essa é uma etapa crítica na qual você limita as portas, os protocolos e as origens para o tráfego de entrada que você está autorizando para o seu endpoint. Certifique-se de que as regras do grupo de segurança permitam que os recursos que usarão o VPC endpoint se comuniquem com o OpenSearch Serverless se comuniquem com a interface de rede do endpoint.

  8. Escolha Criar endpoint.

Para criar um VPC endpoint usando a API OpenSearch Serverless, use o comando. CreateVpcEndpoint

nota

Depois de criar um endpoint, anote seu ID (por exemplo, vpce-abc123def4EXAMPLE. Para fornecer ao endpoint acesso às suas coleções, será necessário incluir esse ID em uma ou mais políticas de acesso à rede.

Depois de criar um endpoint da interface, você deverá fornecer a ele acesso às coleções por meio de políticas de acesso à rede. Para obter mais informações, consulte Acesso à rede para Amazon OpenSearch Serverless.

Configuração de VPC compartilhada para Amazon Serverless OpenSearch

Você pode usar a Amazon Virtual Private Cloud (VPC) para compartilhar sub-redes VPC com outras pessoas Contas da AWS em sua organização, bem como compartilhar a infraestrutura de rede, como uma VPN, entre vários recursos. Contas da AWS

Atualmente, o Amazon OpenSearch Serverless não oferece suporte à criação de uma AWS PrivateLink conexão em uma VPC compartilhada, a menos que você seja proprietário dessa VPC. AWS PrivateLink também não suporta o compartilhamento de conexões entre Contas da AWS.

No entanto, com base na arquitetura flexível e modular do OpenSearch Serverless, você ainda pode configurar uma VPC compartilhada. Isso ocorre porque a infraestrutura de rede OpenSearch sem servidor é separada da infraestrutura de coleção individual (OpenSearch Serviço). Portanto, você pode criar um AWS PrivateLink VPCe endpoint para uma conta onde está localizada uma VPC e, em seguida, usar VPCe uma ID na política de rede de outras contas para restringir o tráfego proveniente somente dessa VPC compartilhada.

Os procedimentos a seguir se referem a uma conta de proprietário e uma conta de consumidor.

Uma conta de proprietário atua como uma conta de rede comum, na qual você configura uma VPC e a compartilha com outras contas. As contas de consumidor são aquelas contas que criam e mantêm suas coleções OpenSearch sem servidor na VPC compartilhadas com elas pela conta do proprietário.

Pré-requisitos

Certifique-se de que os seguintes requisitos sejam atendidos antes de configurar a VPC compartilhada:

  • A conta do proprietário pretendido já deve ter configurado uma VPC, sub-redes, tabela de rotas e outros recursos necessários na Amazon Virtual Private Cloud. Para obter mais informações, consulte o Manual do usuário da Amazon VPC.

  • A conta do proprietário e as contas do consumidor pretendidas devem pertencer à mesma organização em AWS Organizations. Para obter mais informações, consulte o Guia do usuário do AWS Organizations.

Para configurar uma VPC compartilhada em uma conta de account/common rede do proprietário.

  1. Faça login no console do Amazon OpenSearch Service em https://console.aws.amazon.com/aos/casa.

  2. Siga as etapas em Crie um endpoint de interface para Serverless OpenSearch . Ao fazer isso, faça as seguintes seleções:

    • Selecione uma VPC e sub-redes que sejam compartilhadas com as contas de consumidores em sua organização.

  3. Depois de criar o endpoint, anote a VPCe ID gerada e forneça-a aos administradores que realizarão a tarefa de configuração nas contas dos consumidores.

    VPCe IDs estão no formatovpce-abc123def4EXAMPLE.

Para configurar uma VPC compartilhada em uma conta de consumidor

  1. Faça login no console do Amazon OpenSearch Service em https://console.aws.amazon.com/aos/casa.

  2. Use as informações Gerenciando coleções Amazon OpenSearch Serverless para criar uma coleção, se você ainda não tiver uma.

  3. Use as informações contidas Criação de políticas de rede (console) para criar uma política de rede. Ao fazer isso, faça as seguintes seleções.

    nota

    Você também pode atualizar uma política de rede existente para essa finalidade.

    1. Em Tipo de acesso, selecione VPC (recomendado).

    2. Para acessar os endpoints VPC, escolha a VPCe ID fornecida pela conta do proprietário, no formato. vpce-abc123def4EXAMPLE

    3. Na área Tipo de recurso, faça o seguinte:

      • Selecione a caixa Habilitar acesso ao OpenSearch endpoint e, em seguida, selecione o nome da coleção ou o padrão de coleção a ser usado para habilitar o acesso a partir dessa VPC compartilhada.

      • Selecione a caixa Habilitar acesso ao OpenSearch painel e, em seguida, selecione o nome da coleção ou o padrão de coleção a ser usado para habilitar o acesso a partir dessa VPC compartilhada.

  4. Para uma nova política, escolha Criar. Para uma política existente, escolha Atualizar.