管理数据来源关联和虚拟私有云访问权限 - Amazon OpenSearch Service
将数据来源与 OpenSearch UI 应用程序相关联管理 VPC 中域的访问权限在 VPC 中配置对 OpenSearch 无服务器集合的访问权限

管理数据来源关联和虚拟私有云访问权限

使用本节中的步骤管理数据来源关联,并为虚拟私有云(VPC)配置所需的访问权限。

将数据来源与 OpenSearch UI 应用程序相关联

创建 OpenSearch UI 应用程序后,您可以使用控制台或 AWS CLI,将其与一个或多个数据来源相关联。之后,最终用户可从这些数据来源中检索数据,以进行搜索、使用控制面板等操作。

将数据来源与 OpenSearch UI 应用程序相关联(控制台)

使用控制台,将数据来源与 OpenSearch UI 应用程序相关联

  1. 登录到位于 https://console.aws.amazon.com/aos/home 的 Amazon OpenSearch Service 控制台。

  2. 选择 OpenSearch UI(控制面板),然后选择 OpenSearch UI 应用程序的名称。

  3. 关联的数据来源区域中,选择管理数据来源

  4. 从要与应用程序关联的 OpenSearch 域和集合中进行选择。

    提示

    如果您未能找到所需的数据来源,请联系管理员为您授予所需权限。有关更多信息,请参阅 创建使用 IAM Identity Centity 身份验证的应用程序的权限(可选)

  5. 选择下一步,然后选择保存

将数据来源与应用程序关联后,将启用程序详情页上的启动应用程序按钮。您可以选择启动应用程序打开欢迎使用 OpenSearch 页面,以在其中创建和管理工作区。

有关使用工作区的更多信息,请参阅 使用 Amazon OpenSearch Service 工作区

管理 VPC 中域的访问权限

如果 VPC 中的某个 OpenSearch 域与该应用程序相关联,则 VPC 管理员必须使用控制台或 AWS CLI 授权 OpenSearch UI 和 VPC 之间的访问权限。

管理 VPC 中域的访问权限(控制台)

要使用 AWS 管理控制台 配置对 VPC 域的访问权限,请执行以下操作:

  1. 登录到位于 https://console.aws.amazon.com/aos/home 的 Amazon OpenSearch Service 控制台。

  2. 在左侧导航窗格中,选择,然后选择 VPC 域的名称。

    –或者–

    选择创建域,然后配置域的详细信息。

  3. 选择 VPC 端点选项卡,然后选择授权主体

  4. 授权主体对话框中,选择授权其他 AWS 服务的主体,然后从列表中选择 OpenSearch 应用程序(控制面板)

  5. 选择授权

管理 VPC 中域的访问权限(AWS CLI)

使用 AWS CLI 授权 VPC 域

要使用 AWS CLI 授权 VPC 域,请运行以下命令:将占位符值替换为您自己的信息。

aws opensearch authorize-vpc-endpoint-access \
 --domain-name domain-name \
 --service application.opensearchservice.amazonaws.com \
 --region region-id
使用控制台撤销 VPC 域关联

当不再需要关联时,VPC 域所有者可荣国以下步骤撤销访问权限。

  1. 登录到位于 https://console.aws.amazon.com/aos/home 的 Amazon OpenSearch Service 控制台。

  2. 在左侧导航窗格中,选择,然后选择 VPC 域的名称。

  3. 选择 VPC 端点选项卡,然后选择 OpenSearch 应用程序(控制面板)行的按钮。

  4. 然后选择撤消访问权限

使用 AWS CLI 撤销 VPC 域关联

要撤销与 OpenSearch UI 应用程序的 VPC 域关联,请运行以下命令。将占位符值替换为您自己的信息。

aws opensearch revoke-vpc-endpoint-access \
    --domain-name domain-name \
    --service application.opensearchservice.amazonaws.com \
    --region region-id

在 VPC 中配置对 OpenSearch 无服务器集合的访问权限

如果 VPC 中的 Amazon OpenSearch 无服务器集合与该应用程序相关联,VPC 管理员可通过创建新的网络策略并将其附加到该集合中,以授权访问权限。

在 VPC 中配置对 OpenSearch 无服务器集合的访问权限(控制台)

使用控制台,在 VPC 中配置对 OpenSearch 无服务器集合的访问权限

  1. 登录到位于 https://console.aws.amazon.com/aos/home 的 Amazon OpenSearch Service 控制台。

  2. 在左侧导航栏中,选择网络策略,选择网络策略的名称,然后选择编辑

    –或者–

    选择创建网络策略,然后配置该策略的详细信息。

  3. 访问权限类型区域中,选择私有(推荐),然后选择 AWS 服务私有访问权限

  4. 在搜索字段中,选择服务,然后选择 application.opensearchservice.amazonaws.com

  5. 资源类型区域中,选中启用对 OpenSearch 端点的访问权限复选框。

  6. 对于搜索合集,或输入特定前缀词,在搜索字段中选择集合名称,然后输入或选择要与网络策略关联的集合名称。

  7. 针对新网络策略选择创建,或针对现有网络策略选择更新

在 VPC 中配置对 OpenSearch 无服务器集合的访问权限(AWS CLI)

使用 AWS CLI,在 VPC 中配置对 OpenSearch 无服务器集合的访问权限

  1. 创建 .json 文件,类似于以下内容。将占位符值替换为您自己的信息。

    {
    "Description" : "policy-description",
    "Rules": [{
       "ResourceType" : "collection",
        "Resource" : ["collection/collection_name"]
     }],
    "SourceServices" : [
          "application.opensearchservice.amazonaws.com"
      ],
      "AllowFromPublic" : false
}

  2. 为 VPC 中的集合创建或更新网络策略,使其与 OpenSearch UI 应用程序结合使用。

    Create a network policy

    运行以下命令。将占位符值替换为您自己的信息。

    aws opensearchserverless create-security-policy \
    --type network  \
    --region region \
    --endpoint-url endpoint-url \
    --name network-policy-name \
    --policy file:/path_to_network_policy_json_file

    命令返回类似于下文的信息:

    {
    "securityPolicyDetail": {
        "createdDate": ******,
        "lastModifiedDate": ******,
        "name": "network-policy-name",
        "policy": [
            {
                "SourceVPCEs": [],
                "AllowFromPublic": false,
                "Description": "",
                "Rules": [
                    {
                        "Resource": [
                            "collection/network-policy-name"
                        ],
                        "ResourceType": "collection"
                    }
                ],
                "SourceServices": [
                    "application.opensearchservice.amazonaws.com"
                ]
            }
        ],
        "policyVersion": "******",
        "type": "network"
    }
}
    Update a network policy

    运行以下命令。将占位符值替换为您自己的信息。

    aws opensearchserverless update-security-policy \
    --type network  \
    --region region \
    --endpoint-url endpoint-url \
    --name network-policy-name \
    --policy-version "policy_version_from_output_of_network_policy_creation" \
    --policy file:/path_to_network_policy_json_file

    命令返回类似于下文的信息:

    {
    "securityPolicyDetail": {
        "createdDate": ******,
        "lastModifiedDate": ******,
        "name": "network-policy-name",
        "policy": [
            {
                "SourceVPCEs": [],
                "AllowFromPublic": false,
                "Description": "",
                "Rules": [
                    {
                        "Resource": [
                            "collection/network-policy-name"
                        ],
                        "ResourceType": "collection"
                    }
                ],
                "SourceServices": [
                    "application.opensearchservice.amazonaws.com"
                ]
            }
        ],
        "policyVersion": "******",
        "type": "network"
    }
}