View a markdown version of this page

Amazon OpenSearch Ingestion 和接口终端节点 API ()AWS PrivateLink - 亚马逊 OpenSearch 服务
注意事项可用性创建接口 VPC 终端节点创建 VPC 端点策略

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon OpenSearch Ingestion 和接口终端节点 API ()AWS PrivateLink

您可以通过创建接口 VPC 终端节点在您的 VPC 和 OpenSearch Ingestion API 终端节点之间建立私有连接。接口端点由 AWS PrivateLink 提供支持。

AWS PrivateLink 使您无需互联网网关、NAT 设备、VPN 连接或 Direct Connect 连接即可私密访问 In OpenSearch gestion API 操作。您的 VPC 中的资源不需要公有 IP 地址即可与 OpenSearch Ingestion API 终端节点通信以创建、修改或删除管道。您的 VPC 和 OpenSearch Ingestion 之间的流量不会离开亚马逊网络。

注意

本主题介绍用于访问 OpenSearch Ingestion API 的 VPC 终端节点,它允许您从 VPC 内部管理管道(创建、更新、删除)。这与为管道本身配置 VPC 访问权限不同,后者控制如何将数据从 VPC 内的来源提取到管道中。有关为管道配置 VPC 访问权限的信息,请参阅为 Amazon OpenSearch Ingestion 管道配置 VPC 访问权限

每个接口终端节点均由子网中的一个或多个弹性网络接口表示。有关弹性网络接口的更多信息,请参阅《Amazon EC2 用户指南》中的弹性网络接口

有关 VPC 端点的更多信息,请参阅《Amazon VPC 用户指南》中的接口 VPC 端点 (AWS PrivateLink)。有关 OpenSearch 摄取 API 操作的更多信息,请参阅 Ing OpenSearch estion API 参考

VPC 终端节点注意事项

在为接 OpenSearch 入 API 终端节点设置接口 VPC 终端节点之前,请务必查看 Amazon VPC 用户指南中的接口终端节点属性和限制

所有与管理 OpenSearch 摄取资源相关的 In OpenSearch gestion API 操作均可通过您的 VPC 使用。 AWS PrivateLink

接 OpenSearch 入 API 终端节点支持 VPC 终端节点策略。默认情况下,允许通过终端节点对 OpenSearch Ingestion API 操作进行完全访问。有关更多信息,请参阅《Amazon VPC User Guide》中的 Controlling access to services with VPC endpoints

可用性

OpenSearch Ingestion API 目前支持所有 OpenSearch 接收区域的 VPC 终端节点。

目前,不支持 FIPS 端点。

为 OpenSearch Ingestion API 创建接口 VPC 终端节点

您可以使用 Amazon VPC 控制台或 AWS Command Line Interface ()AWS CLI为 OpenSearch Ingestion API 创建 VPC 终端节点。有关更多信息,请参阅《Amazon VPC User Guide》中的 Creating an interface endpoint

使用服务名称为 OpenSearch Ingestion API 创建 VPC 终端节点。com.amazonaws.region.osis

例如,如果您为终端节点启用私有 DNS,则可以使用该 AWS 区域的默认 DNS 名称使用 VPC 终端节点向 OpenSearch Ingestion 发出 API 请求。osis.us-east-1.amazonaws.com

有关更多信息,请参阅《Amazon VPC 用户指南》中的通过接口端点访问服务

为接 OpenSearch 入 API 创建 VPC 终端节点策略

您可以将终端节点策略附加到控制接入 API 访问权限的 VPC 终端节点 OpenSearch 。该策略指定以下信息:

  • 可执行操作的主体。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 端点控制对服务的访问

示例:接 OpenSearch 入 API 操作的 VPC 终端节点策略

以下是 OpenSearch Ingestion API 的终端节点策略示例。当连接到终端节点时,此策略向所有委托人授予所有资源上列出的 OpenSearch 摄取 API 操作的访问权限。

{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "osis:CreatePipeline",
            "osis:UpdatePipeline",
            "osis:DeletePipeline"
         ],
         "Resource":"*"
      }
   ]
}
示例:拒绝来自指定 AWS 账户的所有访问的 VPC 终端节点策略

以下 VPC 终端节点策略拒绝 AWS 账户使用该终端节点访问123456789012所有资源。此策略允许来自其他账户的所有操作。

{
  "Statement": [
    {
      "Action": "*",
      "Effect": "Allow",
      "Resource": "*",
      "Principal": "*"
    },
    {
      "Action": "*",
      "Effect": "Deny",
      "Resource": "*",
      "Principal": { "AWS": [ "123456789012" ] }
     }
   ]
}