本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 從 VPC 端點管理對 OpenSearch UI 的存取
<a name="application-access-ui-from-vpc-endpoint"></a>

您可以使用 在 VPC 和 OpenSearch UI 之間建立私有連線 AWS PrivateLink。使用此連線，您可以存取 OpenSearch UI 應用程式，就像在相同的 VPC 中一樣。如此一來，您就不需要設定網際網路閘道、NAT 裝置、VPN 連線或 AWS Direct Connect 建立連線。VPC 中的執行個體不需要公有 IP 地址即可存取 OpenSearch UI。

若要建立此私有連線，您必須先建立採用 的介面端點 AWS PrivateLink。端點網路介面會自動在您為介面端點指定的每個子網路中建立。這些是請求者管理的網路介面，可做為目的地為 OpenSearch UI 應用程式之流量的進入點。

## 在 VPC 和 OpenSearch UI 之間建立私有連線
<a name="ui-access-from-vpc-endpoint-create"></a>

您可以使用 AWS 管理主控台 或 建立私有連線，以從 VPC 存取 OpenSearch UI AWS CLI。

### 在 VPC 和 OpenSearch UI 之間建立私有連線 （主控台）
<a name="ui-access-from-vpc-endpoint-create-console"></a>

**使用主控台在 VPC 和 OpenSearch UI 之間建立私有連線**

1. 登入 Amazon OpenSearch Service 主控台，網址為 https：//[https://console.aws.amazon.com/aos/home](https://console.aws.amazon.com/aos/home)。

1. 在左側導覽的**無伺服器**下，選擇 **VPC 端點**。

1. 選擇 **Create VPC endpoint** (建立 VPC 端點)。

1. 在**名稱**中，輸入端點的名稱。

1. 針對 **VPC**，選取您將從中存取 OpenSearch UI 應用程式的 VPC。

1. 針對**子網路**，選取您要從中存取 OpenSearch UI 應用程式的子網路。
**注意**  
端點的 IP 地址和 DNS 類型是以子網路類型為基礎：  
雙堆疊：如果所有子網路同時具有 IPv4 和 IPv6 地址範圍。
IPv6：如果所有子網路都是僅限 IPv6 的子網路。
IPv4：如果所有子網路都有 IPv4 地址範圍。

1. 針對**安全群組**，選取要與端點網路介面建立關聯的一或多個安全群組。
**注意**  
在此步驟中，您要限制您授權至端點之傳入流量的連接埠、通訊協定和來源。確保安全群組規則允許將使用 VPC 端點與 OpenSearch UI 應用程式通訊的資源，也可以與端點網路介面通訊。

1. 8. 選擇**建立端點**。

### 在 VPC 和 OpenSearch UI 之間建立私有連線 (AWS CLI)
<a name="ui-access-from-vpc-endpoint-create-cli"></a>

**使用 在 VPC 和 OpenSearch UI 之間建立私有連線 AWS CLI**  
執行下列命令。使用您的資訊取代*預留位置的值*。

```
aws opensearchserverless create-vpc-endpoint \
    --region region \
    --endpoint endpoint \
    --name vpc_endpoint_name \
    --vpc-id vpc_id \
    --subnet-ids subnet_ids
```

## 更新 VPC 端點政策以允許存取 OpenSearch UI 應用程式
<a name="ui-access-from-vpc-endpoint-allow"></a>

建立私有連線後，請更新 VPC 端點政策，以透過指定應用程式 ID 來允許存取 VPC 端點政策中的 OpenSearch UI 應用程式。

如需有關更新 VPC 端點政策的資訊，請參閱《 *AWS PrivateLink 指南*》中的[更新 VPC 端點政策](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#update-vpc-endpoint-policy)。

確定 VPC 端點政策包含下列陳述式。將*預留位置值*取代為您自己的資訊。

```
{
    "Statement": [{
        "Action": ["opensearch:*"],
        "Effect": "Allow",
        "Principal": "*",
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "opensearch:ApplicationId": ["opensearch-ui-application-id"]
            }
        }
    }]
}
```

## 在 VPC 端點政策中撤銷對 OpenSearch UI 的存取
<a name="ui-access-from-vpc-endpoint-deny"></a>

OpenSearch UI 需要 VPC 端點政策中的明確許可，以允許使用者從 VPC 存取應用程式。如果您不再希望使用者從 VPC 存取 OpenSearch UI，您可以在端點政策中移除 許可。之後，使用者在嘗試存取 OpenSearch UI 時遇到`403 forbidden`錯誤訊息。

如需有關更新 VPC 端點政策的資訊，請參閱《 *AWS PrivateLink 指南*》中的[更新 VPC 端點政策](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#update-vpc-endpoint-policy)。

以下是拒絕從 VPC 存取 UI 應用程式的 VPC 端點政策範例：

```
{
    "Statement": [{
        "Action": ["opensearch:*"],
        "Effect": "Allow",
        "Principal": "*",
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "opensearch:ApplicationId": [""]
            }
        }
    }]
}
```