Amazon OpenSearch 擷取和介面端點 API (AWS PrivateLink) - Amazon OpenSearch Service
考量事項可用性建立介面 VPC 端點建立 VPC 端點政策

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon OpenSearch 擷取和介面端點 API (AWS PrivateLink)

您可以建立介面 VPC 端點,在 VPC 和 OpenSearch Ingestion API 端點之間建立私有連線。界面端點是採用 AWS PrivateLink 技術。

AWS PrivateLink 可讓您在沒有網際網路閘道、NAT 裝置、VPN 連接或 Direct Connect 連線的情況下,私下存取 OpenSearch Ingestion API 操作。VPC 中的資源不需要公有 IP 地址即可與 OpenSearch Ingestion API 端點通訊,即可建立、修改或刪除管道。VPC 與 OpenSearch Ingestion 之間的流量不會離開 Amazon 網路。

注意

本主題涵蓋用於存取 OpenSearch Ingestion API 的 VPC 端點,可讓您從 VPC 內管理管道 (建立、更新、刪除)。這與為管道本身設定 VPC 存取不同,這會控制資料如何從 VPC 內的來源擷取到管道。如需設定管道 VPC 存取的詳細資訊,請參閱 設定 Amazon OpenSearch Ingestion 管道的 VPC 存取

每個界面端點都是由您子網路中的一或多個彈性網路界面表示。如需彈性網路界面的詳細資訊,請參閱 Amazon EC2 使用者指南中的彈性網路界面

如需 VPC 端點的詳細資訊,請參閱《Amazon VPC 使用者指南》中的界面 VPC 端點 (AWS PrivateLink)。如需 OpenSearch Ingestion API 操作的詳細資訊,請參閱 OpenSearch Ingestion API 參考

VPC 端點的考量事項

為 OpenSearch Ingestion API 端點設定介面 VPC 端點之前,請務必檢閱《Amazon VPC 使用者指南》中的介面端點屬性和限制

所有與管理 OpenSearch Ingestion 資源相關的 OpenSearch Ingestion API 操作都可以從您的 VPC 使用 AWS PrivateLink。

OpenSearch Ingestion API 端點支援 VPC 端點政策。根據預設,允許透過端點完整存取 OpenSearch Ingestion API 操作。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的使用 VPC 端點控制對服務的存取

可用性

OpenSearch Ingestion API 目前在所有 OpenSearch Ingestion 區域中支援 VPC 端點。

目前不支援 FIPS 端點。

為 OpenSearch Ingestion API 建立介面 VPC 端點

您可以使用 Amazon VPC 主控台或 AWS Command Line Interface () 為 OpenSearch Ingestion API 建立 VPC 端點AWS CLI。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的建立介面端點

使用服務名稱 為 OpenSearch Ingestion API 建立 VPC 端點com.amazonaws.region.osis

如果您為端點啟用私有 DNS,則可以使用 AWS 區域的預設 DNS 名稱向 OpenSearch Ingestion 提出 API 請求,例如 osis.us-east-1.amazonaws.com

如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的透過介面端點存取服務

為 OpenSearch Ingestion API 建立 VPC 端點政策

您可以將端點政策連接至 VPC 端點,以控制對 OpenSearch Ingestion API 的存取。此政策會指定下列資訊:

  • 可執行動作的主體。

  • 可執行的動作。

  • 可供執行動作的資源。

如需詳細資訊,請參閱 Amazon VPC 使用者指南中的使用 VPC 端點控制對服務的存取

範例:OpenSearch Ingestion API 動作的 VPC 端點政策

以下是 OpenSearch Ingestion API 的端點政策範例。連接到端點時,此政策會授予所有資源上所有主體對所列 OpenSearch Ingestion API 動作的存取權。

{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "osis:CreatePipeline",
            "osis:UpdatePipeline",
            "osis:DeletePipeline"
         ],
         "Resource":"*"
      }
   ]
}
範例:拒絕來自指定 AWS 帳戶的所有存取的 VPC 端點政策

下列 VPC 端點政策拒絕 AWS 使用端點對 資源123456789012的所有存取。此政策允許來自其他帳戶的所有動作。

{
  "Statement": [
    {
      "Action": "*",
      "Effect": "Allow",
      "Resource": "*",
      "Principal": "*"
    },
    {
      "Action": "*",
      "Effect": "Deny",
      "Resource": "*",
      "Principal": { "AWS": [ "123456789012" ] }
     }
   ]
}