本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
透過 控制平面存取 AWS PrivateLink
Amazon OpenSearch Serverless 支援控制平面和資料平面操作的兩種 AWS PrivateLink 連線類型。控制平面操作包括建立和刪除集合,以及管理存取政策。資料平面操作用於編製索引和查詢集合中的資料。此頁面涵蓋控制平面 AWS PrivateLink 端點。如需資料平面 VPC 端點的資訊,請參閱 透過 的資料平面存取 AWS PrivateLink。
建立控制平面 AWS PrivateLink 端點
您可以將 OpenSearch Serverless 設定為使用介面 VPC 端點,以改善 VPC 的安全狀態。介面端點採用 AWS PrivateLink 技術。此技術可讓您在沒有網際網路閘道、NAT 裝置、VPN 連線或 AWS Direct Connect 連線的情況下,私下存取 OpenSearch Serverless APIs。
如需 AWS PrivateLink 和 VPC 端點的詳細資訊,請參閱《Amazon VPC 使用者指南》中的 VPC 端點。
考量事項
-
VPC 端點僅在相同區域內受支援。
-
透過 Amazon Route 53,VPC 端點僅支援 Amazon 提供的 DNS。
-
VPC 端點支援端點政策,以控制對 OpenSearch Serverless 集合、政策和 VpcEndpoints 的存取。
-
OpenSearch Serverless 僅支援界面端點。不支援閘道端點。
建立 VPC 端點
若要為 Amazon OpenSearch Serverless 建立控制平面 VPC 端點,請使用《Amazon VPC 開發人員指南》中的使用介面 VPC 端點程序存取 AWS 服務。建立下列端點:
-
com.amazonaws.region.aoss
使用主控台建立控制平面 VPC 端點
-
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中選擇 Endpoints (端點)。
-
選擇建立端點。
-
對於 Service category (服務類別),選擇 AWS 服務。
-
針對服務,選擇
com.amazonaws.。例如region.aosscom.amazonaws.us-east-1.aoss。 -
針對 VPC,選擇要在其中建立端點的 VPC。
-
對於 Subnets (子網路),請選擇欲建立端點的子網路 (可用區域)。
-
針對安全群組,選擇要與端點網路介面建立關聯的安全群組。確保允許 HTTPS (連接埠 443)。
-
針對政策,選擇完整存取以允許所有操作,或選擇自訂以連接自訂政策。
-
選擇建立端點。
建立端點政策
您可以將端點政策連接至 VPC 端點,以控制對 Amazon OpenSearch Serverless 的存取。此政策會指定下列資訊:
-
可執行動作的主體。
-
可執行的動作。
-
可供執行動作的資源。
如需詳細資訊,請參閱 Amazon VPC 使用者指南中的使用 VPC 端點控制對服務的存取。
範例 OpenSearch Serverless 的 VPC 端點政策
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": [ "aoss:ListCollections", "aoss:BatchGetCollection" ], "Resource": "*" } ] }
範例限制性政策僅允許列出操作
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "aoss:ListCollections", "Resource": "*" } ] }
