Tutorial: Erste Schritte mit der Sicherheit in Amazon OpenSearch Serverless (Konsole)

Dieses Tutorial führt Sie durch die grundlegenden Schritte zum Erstellen und Verwalten von Sicherheitsrichtlinien mit der Amazon OpenSearch -Serverless-Konsole.

In diesem Tutorial führen Sie die folgenden Schritte aus:

1. Konfigurieren von Berechtigungen

2. Erstellen einer Verschlüsselungsrichtlinie

3. Eine Netzwerkrichtlinie erstellen

4. Konfigurieren einer Datenzugriffsrichtlinie

5. Erstellen einer Sammlung

6. Hochladen und Suchen von Daten

Das Tutorial führt Sie durch das Einrichten einer Sammlung mithilfe der AWS Management Console. Die gleichen Schritte mit der AWS CLI finden Sie unter Tutorial: Erste Schritte mit der Sicherheit in Amazon OpenSearch Serverless (CLI).

Schritt 1: Konfigurieren von Berechtigungen

Anmerkung

Sie können diesen Schritt überspringen, wenn Sie bereits eine umfassendere identitätsbasierte Richtlinie verwenden, z. B. Action":"aoss:*" oder Action":"*". In Produktionsumgebungen empfehlen wir jedoch, dem Prinzipal der geringsten Berechtigung zu folgen und nur die für die Ausführung einer Aufgabe erforderlichen Mindestberechtigungen zuzuweisen.

Um dieses Tutorial und OpenSearch Serverless im Allgemeinen verwenden zu können, müssen Sie über die richtigen IAM-Berechtigungen verfügen. Ihr Benutzer oder Ihre Rolle muss über eine angefügte identitätsbasierte Richtlinie mit den folgenden Mindestberechtigungen verfügen:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "aoss:ListCollections",
        "aoss:BatchGetCollection",
        "aoss:CreateCollection",
        "aoss:CreateSecurityPolicy",
        "aoss:GetSecurityPolicy",
        "aoss:ListSecurityPolicies",
        "aoss:CreateAccessPolicy",
        "aoss:GetAccessPolicy",
        "aoss:ListAccessPolicies"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Eine vollständige Liste der OpenSearch Serverless-Berechtigungen finden Sie unter Identity and Access Management für Amazon OpenSearch Serverless.

Schritt 2: Erstellen einer Verschlüsselungsrichtlinie

Verschlüsselungsrichtlinien geben den AWS KMS Schlüssel an, den OpenSearch Serverless zum Verschlüsseln der Sammlung verwendet. Sie können Sammlungen mit einem Von AWS verwalteter Schlüssel oder einem anderen Schlüssel verschlüsseln. Der Einfachheit halber verschlüsseln wir in diesem Tutorial unsere Sammlung mit einem Von AWS verwalteter Schlüssel.

So erstellen Sie eine Verschlüsselungsrichtlinie

1. Öffnen Sie die Amazon- OpenSearch Service-Konsole unter https://console.aws.amazon.com/aos/home.

2. Erweitern Sie im linken Navigationsbereich Serverless und wählen Sie Encryption policies (Verschlüsselungsrichtlinien).

3. Wählen Sie Create encryption policy (Verschlüsselungsrichtlinie erstellen).

4. Benennen Sie die Richtlinie books-policy (Bücher-Richtlinie). Geben Sie als Beschreibung Encryption policy for books collection (Verschlüsselungsrichtlinie für die Bücher-Sammlung) ein.

5. Geben Sie unter Resources (Ressourcen) den Namen books (Bücher) ein, den Sie Ihrer Sammlung geben werden. Wenn Sie die Richtlinie weiter fassen möchten, können Sie ein Sternchen (books*) einfügen, damit die Richtlinie für alle Sammlungen gilt, die mit dem Wort „Bücher“ beginnen.

6. Lassen Sie für Verschlüsselung die Option AWS Eigenen Schlüssel verwenden ausgewählt.

7. Wählen Sie Erstellen.

Schritt 3: Erstellen einer Netzwerkrichtlinie

Netzwerkrichtlinien bestimmen, ob Ihre Sammlung über das Internet von öffentlichen Netzwerken aus zugänglich ist oder ob über OpenSearch Serverless-verwaltete VPC-Endpunkte darauf zugegriffen werden muss. In diesem Tutorial konfigurieren wir den öffentlichen Zugriff.

So erstellen Sie eine Netzwerkrichtlinie

1. Wählen Sie im linken Navigationsbereich Network policies (Netzwerkrichtlinien) und dann Create network policy (Netzwerkrichtlinie erstellen) aus.

2. Benennen Sie die Richtlinie books-policy (Bücher-Richtlinie). Geben Sie als Beschreibung Network policy for books collection (Netzwerkrichtlinie für Bücher-Sammlung) ein.

3. Benennen Sie unter Rule 1 (Regel 1) die Regel Public access for books collection (Öffentlicher Zugriff für Bücher-Sammlung).

4. Der Einfachheit halber konfigurieren wir in diesem Tutorial den öffentlichen Zugriff für die Bücher-Sammlung. Wählen Sie für den Zugriffstyp Public (Öffentlich) aus.

5. Wir greifen von OpenSearch Dashboards aus auf die Sammlung zu. Dazu müssen Sie den Netzwerkzugriff für Dashboards und den OpenSearch Endpunkt konfigurieren, andernfalls funktioniert Dashboards nicht.

   Aktivieren Sie für den Ressourcentyp sowohl Zugriff auf OpenSearch Endpunkte als auch Zugriff auf OpenSearch Dashboards.

6. Geben Sie in beiden Eingabefeldern Collection Name = books (Sammlungsname = Bücher) ein. Diese Einstellung schränkt die Richtlinie so ein, dass sie nur für eine einzelne Sammlung gilt (books). Ihre Regel sollte folgendermaßen aussehen:

   

7. Wählen Sie Erstellen.

Schritt 4: Erstellen einer Datenzugriffsrichtlinie

Ihre Sammlungsdaten sind erst dann zugänglich, wenn Sie den Zugriff auf die Daten konfigurieren. Datenzugriffsrichtlinien sind von der identitätsbasierten IAM-Richtlinie, die Sie in Schritt 1 konfiguriert haben, getrennt. Diese ermöglichen den Benutzern den Zugriff auf die tatsächlichen Daten innerhalb einer Sammlung.

In diesem Tutorial gewähren wir einem einzelnen Benutzer die Berechtigungen, die zum Indizieren von Daten in der Bücher-Sammlung erforderlich sind.

So erstellen Sie eine Datenzugriffsrichtlinie

1. Wählen Sie im linken Navigationsbereich Data access policies (Datenzugriffsrichtlinien) und anschließend Create access policy (Zugriffsrichtlinie erstellen) aus.

2. Benennen Sie die Richtlinie books-policy (Bücher-Richtlinie). Geben Sie als Beschreibung Data access policy for books collection (Datenzugriffsrichtlinie für die Bücher-Sammlung) ein.

3. Wählen Sie JSON als Methode zur Richtliniendefinition aus und fügen Sie die folgende Richtlinie in den JSON-Editor ein.

   Ersetzen Sie den Prinzipal-ARN durch den ARN des Kontos, mit dem Sie sich bei OpenSearch Dashboards anmelden und Daten indizieren.

   [
      {
         "Rules":[
            {
               "ResourceType":"index",
               "Resource":[
                  "index/books/*"
               ],
               "Permission":[
                  "aoss:CreateIndex",
                  "aoss:DescribeIndex", 
                  "aoss:ReadDocument",
                  "aoss:WriteDocument",
                  "aoss:UpdateIndex",
                  "aoss:DeleteIndex"
               ]
            }
         ],
         "Principal":[
            "arn:aws:iam::123456789012:user/my-user"
         ]
      }
   ]

   Diese Richtlinie gewährt einem einzelnen Benutzer die Mindestberechtigungen, die erforderlich sind, um einen Index in der Bücher-Sammlung zu erstellen, einige Daten zu indizieren und danach zu suchen.

4. Wählen Sie Erstellen.

Schritt 5: Erstellen einer Sammlung

Nachdem Sie die Verschlüsselungs- und Netzwerkrichtlinien konfiguriert haben, können Sie eine passende Sammlung erstellen und die Sicherheitseinstellungen werden automatisch darauf angewendet.

So erstellen Sie eine OpenSearch -Serverless-Sammlung

1. Wählen Sie im linken Navigationsbereich Collections (Sammlungen) und wählen Sie Create collection (Sammlung erstellen) aus.

2. Benennen Sie die Sammlung books (Bücher).

3. Wählen Sie als Sammlungstyp Search (Suchen) aus.

4. Unter Verschlüsselung informiert OpenSearch Serverless Sie darüber, dass der Name der Sammlung mit der books-policyVerschlüsselungsrichtlinie übereinstimmt.

5. Unter Netzwerkzugriffseinstellungen informiert OpenSearch Serverless Sie darüber, dass der Name der Sammlung mit der books-policy Netzwerkrichtlinie übereinstimmt.

6. Wählen Sie Weiter aus.

7. Unter Optionen für Datenzugriffsrichtlinien informiert OpenSearch Serverless Sie darüber, dass der Name der Sammlung mit der books-policy Datenzugriffsrichtlinie übereinstimmt.

8. Wählen Sie Weiter aus.

9. Überprüfen Sie die Sammlungskonfiguration und wählen Sie Submit (Senden) aus. Die Initialisierung von Sammlungen dauert in der Regel weniger als eine Minute.

Schritt 6: Hochladen und Suchen von Daten

Sie können Daten mit Postman oder curl in eine OpenSearch -Serverless-Sammlung hochladen. Der Kürze halber verwenden diese Beispiele Entwicklungs-Tools in der OpenSearch Dashboards-Konsole.

So indizieren und suchen Sie Daten in einer Sammlung

1. Wählen Sie im linken Navigationsbereich Collections (Sammlungen) und dann die Bücher-Sammlung aus, um die Detailseite zu öffnen.

2. Wählen Sie die OpenSearch Dashboards-URL für die Sammlung aus. Die URL nimmt das Format https://collection-id.us-east-1.aoss.amazonaws.com/_dashboards an.

3. Melden Sie sich bei OpenSearch Dashboards mit den AWS Zugriffs- und geheimen Schlüsseln für den Prinzipal an, den Sie in Ihrer Datenzugriffsrichtlinie angegeben haben.

4. Öffnen Sie in OpenSearch Dashboards das linke Navigationsmenü und wählen Sie Entwicklungstools aus.

5. Führen Sie den folgenden Befehl aus, um einen einzelnen Index mit dem Namen books-index zu erstellen:

   PUT books-index 

   

6. Führen Sie den folgenden Befehl aus, um ein einzelnes Dokument in books-index zu indizieren:

   PUT books-index/_doc/1
   { 
     "title": "The Shining",
     "author": "Stephen King",
     "year": 1977
   }

7. Um Daten in OpenSearch Dashboards zu suchen, müssen Sie mindestens ein Indexmuster konfigurieren. OpenSearch verwendet diese Muster, um zu identifizieren, welche Indizes Sie analysieren möchten. Öffnen Sie das Dashboards-Hauptmenü, wählen Sie Stack-Management, wählen Sie Indexmuster und dann Indexmuster erstellen. Geben Sie für dieses Tutorial books-index ein.

8. Wählen Sie Nächster Schritt aus und klicken Sie auf Indexmuster erstellen. Nachdem das Muster erstellt wurde, können Sie die verschiedenen Dokumentfelder anzeigen, z. B. author und title.

9. Um mit der Suche nach Ihren Daten zu beginnen, öffnen Sie erneut das Hauptmenü und wählen Sie Discover (Erkunden) oder verwenden Sie die Such-API.