Registrar un repositorio de instantáneas manuales - OpenSearch Servicio Amazon
Paso 1: asignar el rol de instantánea en OpenSearch Dashboards (si utiliza un control de acceso detallado)Paso 2: registrar un repositorio

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Registrar un repositorio de instantáneas manuales

Debe registrar el repositorio de instantáneas en OpenSearch Service para poder tomar instantáneas de índice manuales. Esta operación que solo se realiza una vez requiere que firme la solicitud de AWS con credenciales que tengan acceso a TheSnapshotRole, tal como se describe en Requisitos previos.

Paso 1: asignar el rol de instantánea en OpenSearch Dashboards (si utiliza un control de acceso detallado)

El control de acceso detallado presenta un paso adicional al registrar un repositorio. Incluso si utiliza autenticación HTTP básica para todos los demás fines, debe asignar el rol manage_snapshots al rol de IAM que tenga permisos iam:PassRole para transferir TheSnapshotRole.

  1. Desplácese hasta el complemento de OpenSearch Dashboards para ver su dominio de OpenSearch Service. Puede encontrar el punto de conexión de Dashboards en el panel del dominio de la consola de OpenSearch Service.

  2. En el menú principal, seleccione Seguridad, Roles y seleccione el rol manage_snapshots.

  3. Seleccione Usuarios asignados, Administrar mapeo.

  4. Agregue el ARN del rol que tenga permisos para transferir TheSnapshotRole. Coloque los ARN de los roles en Roles de backend.

    arn:aws:iam::123456789123:role/role-name

  5. Seleccione Asignar y confirme que el usuario o el rol aparecen en Usuarios asignados.

Paso 2: registrar un repositorio

La siguiente pestaña Instantáneas muestra cómo registrar un directorio de instantáneas. Para ver las opciones específicas para cifrar una instantánea manual y registrarla después de migrarla a un nuevo dominio, consulte las pestañas correspondientes.

Snapshots

Para registrar un repositorio de instantáneas, envíe una solicitud PUT al punto de conexión de dominio de OpenSearch Service. Puede usar curl, el cliente Python de muestra, Postman o algún otro método para enviar una solicitud firmada para registrar el repositorio de instantáneas. Tenga en cuenta que no puede usar una solicitud PUT en la consola de OpenSearch Dashboards para registrar el repositorio.

La solicitud tiene el siguiente formato:

PUT domain-endpoint/_snapshot/my-snapshot-repo-name
{
  "type": "s3",
  "settings": {
    "bucket": "s3-bucket-name",
    "base_path": "my/snapshot/directory",
    "region": "region",
    "role_arn": "arn:aws:iam::123456789012:role/TheSnapshotRole"
  }
}
nota

Los nombres de repositorio no pueden comenzar por “cs-”. Además, no debe escribir en el mismo repositorio desde varios dominios. Solo un dominio debe tener acceso de escritura al repositorio.

Si el dominio reside en una nube privada virtual (VPC), la computadora debe estar conectada a la VPC para que la solicitud registre correctamente el repositorio de instantáneas. El acceso a una VPC depende de la configuración de red, pero probablemente implica conectarse a una VPN o a una red corporativa. Para comprobar que tiene acceso al dominio de OpenSearch Service, diríjase a https://your-vpc-domain.region.es.amazonaws.com en un navegador web y compruebe que recibe la respuesta JSON predeterminada.

Cuando el bucket de Amazon S3 se encuentre en otra Región de AWS diferente del dominio de OpenSearch, añada el parámetro "endpoint": "s3.amazonaws.com" a la solicitud.

Encrypted snapshots

Actualmente, no puede utilizar claves AWS Key Management Service (KMS) para cifrar instantáneas manuales, pero puede protegerlas mediante el cifrado del servidor (SSE).

Para activar el SSE con claves administradas de S3 para el bucket que utiliza como repositorio de instantáneas, agregue "server_side_encryption": true al bloque "settings" de la solicitud PUT. Para más información, consulte Protección de datos mediante cifrado del lado del servidor con claves de cifrado administradas por Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

También puede utilizar claves AWS KMS para el cifrado del lado del servidor en el bucket de S3 que utiliza como repositorio de instantáneas. Si utiliza este enfoque, asegúrese de proporcionar el permiso del TheSnapshotRole para la clave AWS KMS utilizada para cifrar el bucket de S3. Para más información, consulte Políticas de claves en AWS KMS.

Domain migration

El registro de un repositorio de instantáneas es una operación que se realiza una vez. Sin embargo, para migrar de un dominio a otro, debe registrar el mismo repositorio de instantáneas en el dominio antiguo y en el nuevo. El nombre del repositorio es arbitrario.

Tenga en cuenta las siguientes pautas al migrar a un nuevo dominio o registrar el mismo repositorio con varios dominios:

  • Al registrar el repositorio en el nuevo dominio, agregue "readonly": true al bloque "settings" de la solicitud PUT. Esta configuración impide sobrescribir accidentalmente datos del dominio antiguo. Solo un dominio debe tener acceso de escritura al repositorio.

  • Si migra datos a un dominio en una Región de AWS diferente (por ejemplo, desde un dominio antiguo y un bucket ubicado en us-east-2 a un nuevo dominio en us-west-2), reemplace "region": "region" por "endpoint": "s3.amazonaws.com" en la instrucción PUT y vuelva a enviar la solicitud.

Utilizar el cliente de Python de ejemplo

El cliente de Python es más fácil de automatizar que una simple solicitud HTTP y tiene una mejor reutilización. Si elige utilizar este método para registrar un repositorio de instantáneas, guarde el siguiente código de muestra de Python como archivo Python, por ejemplo register-repo.py. El cliente necesita AWS SDK for Python (Boto3), solicitudes y paquetes requests-aws4auth. El cliente contiene ejemplos de otras operaciones de instantánea que están marcados como comentarios.

Actualice las variables siguientes en el código de muestra: host, region, path y payload.

import boto3
import requests
from requests_aws4auth import AWS4Auth

host = '' # domain endpoint
region = '' # e.g. us-west-1
service = 'es'
credentials = boto3.Session().get_credentials()
awsauth = AWS4Auth(credentials.access_key, credentials.secret_key, region, service, session_token=credentials.token)

# Register repository

path = '/_snapshot/my-snapshot-repo-name' # the OpenSearch API endpoint
url = host + path

payload = {
  "type": "s3",
  "settings": {
    "bucket": "s3-bucket-name",
    "base_path": "my/snapshot/directory",
    "region": "us-west-1",
    "role_arn": "arn:aws:iam::123456789012:role/snapshot-role"
  }
}

headers = {"Content-Type": "application/json"}

r = requests.put(url, auth=awsauth, json=payload, headers=headers)

print(r.status_code)
print(r.text)

# # Take snapshot
#
# path = '/_snapshot/my-snapshot-repo-name/my-snapshot'
# url = host + path
#
# r = requests.put(url, auth=awsauth)
#
# print(r.text)
#
# # Delete index
#
# path = 'my-index'
# url = host + path
#
# r = requests.delete(url, auth=awsauth)
#
# print(r.text)
#
# # Restore snapshot (all indexes except Dashboards and fine-grained access control)
#
# path = '/_snapshot/my-snapshot-repo-name/my-snapshot/_restore'
# url = host + path
#
# payload = {
#   "indices": "-.kibana*,-.opendistro_security,-.opendistro-*",
#   "include_global_state": False
# }
#
# headers = {"Content-Type": "application/json"}
#
# r = requests.post(url, auth=awsauth, json=payload, headers=headers)
#
# print(r.text)
# 
# # Restore snapshot (one index)
#
# path = '/_snapshot/my-snapshot-repo-name/my-snapshot/_restore'
# url = host + path
#
# payload = {"indices": "my-index"}
#
# headers = {"Content-Type": "application/json"}
#
# r = requests.post(url, auth=awsauth, json=payload, headers=headers)
#
# print(r.text)