Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Acceda a Amazon OpenSearch Serverless mediante un punto final de interfaz ()AWS PrivateLink
Puede usarlo AWS PrivateLink para crear una conexión privada entre su VPC y Amazon OpenSearch Serverless. Puede acceder a OpenSearch Serverless como si estuviera en su VPC, sin el uso de una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una conexión. AWS Direct Connect Las instancias de su VPC no necesitan direcciones IP públicas para acceder OpenSearch a Serverless.
Esta conexión privada se establece mediante la creación de un punto de conexión de interfaz alimentado por AWS PrivateLink. Creamos una interfaz de red de punto de conexión en cada subred especificada para el punto de conexión de interfaz. Se trata de interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado a Serverless. OpenSearch
Para obtener más información, consulte Acceso a Servicios de AWS a través de AWS PrivateLink en la Guía de AWS PrivateLink .
Temas
Resolución de DNS de los puntos de conexión de colección
Al crear un punto de enlace de VPC, el servicio crea una nueva zona alojada Amazon Route 53 privada y la adjunta a la VPC. Esta zona alojada privada consta de un registro para resolver el registro DNS comodín de las colecciones OpenSearch sin servidor (*.aoss.us-east-1.amazonaws.com) en las direcciones de interfaz utilizadas para el punto final. Solo necesita un punto final de VPC OpenSearch sin servidor en una VPC para acceder a todas y cada una de las colecciones y paneles de control de cada una de ellas. Región de AWS Cada VPC con un punto final para OpenSearch Serverless tiene su propia zona alojada privada adjunta.
OpenSearch Serverless también crea un registro DNS comodín público de Route 53 para todas las colecciones de la región. El nombre DNS se resuelve en las direcciones IP públicas de OpenSearch Serverless. Los clientes de las VPC que no tienen un punto final de OpenSearch VPC sin servidor o los clientes de las redes públicas pueden usar la resolución pública de Route 53 y acceder a las colecciones y los paneles con esas direcciones IP. El tipo de dirección IP (IPv4, IPv6 o Dualstack) del punto final de la VPC se determina en función de las subredes que se proporcionan al crear un punto final de interfaz para Serverless. OpenSearch
nota
Puede actualizar su punto final de VPC IPv4 existente a Dualstack mediante update-vpc-endpointel comando de. AWS CLI
La dirección de resolver de DNS de una VPC determinada es la segunda dirección IP del CIDR de la VPC. Todos los clientes de la VPC deben usar ese resolver para obtener la dirección de punto de conexión de VPC para cualquier colección. El solucionador utiliza una zona alojada privada creada por Serverless. OpenSearch Basta con usar ese resolverr para todas las colecciones de cualquier cuenta. También es posible utilizar el resolver de VPC para algunos puntos de conexión de colección y el resolver público para otros, aunque normalmente no es necesario.
VPC y políticas de acceso a la red
Para conceder permisos de red a OpenSearch las API y los paneles de control de sus colecciones, puede utilizar las políticas de acceso a la red OpenSearch sin servidor. Puede controlar este acceso a la red desde sus puntos de conexión de VPC o desde la Internet pública. Como su política de red solo controla los permisos de tráfico, también debe configurar una política de acceso a los datos que especifique los permisos para operar con los datos de una colección y sus índices. Piense en un punto final de VPC OpenSearch sin servidor como un punto de acceso al servicio, una política de acceso a la red como el punto de acceso a nivel de red a las colecciones y los paneles de control, y una política de acceso a los datos como el punto de acceso para un control de acceso detallado para cualquier operación con los datos de la recopilación.
Como puede especificar varios ID de punto de conexión de VPC en una política de red, le recomendamos que cree un punto de conexión de VPC para cada VPC que necesite acceder a una colección. Estas VPC pueden pertenecer a AWS cuentas distintas de la cuenta propietaria de la política de recopilación y red sin servidor. OpenSearch No recomendamos crear una solución de emparejamiento de VPC a VPC ni ninguna otra solución de proxy entre dos cuentas para que la VPC de una cuenta pueda utilizar el punto de conexión de VPC de otra cuenta. Esto es menos seguro y rentable que cada VPC que tenga su propio punto de conexión. El administrador de la otra VPC, que ha configurado el acceso al punto de conexión de esa VPC en la política de red, no podrá ver fácilmente la primera VPC.
Políticas de punto de conexión y VPC
Amazon OpenSearch Serverless admite políticas de puntos de conexión para VPC. Una política de punto final es una política de IAM basada en recursos que se adjunta a un punto final de VPC para controlar qué entidades AWS principales pueden usar el punto final para acceder a su servicio. AWS Para obtener más información, consulte Controlar el acceso a puntos de conexión de VPC con políticas de punto de conexión.
Para usar una política de punto de conexión, primero debe crear un punto de conexión de interfaz. Puedes crear un punto final de interfaz mediante la consola sin servidor o la API OpenSearch sin servidor. OpenSearch Después de crear el punto de conexión de interfaz, tendrá que añadir la política del punto de conexión al punto de conexión. Para obtener más información, consulte Acceder a Amazon OpenSearch Serverless mediante un punto final de interfaz (AWS PrivateLink).
nota
No puede definir una política de puntos finales directamente en la consola de OpenSearch servicio.
Una política de punto de conexión no anula ni reemplaza otras políticas basadas en identidades, políticas basadas en recursos, políticas de red o políticas de acceso a datos que haya configurado. Para obtener información sobre cómo actualizar la política de puntos de conexión, consulte Controlar el acceso a puntos de conexión de VPC con políticas de punto de conexión.
De forma predeterminada, una política de punto de conexión concede acceso completo al punto de conexión de VPC.
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } ] }
Si bien la política de puntos de conexión de VPC predeterminada concede acceso total a los puntos de conexión, puede configurar una política de puntos de conexión de VPC para permitir el acceso a roles y usuarios específicos. Para eso, vea el siguiente ejemplo:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "123456789012", "987654321098" ] }, "Action": "*", "Resource": "*" } ] }
Puede especificar una colección OpenSearch sin servidor para incluirla como elemento condicional en su política de puntos de conexión de VPC. Para eso, vea el siguiente ejemplo:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:CollectionName": [ "coll-abc" ] } } } ] }
Puede usar las identidades de SAML en la política de puntos de conexión de VPC para determinar el acceso a esos puntos. Debe usar un comodín (*) en la sección de la entidad principal de la política de puntos de conexión de VPC. Para eso, vea el siguiente ejemplo:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:SamlGroups": [ "saml/123456789012/idp123/group/football", "saml/123456789012/idp123/group/soccer", "saml/123456789012/idp123/group/cricket" ] } } } ] }
Además, puede configurar su política de puntos de conexión para que incluya una política de entidad principal de SAML específica. Para eso, vea lo siguiente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:SamlPrincipal": [ "saml/123456789012/idp123/user/user1234"] } } } ] }
Para obtener más información sobre el uso de la autenticación SAML con Amazon OpenSearch Serverless, consulte Autenticación SAML para Amazon Serverless. OpenSearch
También puede incluir usuarios de IAM y SAML en la misma política de puntos de conexión de VPC. Para eso, vea el siguiente ejemplo:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:SamlGroups": [ "saml/123456789012/idp123/group/football", "saml/123456789012/idp123/group/soccer", "saml/123456789012/idp123/group/cricket" ] } } }, { "Effect": "Allow", "Principal": { "AWS": [ "123456789012" ] }, "Action": "*", "Resource": "*" } ] }
Consideraciones
Antes de configurar un punto final de interfaz para OpenSearch Serverless, tenga en cuenta lo siguiente:
-
OpenSearch Serverless permite realizar llamadas a todas las operaciones de OpenSearch API compatibles (no a las operaciones de API de configuración) a través del punto final de la interfaz.
-
Después de crear un punto final de interfaz para OpenSearch Serverless, aún debe incluirlo en las políticas de acceso a la red para que pueda acceder a las colecciones sin servidor.
-
De forma predeterminada, se permite el acceso total a OpenSearch Serverless a través del punto final de la interfaz. Puede asociar un grupo de seguridad a las interfaces de red de los puntos finales para controlar el tráfico a OpenSearch Serverless a través del punto final de la interfaz.
-
Una sola unidad Cuenta de AWS puede tener un máximo de 50 puntos finales de VPC OpenSearch sin servidor.
-
Si habilita el acceso público a Internet a la API o los paneles de control de su colección en una política de red, cualquier VPC y la Internet pública pueden acceder a su colección.
-
Si está en las instalaciones y fuera de la VPC, no puede usar directamente una resolución de DNS para la resolución del punto final de la VPC OpenSearch sin servidor. Si necesita acceso a una VPN, la VPC necesita un resolver de proxy de DNS para que lo usen los clientes externos. Route 53 ofrece una opción de punto de conexión de entrada que puede usar para resolver consultas de DNS a su VPC desde su red en las instalaciones u otra VPC.
-
El servicio administra la zona alojada privada que OpenSearch Serverless crea y adjunta a la VPC, pero aparece en sus Amazon Route 53 recursos y se factura a su cuenta.
-
Para otras consideraciones, consulte Consideraciones en la Guía de AWS PrivateLink .
Permisos necesarios
El acceso a la VPC para OpenSearch Serverless utiliza los siguientes permisos AWS Identity and Access Management (IAM). Puede especificar las condiciones de IAM para restringir a los usuarios a colecciones específicas.
-
aoss:CreateVpcEndpoint: cree un punto de conexión de VPC. -
aoss:ListVpcEndpoints: enumere todos los puntos de conexión de VPC. -
aoss:BatchGetVpcEndpoint: consulte los detalles sobre un subconjunto de puntos de conexión de VPC. -
aoss:UpdateVpcEndpoint: modifique un punto de conexión de VPC. -
aoss:DeleteVpcEndpoint: elimine un punto de conexión de VPC.
Además, necesita los siguientes permisos de Amazon EC2 y Route 53 para crear un punto de conexión de VPC.
-
ec2:CreateTags -
ec2:CreateVpcEndpoint -
ec2:DeleteVpcEndPoints -
ec2:DescribeSecurityGroups -
ec2:DescribeSubnets -
ec2:DescribeVpcEndpoints -
ec2:DescribeVpcs -
ec2:ModifyVpcEndPoint -
route53:AssociateVPCWithHostedZone -
route53:ChangeResourceRecordSets -
route53:CreateHostedZone -
route53:DeleteHostedZone -
route53:GetChange -
route53:GetHostedZone -
route53:ListHostedZonesByName -
route53:ListHostedZonesByVPC -
route53:ListResourceRecordSets
Cree un punto final de interfaz para Serverless OpenSearch
Puede crear un punto final de interfaz para OpenSearch Serverless mediante la consola o la API OpenSearch Serverless.
Para crear un punto final de interfaz para una colección sin servidor OpenSearch
-
Abre la consola OpenSearch de Amazon Service en https://console.aws.amazon.com/aos/home
. -
En el panel de navegación de la izquierda, expanda Sin servidor y seleccione Puntos de conexión de VPC.
-
Seleccione Crear punto de conexión de VPC.
-
Proporcione un nombre para el punto de conexión.
-
En el caso de la VPC, selecciona la VPC desde la que accederás a Serverless. OpenSearch
-
En el caso de las subredes, selecciona una subred desde la que accederás a Serverless. OpenSearch
-
La dirección IP y el tipo de DNS del punto final se basan en el tipo de subred
-
Dualstack: si todas las subredes tienen rangos de direcciones IPv4 e IPv6
-
IPv6: si todas las subredes son solo subredes de IPv6
-
IPv4: si todas las subredes tienen rangos de direcciones IPv4
-
-
-
En Grupos de seguridad, seleccione los grupos de seguridad que deban asociarse a las interfaces de red del punto de conexión. Este es un paso fundamental en el que limita los puertos, protocolos y orígenes para el tráfico entrante que autoriza para el punto de conexión. Asegúrese de que las reglas del grupo de seguridad permitan que los recursos que utilizarán el punto final de la VPC se comuniquen con OpenSearch Serverless para comunicarse con la interfaz de red del punto final.
-
Seleccione Crear punto de conexión.
Para crear un punto final de VPC mediante la API OpenSearch sin servidor, utilice el comando. CreateVpcEndpoint
nota
Después de crear un punto de conexión, registre su ID (por ejemplo, vpce-050f79086ee71ac05. Para proporcionar el acceso del punto de conexión a sus colecciones, debe incluir este ID en una o más políticas de acceso a la red.
Próximo paso: Otorgar al punto de conexión acceso a la colección
Tras crear un punto de conexión de interfaz, debe proporcionarles acceso a las colecciones mediante políticas de acceso a la red. Para obtener más información, consulte Acceso a la red para Amazon OpenSearch Serverless.
