Accès au réseau pour Amazon OpenSearch Serverless

Les paramètres réseau d'une collection Amazon OpenSearch Serverless déterminent si la collection est accessible via Internet à partir de réseaux publics ou si elle doit être accessible de manière privée.

L'accès privé peut s'appliquer à l'un des éléments suivants ou aux deux :

• OpenSearch Points de terminaison VPC gérés sans serveur

• Supportés Services AWS , tels qu'Amazon Bedrock

Vous pouvez configurer l'accès au réseau séparément pour le point de OpenSearchterminaison d'une collection et pour le point de terminaison OpenSearch Dashboards correspondant.

L'accès réseau est le mécanisme d'isolation permettant l'accès à partir de différents réseaux source. Par exemple, si le point de terminaison OpenSearch des tableaux de bord d'une collection est accessible au public mais que le point de terminaison de l' OpenSearch API ne l'est pas, un utilisateur peut accéder aux données de la collection uniquement via les tableaux de bord lorsqu'il se connecte depuis un réseau public. S'ils essaient d'appeler les OpenSearch API directement depuis un réseau public, ils seront bloqués. Les paramètres réseau peuvent être utilisés pour de telles permutations de la source au type de ressource. Amazon OpenSearch Serverless prend en charge la connectivité IPv4 et IPv6.

Stratégies réseau

Les stratégies réseau vous permettent de gérer de nombreuses collections à grande échelle en attribuant automatiquement des paramètres d'accès réseau aux collections qui correspondent aux règles définies dans la stratégie.

Dans une stratégie réseau, vous spécifiez une série de règles. Ces règles définissent les autorisations d'accès aux points de terminaison de collecte et aux points de terminaison des OpenSearch tableaux de bord. Chaque règle comprend un type d'accès (public ou privé) et un type de ressource (collection et/ou point de terminaison OpenSearch Dashboards). Pour chaque type de ressource (collection et dashboard), vous spécifiez une série de règles qui définissent à quelles collections la stratégie s'appliquera.

Dans cet exemple de politique, la première règle spécifie l'accès du point de terminaison VPC à la fois au point de terminaison de collecte et au point de terminaison du tableau de bord pour toutes les collections commençant par le terme. marketing* Il spécifie également l'accès à Amazon Bedrock.

Note

L'accès privé à Services AWS Amazon Bedrock ne s'applique qu'au point de terminaison de la collection, et non au OpenSearch point de terminaison OpenSearch des tableaux de bord. Même si ResourceType c'est le casdashboard, l'accès aux OpenSearch tableaux de bord Services AWS ne peut pas être accordé.

La deuxième règle spécifie l'accès public à la collection finance, mais uniquement pour le point de terminaison de la collection (aucun accès aux tableaux de bord).

[
   {
      "Description":"Marketing access",
      "Rules":[
         {
            "ResourceType":"collection",
            "Resource":[
               "collection/marketing*"
            ]
         },
         {
            "ResourceType":"dashboard",
            "Resource":[
               "collection/marketing*"
            ]
         }
      ],
      "AllowFromPublic":false,
      "SourceVPCEs":[
         "vpce-050f79086ee71ac05"
      ],
      "SourceServices":[
         "bedrock.amazonaws.com"
      ],
   },
   {
      "Description":"Sales access",
      "Rules":[
         {
            "ResourceType":"collection",
            "Resource":[
               "collection/finance"
            ]
         }
      ],
      "AllowFromPublic":true
   }
]

Cette politique fournit un accès public uniquement aux OpenSearch tableaux de bord pour les collections commençant par « finance ». Toute tentative d'accès direct à l' OpenSearch API échouera.

[
  {
    "Description": "Dashboards access",
    "Rules": [
      {
        "ResourceType": "dashboard",
        "Resource": [
          "collection/finance*"
        ]
      }
    ],
    "AllowFromPublic": true
  }
]

Les stratégies réseau peuvent s'appliquer aux collections existantes ainsi qu'aux collections futures. Par exemple, vous pouvez créer une collection, puis créer une stratégie réseau avec une règle correspondant au nom de la collection. Vous n'avez pas besoin de créer des stratégies réseau avant de créer des collections.

Considérations

Tenez compte des éléments suivants lorsque vous configurez l'accès réseau de vos collections :

• Si vous envisagez de configurer l'accès au point de terminaison VPC pour une collection, vous devez d'abord créer au OpenSearch moins un point de terminaison VPC géré sans serveur.

• L'accès privé à Services AWS ne s'applique qu'au point de OpenSearch terminaison de la collection, et non au point de terminaison OpenSearch des tableaux de bord. Même si ResourceType c'est le casdashboard, l'accès aux OpenSearch tableaux de bord Services AWS ne peut pas être accordé.

• Si une collection est accessible depuis les réseaux publics, elle est également accessible depuis tous les points de terminaison VPC OpenSearch gérés sans serveur et depuis tous. Services AWS

• Plusieurs stratégies réseau peuvent s'appliquer à une seule collection. Pour plus d’informations, consultez Priorité des stratégies.

Autorisations requises pour configurer les politiques réseau

L'accès réseau pour OpenSearch Serverless utilise les autorisations AWS Identity and Access Management (IAM) suivantes. Vous pouvez spécifier des conditions IAM pour restreindre les utilisateurs à des stratégies réseau associées à des collections spécifiques.

• aoss:CreateSecurityPolicy : créer une stratégie d'accès au réseau.

• aoss:ListSecurityPolicies : répertorier toutes les stratégies réseau du compte actuel.

• aoss:GetSecurityPolicy : afficher une spécification de stratégie d'accès au réseau.

• aoss:UpdateSecurityPolicy : modifier une stratégie d'accès réseau donnée et modifier l'ID du VPC ou la désignation d'accès public.

• aoss:DeleteSecurityPolicy : supprimer une stratégie d'accès au réseau (après l'avoir détachée de toutes les collections).

La stratégie d'accès basée sur l'identité suivante permet à un utilisateur de consulter toutes les stratégies réseau et de mettre à jour les stratégies qui contiennent le modèle de ressource collection/application-logs :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aoss:UpdateSecurityPolicy"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aoss:collection": "application-logs"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "aoss:ListSecurityPolicies",
                "aoss:GetSecurityPolicy"
            ],
            "Resource": "*"
        }
    ]
}

Note

En outre, OpenSearch Serverless nécessite les aoss:DashboardsAccessAll autorisations aoss:APIAccessAll et pour les ressources de collecte. Pour plus d’informations, consultez Utilisation des opérations OpenSearch d'API.

Priorité des stratégies

Dans certains cas, les règles de stratégie réseau se chevauchent, au sein des stratégies ou entre elles. Dans ce cas, une règle qui spécifie l'accès public remplace une règle qui spécifie l'accès privé pour toutes les collections communes aux deux règles.

Par exemple, dans la stratégie suivante, les deux règles attribuent un accès réseau à la collection finance, mais une règle spécifie l'accès VPC tandis que l'autre spécifie l'accès public. Dans ce cas, l'accès public outrepasse l'accès VPC uniquement pour la collection finance (car il existe dans les deux règles), de sorte que la collection finance sera accessible depuis les réseaux publics. La collection sales (ventes) bénéficiera d'un accès VPC à partir du point de terminaison spécifié.

[
   {
      "Description":"Rule 1",
      "Rules":[
         {
            "ResourceType":"collection",
            "Resource":[
               "collection/sales",
               "collection/finance"
            ]
         }
      ],
      "AllowFromPublic":false,
      "SourceVPCEs":[
         "vpce-050f79086ee71ac05"
      ]
   },
   {
      "Description":"Rule 2",
      "Rules":[
         {
            "ResourceType":"collection",
            "Resource":[
               "collection/finance"
            ]
         }
      ],
      "AllowFromPublic":true
   }
]

Si plusieurs points de terminaison d'un VPC issus de règles différentes s'appliquent à une collection, les règles s'additionnent et la collection sera accessible depuis tous les points de terminaison spécifiés. Si vous définissez AllowFromPublic true mais fournissez également un ou plusieurs SourceVPCEs ouSourceServices, OpenSearch Serverless ignore les points de terminaison et les identifiants de service VPC, et les collections associées seront accessibles au public.

Créer des stratégies réseau (console)

Les stratégies réseau peuvent s'appliquer aux stratégies existantes ainsi qu'aux stratégies futures. Nous vous recommandons de créer des stratégies réseau avant de commencer à créer des collections.

Pour créer une politique réseau OpenSearch sans serveur

1. Ouvrez la console Amazon OpenSearch Service à l'adresse https://console.aws.amazon.com/aos/home.

2. Dans le panneau de navigation de gauche, développez Serverless (Sans serveur) et choisissez Network policies (Stratégies réseau).

3. Choisissez Create network policy (Créer une stratégie réseau).

4. Saisissez un nom et une description pour la stratégie.

5. Fournissez une ou plusieurs règles. Ces règles définissent les autorisations d'accès pour vos collections OpenSearch Serverless et leurs points de terminaison de OpenSearch Dashboards.

   Chaque règle contient les éléments suivants :

   Element	Description
   Nom de la règle	Nom décrivant le contenu de la règle. Par exemple, « Accès au VPC pour l'équipe marketing ».
   Type d'accès	Choisissez un accès public ou privé. Sélectionnez ensuite l'une des options suivantes ou les deux : Points de terminaison VPC pour l'accès — Spécifiez un ou plusieurs points de terminaison VPC gérés sans serveur — points de terminaison VPC gérés. OpenSearch Service AWS accès privé — Sélectionnez un ou plusieurs accès pris en charge Services AWS.
   Type de ressource	Indiquez si vous souhaitez donner accès aux OpenSearch points de terminaison (qui permettent d'appeler l' OpenSearch API), aux OpenSearch tableaux de bord (qui permettent d'accéder aux visualisations et à l'interface utilisateur pour les OpenSearch plug-ins), ou les deux. Note Service AWS l'accès privé s'applique uniquement au point de OpenSearch terminaison de la collection, et non au point de terminaison OpenSearch des tableaux de bord. Même si vous sélectionnez OpenSearch Tableaux de bord, Services AWS seul l'accès aux terminaux est autorisé.

   Pour chaque type de ressource que vous sélectionnez, vous pouvez choisir des collections existantes auxquelles appliquer les paramètres de stratégie et/ou créer un ou plusieurs modèles de ressources. Les modèles de ressources se composent d'un préfixe et d'un caractère générique (*) et définissent les collections auxquelles les paramètres de stratégie s'appliqueront.

   Par exemple, si vous incluez un modèle appelé Marketing*, les paramètres réseau de cette stratégie seront automatiquement appliqués à toutes les collections nouvelles ou existantes dont le nom commence par « Marketing ». Un seul caractère générique (*) applique la stratégie à toutes les collections actuelles et futures.

   En outre, vous pouvez spécifier le nom d'une future collection sans caractère générique, tel queFinance. OpenSearch Serverless appliquera les paramètres de politique à toute collection nouvellement créée portant le même nom exact.

6. Lorsque la configuration de votre stratégie vous satisfait, choisissez Create (Créer).

Création de stratégies réseau (AWS CLI)

Pour créer une politique réseau à l'aide des opérations de l'API OpenSearch Serverless, vous devez spécifier des règles au format JSON. La CreateSecurityPolicydemande accepte à la fois les politiques intégrées et les fichiers .json. Toutes les collections et tous les modèles doivent être sous la forme collection/<collection name|pattern>.

Note

Le type de ressource autorise dashboards uniquement l'accès aux OpenSearch tableaux de bord, mais pour que les OpenSearch tableaux de bord fonctionnent, vous devez également autoriser l'accès aux collections à partir des mêmes sources. La deuxième stratégie ci-dessous sert d'exemple.

Pour spécifier un accès privé, incluez l'un des éléments suivants ou les deux :

• SourceVPCEs— Spécifiez un ou plusieurs points de OpenSearch terminaison VPC gérés sans serveur.

• SourceServices— Spécifiez l'identifiant d'un ou de plusieurs appareils pris en charge Services AWS. Les identifiants de service suivants sont actuellement pris en charge :

  • bedrock.amazonaws.com— Amazon Bedrock

L'exemple de politique réseau suivant fournit un accès privé, à un point de terminaison VPC et à Amazon Bedrock, aux points de terminaison de collecte uniquement pour les collections commençant par le préfixe. log* Les utilisateurs authentifiés ne peuvent pas se connecter aux OpenSearch tableaux de bord ; ils ne peuvent accéder au point de terminaison de collecte que par programmation.

[
   {
      "Description":"Private access for log collections",
      "Rules":[
         {
            "ResourceType":"collection",
            "Resource":[
               "collection/log*"
            ]
         }
      ],
      "AllowFromPublic":false,
      "SourceVPCEs":[
         "vpce-050f79086ee71ac05"
      ],
      "SourceServices":[
         "bedrock.amazonaws.com"
      ],
   }
]

La politique suivante fournit un accès public au OpenSearch point de terminaison et aux OpenSearch tableaux de bord pour une seule collection nomméefinance. Si la collection n'existe pas, les paramètres réseau seront appliqués à la collection si et quand elle sera créée.

[
   {
      "Description":"Public access for finance collection",
      "Rules":[
         {
            "ResourceType":"dashboard",
            "Resource":[
               "collection/finance"
            ]
         },
         {
            "ResourceType":"collection",
            "Resource":[
               "collection/finance"
            ]
         }
      ],
      "AllowFromPublic":true
   }
]

La requête suivante crée la stratégie réseau ci-dessus :

aws opensearchserverless create-security-policy \
    --name sales-inventory \
    --type network \
    --policy "[{\"Description\":\"Public access for finance collection\",\"Rules\":[{\"ResourceType\":\"dashboard\",\"Resource\":[\"collection\/finance\"]},{\"ResourceType\":\"collection\",\"Resource\":[\"collection\/finance\"]}],\"AllowFromPublic\":true}]"

Pour fournir la stratégie dans un fichier JSON, utilisez le format --policy file://my-policy.json.

Affichage des stratégies réseau

Avant de créer une collection, vous souhaiterez peut-être prévisualiser les stratégies réseau existantes dans votre compte pour voir laquelle possède un modèle de ressource correspondant au nom de votre collection. La ListSecurityPoliciesdemande suivante répertorie toutes les politiques réseau de votre compte :

aws opensearchserverless list-security-policies --type network

La requête renvoie des informations sur toutes les stratégies réseau configurées. Pour consulter les règles de modèle définies dans une politique spécifique, recherchez les informations de stratégie dans le contenu de l'securityPolicySummariesélément de la réponse. Notez la name fin type de cette politique et utilisez ces propriétés dans une GetSecurityPolicydemande pour recevoir une réponse contenant les détails de politique suivants :

{
    "securityPolicyDetail": [
        {
            "type": "network",
            "name": "my-policy",
            "policyVersion": "MTY2MzY5MTY1MDA3Ml8x",
            "policy": "[{\"Description\":\"My network policy rule\",\"Rules\":[{\"ResourceType\":\"dashboard\",\"Resource\":[\"collection/*\"]}],\"AllowFromPublic\":true}]",
            "createdDate": 1663691650072,
            "lastModifiedDate": 1663691650072
        }
    ]
}

Pour afficher des informations détaillées sur une politique spécifique, utilisez la GetSecurityPolicycommande.

Mettre à jour des stratégies réseau

Lorsque vous modifiez les points de terminaison d'un VPC ou la désignation d'accès public pour un réseau, toutes les collections associées sont affectées. Pour mettre à jour une politique réseau dans la console OpenSearch Serverless, développez les politiques réseau, sélectionnez la politique à modifier, puis choisissez Modifier. Effectuez les modifications souhaitées, puis choisissez Save (Enregistrer).

Pour mettre à jour une politique réseau à l'aide de l'API OpenSearch Serverless, utilisez la UpdateSecurityPolicycommande. Vous devez inclure une version de stratégie dans la requête. Vous pouvez récupérer la version de stratégie à l'aide des commandes ListSecurityPolicies ou GetSecurityPolicy. En incluant la version la plus récente de la stratégie, vous vous assurez de ne pas annuler par inadvertance une modification apportée par quelqu'un d'autre.

La requête suivante met à jour une stratégie réseau avec un nouveau document JSON de stratégie :

aws opensearchserverless update-security-policy \
    --name sales-inventory \
    --type network \
    --policy-version MTY2MzY5MTY1MDA3Ml8x \
    --policy file://my-new-policy.json

Supprimer des stratégies réseau

Avant de supprimer une stratégie réseau, vous devez la détacher de toutes les collections. Pour supprimer une politique dans la console OpenSearch Serverless, sélectionnez-la, puis choisissez Supprimer.

Vous pouvez également utiliser la DeleteSecurityPolicycommande :

aws opensearchserverless delete-security-policy --name my-policy --type network