Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Accédez à Amazon OpenSearch Serverless à l'aide d'un point de terminaison d'interface ()AWS PrivateLink
Vous pouvez l'utiliser AWS PrivateLink pour créer une connexion privée entre votre VPC et Amazon OpenSearch Serverless. Vous pouvez accéder à OpenSearch Serverless comme s'il se trouvait dans votre VPC, sans utiliser de passerelle Internet, de périphérique NAT, de connexion VPN ou de connexion. AWS Direct Connect Les instances de votre VPC n'ont pas besoin d'adresses IP publiques pour accéder OpenSearch à Serverless.
Vous établissez cette connexion privée en créant un point de terminaison d'interface à technologie AWS PrivateLink. Nous créons une interface réseau du point de terminaison dans chaque sous-réseau que vous spécifiez pour le point de terminaison d'interface. Il s'agit d'interfaces réseau gérées par les demandeurs qui servent de point d'entrée pour le trafic destiné OpenSearch à Serverless.
Pour plus d’informations, consultez Accès aux Services AWS via AWS PrivateLink dans le Guide AWS PrivateLink .
Rubriques
- Résolution DNS des points de terminaison de collecte
- VPC et politiques d'accès au réseau
- Politiques relatives aux VPC et aux terminaux
- Considérations
- Autorisations nécessaires
- Création d'un point de terminaison d'interface pour OpenSearch Serverless
- Étape suivante : octroyer au point de terminaison l'accès à une collection
Résolution DNS des points de terminaison de collecte
Lorsque vous créez un point de terminaison VPC, le service crée une nouvelle zone hébergée Amazon Route 53 privée et l'attache au VPC. Cette zone hébergée privée consiste en un enregistrement permettant de résoudre l'enregistrement DNS générique pour les collections OpenSearch sans serveur (*.aoss.us-east-1.amazonaws.com) aux adresses d'interface utilisées pour le point de terminaison. Vous n'avez besoin que d'un point de terminaison VPC OpenSearch sans serveur dans un VPC pour accéder à toutes les collections et à tous les tableaux de bord de chaque VPC. Région AWS Chaque VPC doté d'un point de terminaison pour OpenSearch Serverless possède sa propre zone hébergée privée attachée.
OpenSearch Serverless crée également un enregistrement DNS générique Route 53 public pour toutes les collections de la région. Le nom DNS correspond aux adresses IP publiques OpenSearch sans serveur. Les clients des VPC qui ne disposent pas d'un point de terminaison OpenSearch VPC sans serveur ou des clients des réseaux publics peuvent utiliser le résolveur Route 53 public et accéder aux collections et aux tableaux de bord avec ces adresses IP. Le type d'adresse IP (IPv4, IPv6 ou Dualstack) du point de terminaison VPC est déterminé en fonction des sous-réseaux fournis lorsque vous créez un point de terminaison d'interface pour Serverless. OpenSearch
Note
Vous pouvez mettre à jour votre point de terminaison VPC IPv4 existant vers Dualstack en utilisant update-vpc-endpointla commande dans le. AWS CLI
L'adresse du résolveur DNS pour un VPC donné est la deuxième adresse IP du CIDR du VPC. Tout client du VPC doit utiliser ce résolveur pour obtenir l'adresse du point de terminaison du VPC pour toute collection. Le résolveur utilise une zone hébergée privée créée par OpenSearch Serverless. Il suffit d'utiliser ce résolveur pour toutes les collections, quel que soit le compte. Il est également possible d'utiliser le résolveur VPC pour certains points de terminaison de collection et le résolveur public pour d'autres, bien que cela ne soit généralement pas nécessaire.
VPC et politiques d'accès au réseau
Pour accorder des autorisations réseau aux OpenSearch API et aux tableaux de bord de vos collections, vous pouvez utiliser des politiques d'accès réseau OpenSearch sans serveur. Vous pouvez contrôler cet accès réseau à partir de vos points de terminaison VPC ou de l'Internet public. Étant donné que votre politique réseau ne contrôle que les autorisations de trafic, vous devez également définir une politique d'accès aux données qui spécifie l'autorisation d'opérer sur les données d'une collection et de ses index. Imaginez un point de terminaison VPC OpenSearch sans serveur comme un point d'accès au service, une politique d'accès réseau comme le point d'accès au niveau du réseau aux collections et aux tableaux de bord, et une politique d'accès aux données comme le point d'accès permettant un contrôle d'accès précis pour toute opération sur les données de la collection.
Étant donné que vous pouvez spécifier plusieurs ID de point de terminaison VPC dans une politique réseau, nous vous recommandons de créer un point de terminaison VPC pour chaque VPC devant accéder à une collection. Ces VPC peuvent appartenir à des AWS comptes différents de ceux du compte propriétaire de la collection OpenSearch Serverless et de la politique réseau. Nous vous déconseillons de créer une solution de peering VPC à VPC ou une autre solution de proxy entre deux comptes afin que le VPC d'un compte puisse utiliser le point de terminaison VPC d'un autre compte. Cela est moins sûr et moins rentable que le fait que chaque VPC possède son propre point de terminaison. Le premier VPC ne sera pas facilement visible pour l'administrateur de l'autre VPC, qui a configuré l'accès au point de terminaison de ce VPC dans la politique réseau.
Politiques relatives aux VPC et aux terminaux
Amazon OpenSearch Serverless prend en charge les politiques relatives aux terminaux pour les VPC. Une politique de point de terminaison est une politique basée sur les ressources IAM que vous attachez à un point de terminaison VPC pour contrôler quels AWS principaux peuvent utiliser le point de terminaison pour accéder à votre service. AWS Pour plus d'informations, consultez Contrôler l'accès aux points de terminaison VPC à l'aide de politiques de point de terminaison.
Pour utiliser une politique de point de terminaison, vous devez d'abord créer un point de terminaison d'interface. Vous pouvez créer un point de terminaison d'interface à l'aide de la console OpenSearch Serverless ou de l'API OpenSearch Serverless. Après avoir créé le point de terminaison de votre interface, vous devez ajouter la politique du point de terminaison au point de terminaison. Pour plus d'informations, consultez Accéder à Amazon OpenSearch Serverless à l'aide d'un point de terminaison d'interface (AWS PrivateLink).
Note
Vous ne pouvez pas définir une politique de point de terminaison directement dans la console OpenSearch de service.
Une politique de point de terminaison ne remplace ni ne remplace les autres politiques basées sur l'identité, les politiques basées sur les ressources, les politiques réseau ou les politiques d'accès aux données que vous avez éventuellement configurées. Pour plus d'informations sur la mise à jour des politiques de point de terminaison, consultez Contrôler l'accès aux points de terminaison VPC à l'aide de politiques de point de terminaison.
Par défaut, une politique de point de terminaison accorde un accès complet à votre point de terminaison VPC.
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } ] }
Bien que la politique de point de terminaison VPC par défaut accorde un accès complet au point de terminaison, vous pouvez configurer une politique de point de terminaison VPC pour autoriser l'accès à des rôles et à des utilisateurs spécifiques. Pour ce faire, consultez l'exemple suivant :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "123456789012", "987654321098" ] }, "Action": "*", "Resource": "*" } ] }
Vous pouvez spécifier une collection OpenSearch sans serveur à inclure en tant qu'élément conditionnel dans votre politique de point de terminaison VPC. Pour ce faire, consultez l'exemple suivant :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:CollectionName": [ "coll-abc" ] } } } ] }
Vous pouvez utiliser les identités SAML dans votre politique de point de terminaison VPC pour déterminer l'accès aux points de terminaison VPC. Vous devez utiliser un caractère générique (*) dans la section principale de votre politique de point de terminaison VPC. Pour ce faire, consultez l'exemple suivant :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:SamlGroups": [ "saml/123456789012/idp123/group/football", "saml/123456789012/idp123/group/soccer", "saml/123456789012/idp123/group/cricket" ] } } } ] }
En outre, vous pouvez configurer votre politique de point de terminaison pour inclure une politique principale SAML spécifique. Pour ce faire, consultez les informations suivantes :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:SamlPrincipal": [ "saml/123456789012/idp123/user/user1234"] } } } ] }
Pour plus d'informations sur l'utilisation de l'authentification SAML avec Amazon OpenSearch Serverless, consultez Authentification SAML pour Amazon Serverless. OpenSearch
Vous pouvez également inclure les utilisateurs IAM et SAML dans la même politique de point de terminaison VPC. Pour ce faire, consultez l'exemple suivant :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:SamlGroups": [ "saml/123456789012/idp123/group/football", "saml/123456789012/idp123/group/soccer", "saml/123456789012/idp123/group/cricket" ] } } }, { "Effect": "Allow", "Principal": { "AWS": [ "123456789012" ] }, "Action": "*", "Resource": "*" } ] }
Considérations
Avant de configurer un point de terminaison d'interface pour OpenSearch Serverless, tenez compte des points suivants :
-
OpenSearch Serverless permet d'appeler toutes les opérations d'OpenSearch API prises en charge (et non les opérations d'API de configuration) via le point de terminaison de l'interface.
-
Après avoir créé un point de terminaison d'interface pour OpenSearch Serverless, vous devez toujours l'inclure dans les politiques d'accès au réseau afin qu'il puisse accéder aux collections sans serveur.
-
Par défaut, l'accès complet à OpenSearch Serverless est autorisé via le point de terminaison de l'interface. Vous pouvez associer un groupe de sécurité aux interfaces réseau du point de terminaison pour contrôler le trafic vers OpenSearch Serverless via le point de terminaison de l'interface.
-
Un seul Compte AWS peut avoir un maximum de 50 points de terminaison VPC OpenSearch sans serveur.
-
Si vous activez l'accès Internet public à l'API ou aux tableaux de bord de votre collection dans le cadre d'une politique réseau, votre collection est accessible par n'importe quel VPC et par Internet public.
-
Si vous êtes sur site et en dehors du VPC, vous ne pouvez pas utiliser directement un résolveur DNS pour la résolution des points de terminaison du VPC OpenSearch sans serveur. Si vous avez besoin d'un accès VPN, le VPC a besoin d'un résolveur de proxy DNS que les clients externes peuvent utiliser. Route 53 fournit une option de point de terminaison entrant que vous pouvez utiliser pour résoudre les requêtes DNS adressées à votre VPC à partir de votre réseau local ou d'un autre VPC.
-
La zone hébergée privée que OpenSearch Serverless crée et attache au VPC est gérée par le service, mais elle apparaît dans Amazon Route 53 vos ressources et est facturée sur votre compte.
-
Pour d'autres considérations, veuillez consulter les Considérations dans le Guide AWS PrivateLink .
Autorisations nécessaires
L'accès VPC pour OpenSearch Serverless utilise les autorisations AWS Identity and Access Management (IAM) suivantes. Vous pouvez spécifier des conditions IAM pour restreindre les utilisateurs à des collections spécifiques.
-
aoss:CreateVpcEndpoint: créer un point de terminaison d'un VPC. -
aoss:ListVpcEndpoints: répertorier tous les points de terminaison d'un VPC. -
aoss:BatchGetVpcEndpoint: consulter les détails d'un sous-ensemble de points de terminaison d'un VPC. -
aoss:UpdateVpcEndpoint: modifier un point de terminaison d'un VPC. -
aoss:DeleteVpcEndpoint: supprimer un point de terminaison d'un VPC.
En outre, vous devez disposer des autorisations Amazon EC2 et Route 53 suivantes pour créer un point de terminaison d'un VPC.
-
ec2:CreateTags -
ec2:CreateVpcEndpoint -
ec2:DeleteVpcEndPoints -
ec2:DescribeSecurityGroups -
ec2:DescribeSubnets -
ec2:DescribeVpcEndpoints -
ec2:DescribeVpcs -
ec2:ModifyVpcEndPoint -
route53:AssociateVPCWithHostedZone -
route53:ChangeResourceRecordSets -
route53:CreateHostedZone -
route53:DeleteHostedZone -
route53:GetChange -
route53:GetHostedZone -
route53:ListHostedZonesByName -
route53:ListHostedZonesByVPC -
route53:ListResourceRecordSets
Création d'un point de terminaison d'interface pour OpenSearch Serverless
Vous pouvez créer un point de terminaison d'interface pour OpenSearch Serverless à l'aide de la console ou de l'API OpenSearch Serverless.
Pour créer un point de terminaison d'interface pour une OpenSearch collection sans serveur
-
Ouvrez la console Amazon OpenSearch Service à l'adresse https://console.aws.amazon.com/aos/home
. -
Dans le panneau de navigation de gauche, développez Serverless (Sans serveur) et choisissez VPC endpoints (Points de terminaison d'un VPC).
-
Choisissez Create VPC endpoint (Créer un point de terminaison d'un VPC).
-
Saisissez un nom pour le point de terminaison.
-
Pour le VPC, sélectionnez le VPC à partir duquel vous allez accéder sans serveur. OpenSearch
-
Pour les sous-réseaux, sélectionnez un sous-réseau à partir duquel vous accéderez OpenSearch sans serveur.
-
L'adresse IP et le type DNS du point de terminaison sont basés sur le type de sous-réseau
-
Dualstack : si tous les sous-réseaux possèdent à la fois des plages d'adresses IPv4 et IPv6
-
IPv6 : si tous les sous-réseaux sont des sous-réseaux IPv6 uniquement
-
IPv4 : si tous les sous-réseaux ont des plages d'adresses IPv4
-
-
-
Pour Security groups (Groupes de sécurité), sélectionnez les groupes de sécurité à associer aux interfaces réseau du point de terminaison. Il s'agit d'une étape essentielle dans le cadre de laquelle vous devez limiter les ports, les protocoles et les sources de trafic entrant que vous autorisez dans votre point de terminaison. Assurez-vous que les règles du groupe de sécurité autorisent les ressources qui utiliseront le point de terminaison VPC pour communiquer avec OpenSearch Serverless à communiquer avec l'interface réseau du point de terminaison.
-
Choisissez Créer un point de terminaison.
Pour créer un point de terminaison VPC à l'aide de l'API OpenSearch Serverless, utilisez la commande. CreateVpcEndpoint
Note
Après avoir créé un point de terminaison, prenez note de son ID (par exemple, vpce-050f79086ee71ac05). Afin de fournir au point de terminaison un accès à vos collections, vous devez inclure cet ID dans une ou plusieurs stratégies d'accès réseau.
Étape suivante : octroyer au point de terminaison l'accès à une collection
Après avoir créé un point de terminaison d'interface, vous devez lui donner accès aux collections par le biais de stratégies d'accès réseau. Pour plus d'informations, voir Accès au réseau pour Amazon OpenSearch Serverless.
