Tutorial: Memulai keamanan di Amazon OpenSearch Tanpa Server (konsol) - OpenSearch Layanan Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tutorial: Memulai keamanan di Amazon OpenSearch Tanpa Server (konsol)

Tutorial ini memandu Anda melalui langkah-langkah dasar untuk membuat dan mengelola kebijakan keamanan menggunakan konsol Amazon OpenSearch Tanpa Server.

Anda akan menyelesaikan langkah-langkah berikut dalam tutorial ini:

Tutorial ini memandu Anda melalui pengaturan koleksi menggunakanAWS Management Console. Untuk langkah yang sama menggunakanAWS CLI, lihatTutorial: Memulai keamanan di Amazon OpenSearch Tanpa Server (CLI).

Langkah 1: Konfigurasikan izin

catatan

Anda dapat melewati langkah ini jika Anda sudah menggunakan kebijakan berbasis identitas yang lebih luas, seperti atau. Action":"aoss:*" Action":"*" Namun, di lingkungan produksi, kami menyarankan Anda mengikuti prinsip hak istimewa paling sedikit dan hanya menetapkan izin minimum yang diperlukan untuk menyelesaikan tugas.

Untuk menyelesaikan tutorial ini, Anda harus memiliki izin IAM yang benar. Pengguna atau peran Anda harus memiliki kebijakan berbasis identitas terlampir dengan izin minimum berikut:

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "aoss:ListCollections", "aoss:BatchGetCollection", "aoss:CreateCollection", "aoss:CreateSecurityPolicy", "aoss:GetSecurityPolicy", "aoss:ListSecurityPolicies", "aoss:CreateAccessPolicy", "aoss:GetAccessPolicy", "aoss:ListAccessPolicies" ], "Effect": "Allow", "Resource": "*" } ] }

Untuk daftar lengkap izin OpenSearch Tanpa Server, lihat. Identity and Access Management untuk Amazon OpenSearch Serverless

Langkah 2: Buat kebijakan enkripsi

Kebijakan enkripsi menentukan AWS KMS kunci yang akan digunakan OpenSearch Tanpa Server untuk mengenkripsi koleksi. Anda dapat mengenkripsi koleksi dengan Kunci yang dikelola AWS atau kunci yang berbeda. Untuk kesederhanaan dalam tutorial ini, kita akan mengenkripsi koleksi kita dengan fileKunci yang dikelola AWS.

Untuk membuat kebijakan enkripsi
  1. Buka konsol OpenSearch Layanan Amazon di https://console.aws.amazon.com/aos/home.

  2. Perluas Tanpa Server di panel navigasi kiri dan pilih Kebijakan enkripsi.

  3. Pilih Buat kebijakan enkripsi.

  4. Beri nama kebijakan buku-buku kebijakan. Untuk deskripsi, masukkan Kebijakan enkripsi untuk koleksi buku.

  5. Di bawah Sumber Daya, masukkan buku, yang akan Anda beri nama koleksi Anda. Jika Anda ingin lebih luas, Anda dapat menyertakan tanda bintang (books*) untuk membuat kebijakan berlaku untuk semua koleksi yang dimulai dengan kata “buku”.

  6. Untuk Enkripsi, tetap pilih Gunakan kunci yang AWS dimiliki.

  7. Pilih Buat.

Langkah 3: Buat kebijakan jaringan

Kebijakan jaringan menentukan apakah koleksi Anda dapat diakses melalui internet dari jaringan publik, atau apakah harus diakses melalui titik akhir VPC yang OpenSearch dikelola Tanpa Server. Dalam tutorial ini, kita akan mengkonfigurasi akses publik.

Untuk membuat kebijakan jaringan
  1. Pilih Kebijakan jaringan di panel navigasi kiri dan pilih Buat kebijakan jaringan.

  2. Beri nama kebijakan buku-buku kebijakan. Untuk deskripsi, masukkan Kebijakan jaringan untuk koleksi buku.

  3. Di bawah Aturan 1, beri nama aturan Akses publik untuk koleksi buku.

  4. Untuk kesederhanaan dalam tutorial ini, kita akan mengkonfigurasi akses publik untuk koleksi buku. Untuk jenis akses, pilih Publik.

  5. Kita akan mengakses koleksi dari OpenSearch Dashboards. Untuk melakukan ini, Anda perlu mengonfigurasi akses jaringan untuk Dasbor dan OpenSearch titik akhir, jika tidak Dasbor tidak akan berfungsi.

    Untuk jenis sumber daya, aktifkan Access to OpenSearch endpoint dan Access to OpenSearch Dashboards.

  6. Di kedua kotak input, masukkan Nama Koleksi = buku. Pengaturan ini mencakup kebijakan sehingga hanya berlaku untuk satu koleksi (books). Aturan Anda akan terlihat seperti ini:

  7. Pilih Buat.

Langkah 4: Buat kebijakan akses data

Data pengumpulan Anda tidak akan dapat diakses sampai Anda mengonfigurasi akses data. Kebijakan akses data terpisah dari kebijakan berbasis identitas IAM yang Anda konfigurasikan pada langkah 1. Mereka memungkinkan pengguna untuk mengakses data aktual dalam koleksi.

Dalam tutorial ini, kami akan memberikan satu pengguna izin yang diperlukan untuk mengindeks data ke dalam koleksi buku.

Untuk membuat kebijakan akses data
  1. Pilih Kebijakan akses data di panel navigasi kiri dan pilih Buat kebijakan akses.

  2. Beri nama kebijakan buku-buku kebijakan. Untuk deskripsi, masukkan Kebijakan akses data untuk koleksi buku.

  3. Pilih JSON untuk metode definisi kebijakan dan tempel kebijakan berikut di editor JSON.

    Ganti ARN utama dengan ARN akun yang akan Anda gunakan untuk masuk ke OpenSearch Dasbor dan mengindeks data.

    [ { "Rules":[ { "ResourceType":"index", "Resource":[ "index/books/*" ], "Permission":[ "aoss:CreateIndex", "aoss:DescribeIndex", "aoss:ReadDocument", "aoss:WriteDocument", "aoss:UpdateIndex", "aoss:DeleteIndex" ] } ], "Principal":[ "arn:aws:iam::123456789012:user/my-user" ] } ]

    Kebijakan ini memberi satu pengguna izin minimum yang diperlukan untuk membuat indeks dalam koleksi buku, mengindeks beberapa data, dan mencarinya.

  4. Pilih Buat.

Langkah 5: Buat koleksi

Sekarang setelah Anda mengonfigurasi enkripsi dan kebijakan jaringan, Anda dapat membuat koleksi yang cocok dan pengaturan keamanan akan diterapkan secara otomatis padanya.

Untuk membuat koleksi OpenSearch Tanpa Server
  1. Pilih Koleksi di panel navigasi kiri dan pilih Buat koleksi.

  2. Beri nama buku koleksi.

  3. Untuk jenis koleksi, pilih Cari.

  4. Di bawah Enkripsi, OpenSearch Tanpa Server memberi tahu Anda bahwa nama koleksi cocok dengan kebijakan enkripsi. books-policy

  5. Di bawah Pengaturan akses jaringan, OpenSearch Tanpa Server memberi tahu Anda bahwa nama koleksi cocok dengan kebijakan jaringan. books-policy

  6. Pilih Berikutnya.

  7. Di bawah opsi kebijakan akses data, OpenSearch Tanpa Server memberi tahu Anda bahwa nama koleksi cocok dengan kebijakan akses books-policy data.

  8. Pilih Berikutnya.

  9. Tinjau konfigurasi koleksi dan pilih Kirim. Koleksi biasanya membutuhkan waktu kurang dari satu menit untuk diinisialisasi.

Langkah 6: Unggah dan cari data

Anda dapat mengunggah data ke koleksi OpenSearch Tanpa Server menggunakan Postman atau curl. Untuk singkatnya, contoh-contoh ini menggunakan Dev Tools dalam konsol OpenSearch Dashboards.

Untuk mengindeks dan mencari data dalam koleksi
  1. Pilih Koleksi di panel navigasi kiri dan pilih koleksi buku untuk membuka halaman detailnya.

  2. Pilih URL OpenSearch Dasbor untuk koleksi. URL mengambil formathttps://collection-id.us-east-1.aoss.amazonaws.com/_dashboards.

  3. Masuk ke OpenSearch Dasbor menggunakan AWSakses dan kunci rahasia untuk prinsipal yang Anda tentukan dalam kebijakan akses data Anda.

  4. Di dalam OpenSearch Dashboards, buka menu navigasi kiri dan pilih Dev Tools.

  5. Untuk membuat indeks tunggal yang disebut books-index, jalankan perintah berikut:

    PUT books-index
  6. Untuk mengindeks satu dokumen ke books-index, jalankan perintah berikut:

    PUT books-index/_doc/1 { "title": "The Shining", "author": "Stephen King", "year": 1977 }
  7. Untuk mencari data di OpenSearch Dasbor, Anda perlu mengonfigurasi setidaknya satu pola indeks. OpenSearch menggunakan pola-pola ini untuk mengidentifikasi indeks mana yang ingin Anda analisis. Buka menu utama Dashboards, pilih Stack Management, pilih Index Patterns, dan kemudian pilih Create index pattern. Untuk tutorial ini, masukkan books-index.

  8. Pilih Langkah selanjutnya dan kemudian pilih Buat pola indeks. Setelah pola dibuat, Anda dapat melihat berbagai bidang dokumen seperti author dan title.

  9. Untuk mulai mencari data Anda, buka menu utama lagi dan pilih Discover, atau gunakan API pencarian.