Akses jaringan untuk Amazon Tanpa OpenSearch Server

Pengaturan jaringan untuk koleksi Amazon OpenSearch Tanpa Server menentukan apakah koleksi dapat diakses melalui internet dari jaringan publik, atau apakah harus diakses secara pribadi.

Akses pribadi dapat berlaku untuk salah satu atau kedua hal berikut:

• OpenSearch Titik akhir VPC yang dikelola tanpa server

• Didukung Layanan AWS seperti Amazon Bedrock

Anda dapat mengonfigurasi akses jaringan secara terpisah untuk OpenSearchtitik akhir koleksi dan titik akhir OpenSearch Dasbor yang sesuai.

Akses jaringan adalah mekanisme isolasi untuk memungkinkan akses dari jaringan sumber yang berbeda. Misalnya, jika titik akhir OpenSearch Dasbor koleksi dapat diakses publik tetapi titik akhir OpenSearch API tidak, pengguna dapat mengakses data pengumpulan hanya melalui Dasbor saat menghubungkan dari jaringan publik. Jika mereka mencoba memanggil OpenSearch API langsung dari jaringan publik, mereka akan diblokir. Pengaturan jaringan dapat digunakan untuk permutasi sumber ke jenis sumber daya. Amazon OpenSearch Serverless mendukung konektivitas IPv4 dan IPv6.

Kebijakan jaringan

Kebijakan jaringan memungkinkan Anda mengelola banyak koleksi dalam skala besar dengan secara otomatis menetapkan setelan akses jaringan ke koleksi yang cocok dengan aturan yang ditentukan dalam kebijakan.

Dalam kebijakan jaringan, Anda menentukan serangkaian aturan. Aturan ini menentukan izin akses ke titik akhir koleksi dan titik akhir OpenSearch Dasbor. Setiap aturan terdiri dari jenis akses (publik atau pribadi) dan jenis sumber daya (koleksi dan/atau titik akhir OpenSearch Dasbor). Untuk setiap jenis sumber daya (collectiondandashboard), Anda menentukan serangkaian aturan yang menentukan koleksi mana kebijakan akan diterapkan.

Dalam kebijakan contoh ini, aturan pertama menentukan akses titik akhir VPC ke titik akhir koleksi dan titik akhir Dasbor untuk semua koleksi yang dimulai dengan istilah. marketing* Ini juga menentukan akses Amazon Bedrock.

catatan

Akses pribadi ke Layanan AWS seperti Amazon Bedrock hanya berlaku untuk titik akhir koleksi, bukan ke OpenSearch titik akhir OpenSearch Dasbor. Bahkan jika ResourceType adadashboard, Layanan AWS tidak dapat diberikan akses ke OpenSearch Dasbor.

Aturan kedua menentukan akses publik ke finance koleksi, tetapi hanya untuk titik akhir koleksi (tidak ada akses Dasbor).

[
   {
      "Description":"Marketing access",
      "Rules":[
         {
            "ResourceType":"collection",
            "Resource":[
               "collection/marketing*"
            ]
         },
         {
            "ResourceType":"dashboard",
            "Resource":[
               "collection/marketing*"
            ]
         }
      ],
      "AllowFromPublic":false,
      "SourceVPCEs":[
         "vpce-050f79086ee71ac05"
      ],
      "SourceServices":[
         "bedrock.amazonaws.com"
      ],
   },
   {
      "Description":"Sales access",
      "Rules":[
         {
            "ResourceType":"collection",
            "Resource":[
               "collection/finance"
            ]
         }
      ],
      "AllowFromPublic":true
   }
]

Kebijakan ini menyediakan akses publik hanya ke OpenSearch Dasbor untuk koleksi yang dimulai dengan “keuangan”. Setiap upaya untuk mengakses OpenSearch API secara langsung akan gagal.

[
  {
    "Description": "Dashboards access",
    "Rules": [
      {
        "ResourceType": "dashboard",
        "Resource": [
          "collection/finance*"
        ]
      }
    ],
    "AllowFromPublic": true
  }
]

Kebijakan jaringan dapat berlaku untuk koleksi yang ada serta koleksi masa depan. Misalnya, Anda dapat membuat koleksi dan kemudian membuat kebijakan jaringan dengan aturan yang cocok dengan nama koleksi. Anda tidak perlu membuat kebijakan jaringan sebelum membuat koleksi.

Pertimbangan

Pertimbangkan hal berikut saat Anda mengonfigurasi akses jaringan untuk koleksi Anda:

• Jika Anda berencana untuk mengonfigurasi akses titik akhir VPC untuk koleksi, Anda harus terlebih dahulu membuat setidaknya satu titik akhir VPC yang dikelola Tanpa ServerOpenSearch .

• Akses pribadi Layanan AWS hanya berlaku untuk OpenSearch titik akhir koleksi, bukan ke titik akhir OpenSearch Dasbor. Bahkan jika ResourceType adadashboard, Layanan AWS tidak dapat diberikan akses ke OpenSearch Dasbor.

• Jika koleksi dapat diakses dari jaringan publik, koleksi ini juga dapat diakses dari semua titik akhir VPC yang OpenSearch dikelola tanpa server dan semuanya. Layanan AWS

• Beberapa kebijakan jaringan dapat berlaku untuk satu koleksi. Untuk informasi selengkapnya, lihat Prioritas kebijakan.

Izin diperlukan untuk mengonfigurasi kebijakan jaringan

Akses jaringan untuk OpenSearch Tanpa Server menggunakan izin AWS Identity and Access Management (IAM) berikut. Anda dapat menentukan kondisi IAM untuk membatasi pengguna pada kebijakan jaringan yang terkait dengan koleksi tertentu.

• aoss:CreateSecurityPolicy— Buat kebijakan akses jaringan.

• aoss:ListSecurityPolicies— Buat daftar semua kebijakan jaringan di akun saat ini.

• aoss:GetSecurityPolicy— Lihat spesifikasi kebijakan akses jaringan.

• aoss:UpdateSecurityPolicy— Ubah kebijakan akses jaringan tertentu, dan ubah ID VPC atau penunjukan akses publik.

• aoss:DeleteSecurityPolicy— Hapus kebijakan akses jaringan (setelah terlepas dari semua koleksi).

Kebijakan akses berbasis identitas berikut memungkinkan pengguna untuk melihat semua kebijakan jaringan, dan memperbarui kebijakan dengan pola sumber daya: collection/application-logs

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aoss:UpdateSecurityPolicy"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aoss:collection": "application-logs"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "aoss:ListSecurityPolicies",
                "aoss:GetSecurityPolicy"
            ],
            "Resource": "*"
        }
    ]
}

catatan

Selain itu, OpenSearch Tanpa Server memerlukan aoss:DashboardsAccessAll izin aoss:APIAccessAll dan untuk sumber daya pengumpulan. Untuk informasi selengkapnya, lihat Menggunakan operasi OpenSearch API.

Prioritas kebijakan

Mungkin ada situasi di mana aturan kebijakan jaringan tumpang tindih, di dalam atau di seluruh kebijakan. Ketika ini terjadi, aturan yang menentukan akses publik mengesampingkan aturan yang menentukan akses pribadi untuk koleksi apa pun yang umum untuk kedua aturan tersebut.

Misalnya, dalam kebijakan berikut, kedua aturan menetapkan akses jaringan ke finance koleksi, tetapi satu aturan menentukan akses VPC sementara yang lain menentukan akses publik. Dalam situasi ini, akses publik mengesampingkan akses VPC hanya untuk pengumpulan keuangan (karena ada di kedua aturan), sehingga pengumpulan keuangan akan dapat diakses dari jaringan publik. Koleksi penjualan akan memiliki akses VPC dari titik akhir yang ditentukan.

[
   {
      "Description":"Rule 1",
      "Rules":[
         {
            "ResourceType":"collection",
            "Resource":[
               "collection/sales",
               "collection/finance"
            ]
         }
      ],
      "AllowFromPublic":false,
      "SourceVPCEs":[
         "vpce-050f79086ee71ac05"
      ]
   },
   {
      "Description":"Rule 2",
      "Rules":[
         {
            "ResourceType":"collection",
            "Resource":[
               "collection/finance"
            ]
         }
      ],
      "AllowFromPublic":true
   }
]

Jika beberapa titik akhir VPC dari aturan yang berbeda berlaku untuk koleksi, aturan bersifat aditif dan koleksi akan dapat diakses dari semua titik akhir yang ditentukan. Jika Anda menyetel AllowFromPublic ke true tetapi juga menyediakan satu atau lebih SourceVPCEs atauSourceServices, OpenSearch Tanpa Server mengabaikan titik akhir VPC dan pengidentifikasi layanan, dan koleksi terkait akan memiliki akses publik.

Membuat kebijakan jaringan (konsol)

Kebijakan jaringan dapat berlaku untuk kebijakan yang ada serta kebijakan future. Kami menyarankan Anda membuat kebijakan jaringan sebelum mulai membuat koleksi.

Untuk membuat kebijakan OpenSearch jaringan Tanpa Server

1. Buka konsol OpenSearch Layanan Amazon di https://console.aws.amazon.com/aos/home.

2. Di panel navigasi kiri, perluas Tanpa Server dan pilih Kebijakan jaringan.

3. Pilih Buat kebijakan jaringan.

4. Berikan nama dan deskripsi untuk kebijakan tersebut.

5. Berikan satu atau lebih aturan. Aturan ini menentukan izin akses untuk koleksi OpenSearch Tanpa Server dan titik akhir Dasbornya OpenSearch .

   Setiap aturan berisi elemen-elemen berikut:

   Elemen	Deskripsi
   Nama aturan	Nama yang menggambarkan isi aturan. Misalnya, “Akses VPC untuk tim pemasaran”.
   Jenis akses	Pilih akses publik atau pribadi. Kemudian, pilih salah satu atau kedua hal berikut: Titik akhir VPC untuk akses — Tentukan satu atau beberapa titik akhir VPC yang dikelola Tanpa Server — titik akhir OpenSearch VPC yang dikelola. Layanan AWS akses pribadi — Pilih satu atau lebih yang didukung Layanan AWS.
   Jenis sumber daya	Pilih apakah akan menyediakan akses ke OpenSearch titik akhir (yang memungkinkan melakukan panggilan ke OpenSearch API), ke OpenSearch Dasbor (yang memungkinkan akses ke visualisasi dan antarmuka pengguna untuk OpenSearch plugin), atau keduanya. catatan Layanan AWS akses pribadi hanya berlaku untuk OpenSearch titik akhir koleksi, bukan ke titik akhir OpenSearch Dasbor. Bahkan jika Anda memilih OpenSearch Dasbor, hanya Layanan AWS dapat diberikan akses endpoint.

   Untuk setiap jenis sumber daya yang Anda pilih, Anda dapat memilih koleksi yang ada untuk menerapkan pengaturan kebijakan, dan/atau membuat satu atau beberapa pola sumber daya. Pola sumber daya terdiri dari awalan dan wildcard (*), dan menentukan koleksi mana yang akan diterapkan setelan kebijakan.

   Misalnya, jika Anda menyertakan pola yang disebutMarketing*, koleksi baru atau yang sudah ada yang namanya dimulai dengan “Pemasaran” akan memiliki pengaturan jaringan dalam kebijakan ini secara otomatis diterapkan padanya. Satu wildcard (*) menerapkan kebijakan untuk semua koleksi saat ini dan yang akan datang.

   Selain itu, Anda dapat menentukan nama koleksi future tanpa wildcard, sepertiFinance. OpenSearch Tanpa server akan menerapkan setelan kebijakan ke koleksi yang baru dibuat dengan nama persis tersebut.

6. Jika Anda puas dengan konfigurasi kebijakan, pilih Buat.

Membuat kebijakan jaringan (AWS CLI)

Untuk membuat kebijakan jaringan menggunakan operasi API OpenSearch Tanpa Server, Anda menentukan aturan dalam format JSON. CreateSecurityPolicyPermintaan menerima kebijakan sebaris dan file.json. Semua koleksi dan pola harus berbentukcollection/<collection name|pattern>.

catatan

Jenis sumber daya dashboards hanya mengizinkan izin ke OpenSearch Dasbor, tetapi agar OpenSearch Dasbor berfungsi, Anda juga harus mengizinkan akses koleksi dari sumber yang sama. Lihat kebijakan kedua di bawah ini untuk contoh.

Untuk menentukan akses pribadi, sertakan salah satu atau kedua elemen berikut:

• SourceVPCEs— Tentukan satu atau lebih titik akhir VPC yang OpenSearch dikelola tanpa server.

• SourceServices— Tentukan pengenal satu atau lebih yang didukung Layanan AWS. Saat ini, pengidentifikasi layanan berikut didukung:

  • bedrock.amazonaws.com— Batuan Dasar Amazon

Contoh kebijakan jaringan berikut menyediakan akses pribadi, ke titik akhir VPC dan Amazon Bedrock, ke titik akhir pengumpulan hanya untuk koleksi yang dimulai dengan awalan. log* Pengguna yang diautentikasi tidak dapat masuk ke OpenSearch Dasbor; mereka hanya dapat mengakses titik akhir koleksi secara terprogram.

[
   {
      "Description":"Private access for log collections",
      "Rules":[
         {
            "ResourceType":"collection",
            "Resource":[
               "collection/log*"
            ]
         }
      ],
      "AllowFromPublic":false,
      "SourceVPCEs":[
         "vpce-050f79086ee71ac05"
      ],
      "SourceServices":[
         "bedrock.amazonaws.com"
      ],
   }
]

Kebijakan berikut menyediakan akses publik ke OpenSearch titik akhir dan OpenSearch Dasbor untuk satu koleksi bernama. finance Jika koleksi tidak ada, pengaturan jaringan akan diterapkan ke koleksi jika dan ketika itu dibuat.

[
   {
      "Description":"Public access for finance collection",
      "Rules":[
         {
            "ResourceType":"dashboard",
            "Resource":[
               "collection/finance"
            ]
         },
         {
            "ResourceType":"collection",
            "Resource":[
               "collection/finance"
            ]
         }
      ],
      "AllowFromPublic":true
   }
]

Permintaan berikut membuat kebijakan jaringan di atas:

aws opensearchserverless create-security-policy \
    --name sales-inventory \
    --type network \
    --policy "[{\"Description\":\"Public access for finance collection\",\"Rules\":[{\"ResourceType\":\"dashboard\",\"Resource\":[\"collection\/finance\"]},{\"ResourceType\":\"collection\",\"Resource\":[\"collection\/finance\"]}],\"AllowFromPublic\":true}]"

Untuk menyediakan kebijakan dalam file JSON, gunakan format --policy file://my-policy.json

Melihat kebijakan jaringan

Sebelum membuat koleksi, Anda mungkin ingin melihat pratinjau kebijakan jaringan yang ada di akun Anda untuk melihat mana yang memiliki pola sumber daya yang cocok dengan nama koleksi Anda. ListSecurityPoliciesPermintaan berikut mencantumkan semua kebijakan jaringan di akun Anda:

aws opensearchserverless list-security-policies --type network

Permintaan mengembalikan informasi tentang semua kebijakan jaringan yang dikonfigurasi. Untuk melihat aturan pola yang ditentukan dalam satu kebijakan tertentu, cari informasi kebijakan dalam konten securityPolicySummaries elemen dalam respons. Perhatikan name dan type kebijakan ini dan gunakan properti ini dalam GetSecurityPolicypermintaan untuk menerima tanggapan dengan rincian kebijakan berikut:

{
    "securityPolicyDetail": [
        {
            "type": "network",
            "name": "my-policy",
            "policyVersion": "MTY2MzY5MTY1MDA3Ml8x",
            "policy": "[{\"Description\":\"My network policy rule\",\"Rules\":[{\"ResourceType\":\"dashboard\",\"Resource\":[\"collection/*\"]}],\"AllowFromPublic\":true}]",
            "createdDate": 1663691650072,
            "lastModifiedDate": 1663691650072
        }
    ]
}

Untuk melihat informasi terperinci tentang kebijakan tertentu, gunakan GetSecurityPolicyperintah.

Memperbarui kebijakan jaringan

Saat Anda memodifikasi titik akhir VPC atau penunjukan akses publik untuk jaringan, semua koleksi terkait akan terpengaruh. Untuk memperbarui kebijakan jaringan di konsol OpenSearch Tanpa Server, perluas Kebijakan jaringan, pilih kebijakan yang akan diubah, dan pilih Edit. Buat perubahan dan pilih Simpan.

Untuk memperbarui kebijakan jaringan menggunakan API OpenSearch Tanpa Server, gunakan perintah. UpdateSecurityPolicy Anda harus menyertakan versi kebijakan dalam permintaan. Anda dapat mengambil versi kebijakan dengan menggunakan GetSecurityPolicy perintah ListSecurityPolicies atau. Menyertakan versi kebijakan terbaru memastikan bahwa Anda tidak secara tidak sengaja mengesampingkan perubahan yang dilakukan oleh orang lain.

Permintaan berikut memperbarui kebijakan jaringan dengan dokumen JSON kebijakan baru:

aws opensearchserverless update-security-policy \
    --name sales-inventory \
    --type network \
    --policy-version MTY2MzY5MTY1MDA3Ml8x \
    --policy file://my-new-policy.json

Menghapus kebijakan jaringan

Sebelum Anda dapat menghapus kebijakan jaringan, Anda harus melepaskannya dari semua koleksi. Untuk menghapus kebijakan di konsol OpenSearch Tanpa Server, pilih kebijakan dan pilih Hapus.

Anda juga dapat menggunakan DeleteSecurityPolicyperintah:

aws opensearchserverless delete-security-policy --name my-policy --type network