Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Akses jaringan untuk Amazon Tanpa OpenSearch Server
Pengaturan jaringan untuk koleksi Amazon OpenSearch Tanpa Server menentukan apakah koleksi dapat diakses melalui internet dari jaringan publik, atau apakah harus diakses secara pribadi.
Akses pribadi dapat berlaku untuk salah satu atau kedua hal berikut:
-
OpenSearch Titik akhir VPC yang dikelola tanpa server
-
Didukung Layanan AWS seperti Amazon Bedrock
Anda dapat mengonfigurasi akses jaringan secara terpisah untuk OpenSearchtitik akhir koleksi dan titik akhir OpenSearch Dasbor yang sesuai.
Akses jaringan adalah mekanisme isolasi untuk memungkinkan akses dari jaringan sumber yang berbeda. Misalnya, jika titik akhir OpenSearch Dasbor koleksi dapat diakses publik tetapi titik akhir OpenSearch API tidak, pengguna dapat mengakses data pengumpulan hanya melalui Dasbor saat menghubungkan dari jaringan publik. Jika mereka mencoba memanggil OpenSearch API langsung dari jaringan publik, mereka akan diblokir. Pengaturan jaringan dapat digunakan untuk permutasi sumber ke jenis sumber daya. Amazon OpenSearch Serverless mendukung konektivitas IPv4 dan IPv6.
Topik
Kebijakan jaringan
Kebijakan jaringan memungkinkan Anda mengelola banyak koleksi dalam skala besar dengan secara otomatis menetapkan setelan akses jaringan ke koleksi yang cocok dengan aturan yang ditentukan dalam kebijakan.
Dalam kebijakan jaringan, Anda menentukan serangkaian aturan. Aturan ini menentukan izin akses ke titik akhir koleksi dan titik akhir OpenSearch Dasbor. Setiap aturan terdiri dari jenis akses (publik atau pribadi) dan jenis sumber daya (koleksi dan/atau titik akhir OpenSearch Dasbor). Untuk setiap jenis sumber daya (collection
dandashboard
), Anda menentukan serangkaian aturan yang menentukan koleksi mana kebijakan akan diterapkan.
Dalam kebijakan contoh ini, aturan pertama menentukan akses titik akhir VPC ke titik akhir koleksi dan titik akhir Dasbor untuk semua koleksi yang dimulai dengan istilah. marketing*
Ini juga menentukan akses Amazon Bedrock.
catatan
Akses pribadi ke Layanan AWS seperti Amazon Bedrock hanya berlaku untuk titik akhir koleksi, bukan ke OpenSearch titik akhir OpenSearch Dasbor. Bahkan jika ResourceType
adadashboard
, Layanan AWS tidak dapat diberikan akses ke OpenSearch Dasbor.
Aturan kedua menentukan akses publik ke finance
koleksi, tetapi hanya untuk titik akhir koleksi (tidak ada akses Dasbor).
[ { "Description":"Marketing access", "Rules":[ { "ResourceType":"collection", "Resource":[ "collection/
marketing*
" ] }, { "ResourceType":"dashboard", "Resource":[ "collection/marketing*
" ] } ], "AllowFromPublic":false, "SourceVPCEs":[ "vpce-050f79086ee71ac05
" ], "SourceServices":[ "bedrock.amazonaws.com" ], }, { "Description":"Sales access", "Rules":[ { "ResourceType":"collection", "Resource":[ "collection/finance
" ] } ], "AllowFromPublic":true } ]
Kebijakan ini menyediakan akses publik hanya ke OpenSearch Dasbor untuk koleksi yang dimulai dengan “keuangan”. Setiap upaya untuk mengakses OpenSearch API secara langsung akan gagal.
[ { "Description": "Dashboards access", "Rules": [ { "ResourceType": "dashboard", "Resource": [ "collection/
finance*
" ] } ], "AllowFromPublic": true } ]
Kebijakan jaringan dapat berlaku untuk koleksi yang ada serta koleksi masa depan. Misalnya, Anda dapat membuat koleksi dan kemudian membuat kebijakan jaringan dengan aturan yang cocok dengan nama koleksi. Anda tidak perlu membuat kebijakan jaringan sebelum membuat koleksi.
Pertimbangan
Pertimbangkan hal berikut saat Anda mengonfigurasi akses jaringan untuk koleksi Anda:
-
Akses pribadi Layanan AWS hanya berlaku untuk OpenSearch titik akhir koleksi, bukan ke titik akhir OpenSearch Dasbor. Bahkan jika
ResourceType
adadashboard
, Layanan AWS tidak dapat diberikan akses ke OpenSearch Dasbor. -
Jika koleksi dapat diakses dari jaringan publik, koleksi ini juga dapat diakses dari semua titik akhir VPC yang OpenSearch dikelola tanpa server dan semuanya. Layanan AWS
-
Beberapa kebijakan jaringan dapat berlaku untuk satu koleksi. Untuk informasi selengkapnya, lihat Prioritas kebijakan.
Izin diperlukan untuk mengonfigurasi kebijakan jaringan
Akses jaringan untuk OpenSearch Tanpa Server menggunakan izin AWS Identity and Access Management (IAM) berikut. Anda dapat menentukan kondisi IAM untuk membatasi pengguna pada kebijakan jaringan yang terkait dengan koleksi tertentu.
-
aoss:CreateSecurityPolicy
— Buat kebijakan akses jaringan. -
aoss:ListSecurityPolicies
— Buat daftar semua kebijakan jaringan di akun saat ini. -
aoss:GetSecurityPolicy
— Lihat spesifikasi kebijakan akses jaringan. -
aoss:UpdateSecurityPolicy
— Ubah kebijakan akses jaringan tertentu, dan ubah ID VPC atau penunjukan akses publik. -
aoss:DeleteSecurityPolicy
— Hapus kebijakan akses jaringan (setelah terlepas dari semua koleksi).
Kebijakan akses berbasis identitas berikut memungkinkan pengguna untuk melihat semua kebijakan jaringan, dan memperbarui kebijakan dengan pola sumber daya: collection/application-logs
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aoss:UpdateSecurityPolicy" ], "Resource": "*", "Condition": { "StringEquals": { "aoss:collection": "
application-logs
" } } }, { "Effect": "Allow", "Action": [ "aoss:ListSecurityPolicies", "aoss:GetSecurityPolicy" ], "Resource": "*" } ] }
catatan
Selain itu, OpenSearch Tanpa Server memerlukan aoss:DashboardsAccessAll
izin aoss:APIAccessAll
dan untuk sumber daya pengumpulan. Untuk informasi selengkapnya, lihat Menggunakan OpenSearch API operasi.
Prioritas kebijakan
Mungkin ada situasi di mana aturan kebijakan jaringan tumpang tindih, di dalam atau di seluruh kebijakan. Ketika ini terjadi, aturan yang menentukan akses publik mengesampingkan aturan yang menentukan akses pribadi untuk koleksi apa pun yang umum untuk kedua aturan tersebut.
Misalnya, dalam kebijakan berikut, kedua aturan menetapkan akses jaringan ke finance
koleksi, tetapi satu aturan menentukan akses VPC sementara yang lain menentukan akses publik. Dalam situasi ini, akses publik mengesampingkan akses VPC hanya untuk pengumpulan keuangan (karena ada di kedua aturan), sehingga pengumpulan keuangan akan dapat diakses dari jaringan publik. Koleksi penjualan akan memiliki akses VPC dari titik akhir yang ditentukan.
[ { "Description":"Rule 1", "Rules":[ { "ResourceType":"collection", "Resource":[ "collection/
sales
", "collection/finance
" ] } ], "AllowFromPublic":false, "SourceVPCEs":[ "vpce-050f79086ee71ac05
" ] }, { "Description":"Rule 2", "Rules":[ { "ResourceType":"collection", "Resource":[ "collection/finance
" ] } ], "AllowFromPublic":true } ]
Jika beberapa titik akhir VPC dari aturan yang berbeda berlaku untuk koleksi, aturan bersifat aditif dan koleksi akan dapat diakses dari semua titik akhir yang ditentukan. Jika Anda menyetel AllowFromPublic
ke true
tetapi juga menyediakan satu atau lebih SourceVPCEs
atauSourceServices
, OpenSearch Tanpa Server mengabaikan titik akhir VPC dan pengidentifikasi layanan, dan koleksi terkait akan memiliki akses publik.
Membuat kebijakan jaringan (konsol)
Kebijakan jaringan dapat berlaku untuk kebijakan yang ada serta kebijakan future. Kami menyarankan Anda membuat kebijakan jaringan sebelum mulai membuat koleksi.
Untuk membuat kebijakan OpenSearch jaringan Tanpa Server
-
Buka konsol OpenSearch Layanan Amazon di https://console.aws.amazon.com/aos/home
. -
Di panel navigasi kiri, perluas Tanpa Server dan pilih Kebijakan jaringan.
-
Pilih Buat kebijakan jaringan.
-
Berikan nama dan deskripsi untuk kebijakan tersebut.
-
Berikan satu atau lebih aturan. Aturan ini menentukan izin akses untuk koleksi OpenSearch Tanpa Server dan titik akhir Dasbornya OpenSearch .
Setiap aturan berisi elemen-elemen berikut:
Elemen Deskripsi Nama aturan Nama yang menggambarkan isi aturan. Misalnya, “Akses VPC untuk tim pemasaran”. Jenis akses Pilih akses publik atau pribadi. Kemudian, pilih salah satu atau kedua hal berikut: -
Titik akhir VPC untuk akses — Tentukan satu atau beberapa titik akhir VPC yang dikelola Tanpa Server — titik akhir OpenSearch VPC yang dikelola.
-
Layanan AWS akses pribadi — Pilih satu atau lebih yang didukung Layanan AWS.
Jenis sumber daya Pilih apakah akan menyediakan akses ke OpenSearch titik akhir (yang memungkinkan melakukan panggilan ke OpenSearch API), ke OpenSearch Dasbor (yang memungkinkan akses ke visualisasi dan antarmuka pengguna untuk OpenSearch plugin), atau keduanya. catatan
Layanan AWS akses pribadi hanya berlaku untuk OpenSearch titik akhir koleksi, bukan ke titik akhir OpenSearch Dasbor. Bahkan jika Anda memilih OpenSearch Dasbor, hanya Layanan AWS dapat diberikan akses endpoint.
Untuk setiap jenis sumber daya yang Anda pilih, Anda dapat memilih koleksi yang ada untuk menerapkan pengaturan kebijakan, dan/atau membuat satu atau beberapa pola sumber daya. Pola sumber daya terdiri dari awalan dan wildcard (*), dan menentukan koleksi mana yang akan diterapkan setelan kebijakan.
Misalnya, jika Anda menyertakan pola yang disebut
Marketing*
, koleksi baru atau yang sudah ada yang namanya dimulai dengan “Pemasaran” akan memiliki pengaturan jaringan dalam kebijakan ini secara otomatis diterapkan padanya. Satu wildcard (*
) menerapkan kebijakan untuk semua koleksi saat ini dan yang akan datang.Selain itu, Anda dapat menentukan nama koleksi future tanpa wildcard, seperti
Finance
. OpenSearch Tanpa server akan menerapkan setelan kebijakan ke koleksi yang baru dibuat dengan nama persis tersebut. -
-
Jika Anda puas dengan konfigurasi kebijakan, pilih Buat.
Membuat kebijakan jaringan (AWS CLI)
Untuk membuat kebijakan jaringan menggunakan operasi API OpenSearch Tanpa Server, Anda menentukan aturan dalam format JSON. CreateSecurityPolicyPermintaan menerima kebijakan sebaris dan file.json. Semua koleksi dan pola harus berbentukcollection/<collection
name|pattern>
.
catatan
Jenis sumber daya dashboards
hanya mengizinkan izin ke OpenSearch Dasbor, tetapi agar OpenSearch Dasbor berfungsi, Anda juga harus mengizinkan akses koleksi dari sumber yang sama. Lihat kebijakan kedua di bawah ini untuk contoh.
Untuk menentukan akses pribadi, sertakan salah satu atau kedua elemen berikut:
-
SourceVPCEs
— Tentukan satu atau lebih titik akhir VPC yang OpenSearch dikelola tanpa server. -
SourceServices
— Tentukan pengenal satu atau lebih yang didukung Layanan AWS. Saat ini, pengidentifikasi layanan berikut didukung:-
bedrock.amazonaws.com
— Batuan Dasar Amazon
-
Contoh kebijakan jaringan berikut menyediakan akses pribadi, ke titik akhir VPC dan Amazon Bedrock, ke titik akhir pengumpulan hanya untuk koleksi yang dimulai dengan awalan. log*
Pengguna yang diautentikasi tidak dapat masuk ke OpenSearch Dasbor; mereka hanya dapat mengakses titik akhir koleksi secara terprogram.
[ { "Description":"Private access for log collections", "Rules":[ { "ResourceType":"collection", "Resource":[ "collection/
log*
" ] } ], "AllowFromPublic":false, "SourceVPCEs":[ "vpce-050f79086ee71ac05
" ], "SourceServices":[ "bedrock.amazonaws.com" ], } ]
Kebijakan berikut menyediakan akses publik ke OpenSearch titik akhir dan OpenSearch Dasbor untuk satu koleksi bernama. finance
Jika koleksi tidak ada, pengaturan jaringan akan diterapkan ke koleksi jika dan ketika itu dibuat.
[ { "Description":"Public access for finance collection", "Rules":[ { "ResourceType":"dashboard", "Resource":[ "collection/
finance
" ] }, { "ResourceType":"collection", "Resource":[ "collection/finance
" ] } ], "AllowFromPublic":true } ]
Permintaan berikut membuat kebijakan jaringan di atas:
aws opensearchserverless create-security-policy \ --name
sales-inventory
\ --type network \ --policy "[{\"Description\":\"Public access for finance collection\",\"Rules\":[{\"ResourceType\":\"dashboard\",\"Resource\":[\"collection\/finance\"]},{\"ResourceType\":\"collection\",\"Resource\":[\"collection\/finance\"]}],\"AllowFromPublic\":true}]"
Untuk menyediakan kebijakan dalam file JSON, gunakan format --policy
file://
my-policy
.json
Melihat kebijakan jaringan
Sebelum membuat koleksi, Anda mungkin ingin melihat pratinjau kebijakan jaringan yang ada di akun Anda untuk melihat mana yang memiliki pola sumber daya yang cocok dengan nama koleksi Anda. ListSecurityPoliciesPermintaan berikut mencantumkan semua kebijakan jaringan di akun Anda:
aws opensearchserverless list-security-policies --type network
Permintaan mengembalikan informasi tentang semua kebijakan jaringan yang dikonfigurasi. Untuk melihat aturan pola yang ditentukan dalam satu kebijakan tertentu, cari informasi kebijakan dalam konten securityPolicySummaries
elemen dalam respons. Perhatikan name
dan type
kebijakan ini dan gunakan properti ini dalam GetSecurityPolicypermintaan untuk menerima tanggapan dengan rincian kebijakan berikut:
{ "securityPolicyDetail": [ { "type": "network", "name": "my-policy", "policyVersion": "MTY2MzY5MTY1MDA3Ml8x", "policy": "[{\"Description\":\"My network policy rule\",\"Rules\":[{\"ResourceType\":\"dashboard\",\"Resource\":[\"collection/*\"]}],\"AllowFromPublic\":true}]", "createdDate": 1663691650072, "lastModifiedDate": 1663691650072 } ] }
Untuk melihat informasi terperinci tentang kebijakan tertentu, gunakan GetSecurityPolicyperintah.
Memperbarui kebijakan jaringan
Saat Anda memodifikasi titik akhir VPC atau penunjukan akses publik untuk jaringan, semua koleksi terkait akan terpengaruh. Untuk memperbarui kebijakan jaringan di konsol OpenSearch Tanpa Server, perluas Kebijakan jaringan, pilih kebijakan yang akan diubah, dan pilih Edit. Buat perubahan dan pilih Simpan.
Untuk memperbarui kebijakan jaringan menggunakan API OpenSearch Tanpa Server, gunakan perintah. UpdateSecurityPolicy Anda harus menyertakan versi kebijakan dalam permintaan. Anda dapat mengambil versi kebijakan dengan menggunakan GetSecurityPolicy
perintah ListSecurityPolicies
atau. Menyertakan versi kebijakan terbaru memastikan bahwa Anda tidak secara tidak sengaja mengesampingkan perubahan yang dilakukan oleh orang lain.
Permintaan berikut memperbarui kebijakan jaringan dengan dokumen JSON kebijakan baru:
aws opensearchserverless update-security-policy \ --name sales-inventory \ --type network \ --policy-version
MTY2MzY5MTY1MDA3Ml8x
\ --policy file://my-new-policy.json
Menghapus kebijakan jaringan
Sebelum Anda dapat menghapus kebijakan jaringan, Anda harus melepaskannya dari semua koleksi. Untuk menghapus kebijakan di konsol OpenSearch Tanpa Server, pilih kebijakan dan pilih Hapus.
Anda juga dapat menggunakan DeleteSecurityPolicyperintah:
aws opensearchserverless delete-security-policy --name
my-policy
--type network