Akses Amazon OpenSearch Tanpa Server menggunakan titik akhir antarmuka ()AWS PrivateLink

Anda dapat menggunakannya AWS PrivateLink untuk membuat koneksi privat antara VPC dan Amazon OpenSearch Serverless. Anda dapat mengakses OpenSearch nirserver seolah-olah berada di VPC Anda, tanpa menggunakan gateway internet, perangkat NAT, koneksi VPN, atau koneksi VPN. AWS Direct Connect Instans dalam VPC Anda tidak memerlukan alamat IP publik untuk OpenSearch mengakses nirserver. Untuk informasi selengkapnya tentang akses jaringan VPC, lihat Pola konektivitas jaringan untuk Amazon OpenSearch Tanpa Server.

Anda membuat koneksi pribadi ini dengan membuat titik akhir antarmuka, yang didukung oleh AWS PrivateLink. Kami membuat antarmuka jaringan titik akhir di setiap subnet yang Anda tentukan untuk titik akhir antarmuka. Ini adalah antarmuka jaringan yang dikelola pemohon yang berfungsi sebagai titik masuk untuk lalu lintas yang ditujukan untuk Tanpa Server. OpenSearch

Untuk informasi selengkapnya, lihat Mengakses Layanan AWS melalui AWS PrivateLink di Panduan AWS PrivateLink .

Resolusi DNS dari titik akhir koleksi

Saat Anda membuat titik akhir VPC, layanan akan membuat zona host Amazon Route 53 pribadi baru dan menempelkannya ke VPC. Zona host pribadi ini terdiri dari catatan untuk menyelesaikan catatan DNS wildcard untuk koleksi OpenSearch Tanpa Server (*.aoss.us-east-1.amazonaws.com) ke alamat antarmuka yang digunakan untuk titik akhir. Anda hanya memerlukan satu titik akhir OpenSearch VPC Tanpa Server di VPC untuk mengakses setiap dan semua koleksi dan Dasbor di masing-masing. Wilayah AWS Setiap VPC dengan titik akhir untuk OpenSearch Tanpa Server memiliki zona host pribadinya sendiri yang terpasang.

OpenSearch Tanpa server juga membuat catatan DNS wildcard Route 53 publik untuk semua koleksi di Wilayah. Nama DNS diselesaikan ke alamat IP publik Tanpa OpenSearch Server. Klien VPCs yang tidak memiliki titik akhir OpenSearch VPC Tanpa Server atau klien di jaringan publik dapat menggunakan resolver Route 53 publik dan mengakses koleksi dan Dasbor dengan alamat IP tersebut. Jenis alamat IP (IPv4, IPv6, atau Dualstack) dari titik akhir VPC ditentukan berdasarkan subnet yang disediakan saat Anda Membuat titik akhir antarmuka untuk Tanpa Server. OpenSearch

catatan

OpenSearch Tanpa server membuat zona host pribadi Amazon Route 53 tambahan `<region>.opensearch.amazonaws.com (`) untuk OpenSearch resolusi domain Layanan. Anda dapat memperbarui titik akhir IPv4 VPC yang ada ke Dualstack dengan menggunakan perintah di file. update-vpc-endpoint AWS CLI

Alamat penyelesai DNS untuk VPC tertentu adalah alamat IP kedua dari VPC CIDR. Setiap klien di VPC perlu menggunakan resolver itu untuk mendapatkan alamat titik akhir VPC untuk koleksi apa pun. Penyelesai menggunakan zona host pribadi yang dibuat oleh OpenSearch Tanpa Server. Cukup menggunakan resolver itu untuk semua koleksi di akun apa pun. Dimungkinkan juga untuk menggunakan resolver VPC untuk beberapa titik akhir koleksi dan resolver publik untuk yang lain, meskipun biasanya tidak diperlukan.

VPCs dan kebijakan akses jaringan

Untuk memberikan izin jaringan OpenSearch APIs dan Dasbor untuk koleksi Anda, Anda dapat menggunakan kebijakan akses jaringan OpenSearch Tanpa Server. Anda dapat mengontrol akses jaringan ini baik dari titik akhir VPC Anda atau internet publik. Karena kebijakan jaringan Anda hanya mengontrol izin lalu lintas, Anda juga harus menyiapkan kebijakan akses data yang menentukan izin untuk beroperasi pada data dalam koleksi dan indeksnya. Pikirkan titik akhir OpenSearch VPC Tanpa Server sebagai titik akses ke layanan, kebijakan akses jaringan sebagai titik akses tingkat jaringan ke koleksi dan Dasbor, dan kebijakan akses data sebagai titik akses untuk kontrol akses berbutir halus untuk operasi apa pun pada data dalam pengumpulan.

Karena Anda dapat menentukan beberapa titik akhir VPC IDs dalam kebijakan jaringan, sebaiknya Anda membuat titik akhir VPC untuk setiap VPC yang perlu mengakses koleksi. Ini VPCs dapat dimiliki oleh AWS akun yang berbeda dari akun yang memiliki koleksi OpenSearch Tanpa Server dan kebijakan jaringan. Kami tidak menyarankan Anda membuat VPC-to-VPC peering atau solusi proksi lainnya antara dua akun sehingga VPC satu akun dapat menggunakan titik akhir VPC akun lain. Ini kurang aman dan hemat biaya dibandingkan setiap VPC yang memiliki endpoint sendiri. VPC pertama tidak akan mudah terlihat oleh admin VPC lain, yang telah mengatur akses ke titik akhir VPC itu dalam kebijakan jaringan.

VPCs Kebijakan endpoint

Amazon OpenSearch Serverless mendukung kebijakan titik akhir untuk. VPCs Kebijakan endpoint adalah kebijakan berbasis sumber daya IAM yang Anda lampirkan ke titik akhir VPC untuk mengontrol AWS prinsipal mana yang dapat menggunakan titik akhir untuk mengakses layanan Anda. AWS Untuk informasi selengkapnya, lihat Mengendalikan akses ke VPC endpoint menggunakan kebijakan endpoint.

Untuk menggunakan kebijakan endpoint, Anda harus terlebih dahulu membuat endpoint antarmuka. Anda dapat membuat titik akhir antarmuka menggunakan konsol OpenSearch nirserver atau API nirserver. OpenSearch Setelah membuat titik akhir antarmuka, Anda perlu menambahkan kebijakan titik akhir ke titik akhir. Untuk informasi selengkapnya, lihat Mengakses Amazon OpenSearch Tanpa Server menggunakan titik akhir antarmuka ().AWS PrivateLink

catatan

Anda tidak dapat menentukan kebijakan titik akhir secara langsung di konsol OpenSearch Layanan.

Kebijakan endpoint tidak mengganti kebijakan berbasis identitas, kebijakan berbasis sumber daya, kebijakan jaringan, atau kebijakan akses data yang mungkin telah Anda konfigurasi. Untuk informasi selengkapnya tentang memperbarui kebijakan titik akhir, lihat Mengontrol akses ke titik akhir VPC menggunakan kebijakan titik akhir.

Secara default, kebijakan endpoint memberikan akses penuh ke titik akhir VPC Anda.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

Meskipun kebijakan titik akhir VPC default memberikan akses titik akhir penuh, Anda dapat mengonfigurasi kebijakan titik akhir VPC untuk mengizinkan akses ke peran dan pengguna tertentu. Untuk melakukannya, lihat contoh berikut:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "123456789012",
                    "987654321098"
                ]
            },
            "Action": "*",
            "Resource": "*"
        }
    ]
}

Anda dapat menentukan koleksi OpenSearch Tanpa Server yang akan disertakan sebagai elemen bersyarat dalam kebijakan titik akhir VPC Anda. Untuk melakukannya, lihat contoh berikut:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aoss:collection": [
                        "coll-abc"
                    ]
                }
            }
        }
    ]
}

Support aoss:CollectionId untuk didukung.

Condition": {
         "StringEquals": {
               "aoss:CollectionId": "collection-id"
          }
}

Anda dapat menggunakan identitas SAMP dalam kebijakan titik akhir VPC Anda untuk menentukan akses titik akhir VPC. Anda harus menggunakan wildcard (*) di bagian utama kebijakan titik akhir VPC Anda. Untuk melakukannya, lihat contoh berikut:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:SamlGroups": [
                        "saml/123456789012/idp123/group/football",
                        "saml/123456789012/idp123/group/soccer",
                        "saml/123456789012/idp123/group/cricket"
                    ]
                }
            }
        }
    ]
}

Selain itu, Anda dapat mengonfigurasi kebijakan titik akhir Anda untuk menyertakan kebijakan utama SAMP tertentu. Untuk melakukannya, lihat petunjuk berikut ini:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aoss:SamlPrincipal": [
                        "saml/123456789012/idp123/user/user1234"]
                    }
                }
            }
        ]
    }

Untuk informasi selengkapnya tentang menggunakan otentikasi SAMP dengan Amazon OpenSearch Tanpa Server, lihat otentikasi SAMP untuk Amazon Tanpa Server. OpenSearch

Anda juga dapat menyertakan pengguna IAM dan SAMP dalam kebijakan titik akhir VPC yang sama. Untuk melakukannya, lihat contoh berikut:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aoss:SamlGroups": [
                        "saml/123456789012/idp123/group/football",
                        "saml/123456789012/idp123/group/soccer",
                        "saml/123456789012/idp123/group/cricket"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            },
            "Action": "*",
            "Resource": "*"
        }
    ]
}

Anda juga dapat mengakses koleksi Amazon OpenSearch Tanpa Server dari Amazon EC2 melalui titik akhir VPC antarmuka. Untuk informasi selengkapnya lihat, Akses koleksi OpenSearch Tanpa Server dari Amazon EC2 (melalui titik akhir VPC antarmuka).

Pertimbangan

Sebelum Anda menyiapkan titik akhir antarmuka untuk OpenSearch Tanpa Server, pertimbangkan hal berikut:

• OpenSearch Tanpa server mendukung panggilan ke semua operasi OpenSearch API yang didukung (bukan operasi API konfigurasi) melalui titik akhir antarmuka.

• Setelah Anda membuat titik akhir antarmuka untuk OpenSearch Tanpa Server, Anda masih perlu memasukkannya ke dalam kebijakan akses jaringan agar dapat mengakses koleksi tanpa server.

• Secara default, akses penuh ke OpenSearch nirserver diizinkan melalui titik akhir antarmuka. Anda dapat mengaitkan grup keamanan dengan antarmuka jaringan titik akhir untuk mengontrol lalu lintas ke OpenSearch Tanpa Server melalui titik akhir antarmuka.

• Satu Akun AWS dapat memiliki maksimum 50 OpenSearch VPC endpoint nirserver.

• Jika Anda mengaktifkan akses internet publik ke API atau Dasbor koleksi Anda dalam kebijakan jaringan, koleksi Anda dapat diakses oleh VPC apa pun dan oleh internet publik.

• Jika Anda berada di lokasi dan di luar VPC, Anda tidak dapat menggunakan resolver DNS untuk resolusi titik akhir VPC Tanpa Server OpenSearch secara langsung. Jika Anda memerlukan akses VPN, VPC memerlukan resolver proxy DNS untuk digunakan klien eksternal. Route 53 menyediakan opsi titik akhir masuk yang dapat Anda gunakan untuk menyelesaikan kueri DNS ke VPC dari jaringan lokal atau VPC lain.

• Zona host pribadi yang dibuat dan dilampirkan OpenSearch Tanpa Server ke VPC dikelola oleh layanan, tetapi muncul di Amazon Route 53 sumber daya Anda dan ditagih ke akun Anda.

• Untuk pertimbangan lain, lihat Pertimbangan dalam Panduan.AWS PrivateLink

Izin diperlukan

Akses VPC untuk OpenSearch Tanpa Server menggunakan izin AWS Identity and Access Management (IAM) berikut. Anda dapat menentukan kondisi IAM untuk membatasi pengguna ke koleksi tertentu.

• aoss:CreateVpcEndpoint— Buat VPC endpoint.

• aoss:ListVpcEndpoints— Daftar semua titik akhir VPC.

• aoss:BatchGetVpcEndpoint— Lihat detail tentang subset titik akhir VPC.

• aoss:UpdateVpcEndpoint— Memodifikasi VPC endpoint.

• aoss:DeleteVpcEndpoint— Hapus VPC endpoint.

Selain itu, Anda memerlukan izin Amazon EC2 dan Route 53 berikut untuk membuat titik akhir VPC.

• ec2:CreateTags

• ec2:CreateVpcEndpoint

• ec2:DeleteVpcEndPoints

• ec2:DescribeSecurityGroups

• ec2:DescribeSubnets

• ec2:DescribeVpcEndpoints

• ec2:DescribeVpcs

• ec2:ModifyVpcEndPoint

• route53:AssociateVPCWithHostedZone

• route53:ChangeResourceRecordSets

• route53:CreateHostedZone

• route53:DeleteHostedZone

• route53:GetChange

• route53:GetHostedZone

• route53:ListHostedZonesByName

• route53:ListHostedZonesByVPC

• route53:ListResourceRecordSets

Membuat sebuah titik akhir antarmuka untuk nirserver OpenSearch

Anda dapat membuat titik akhir antarmuka untuk OpenSearch nirserver menggunakan konsol atau API nirserver. OpenSearch

Untuk membuat titik akhir antarmuka untuk koleksi OpenSearch nirserver

1. Buka konsol OpenSearch Layanan Amazon di https://console.aws.amazon.com/aos/rumah.

2. Di panel navigasi kiri, perluas Tanpa Server dan pilih titik akhir VPC.

3. Pilih Buat titik akhir VPC.

4. Berikan nama untuk titik akhir.

5. Untuk VPC, pilih VPC tempat Anda akan mengakses Tanpa Server. OpenSearch

6. Untuk Subnet, pilih satu subnet yang akan Anda akses tanpa OpenSearch server.

   • Alamat IP Endpoint dan tipe DNS didasarkan pada tipe subnet

     • Dualstack: Jika semua subnet memiliki keduanya IPv4 dan rentang alamat IPv6

     • IPv6: Jika semua subnet IPv6 hanya subnet

     • IPv4: Jika semua subnet memiliki rentang IPv4 alamat

7. Untuk grup Keamanan, pilih grup keamanan untuk dikaitkan dengan antarmuka jaringan titik akhir. Ini adalah langkah penting di mana Anda membatasi port, protokol, dan sumber untuk lalu lintas masuk yang Anda otorisasi ke titik akhir Anda. Pastikan bahwa aturan grup keamanan memungkinkan sumber daya yang akan menggunakan titik akhir VPC untuk berkomunikasi dengan OpenSearch Tanpa Server untuk berkomunikasi dengan antarmuka jaringan titik akhir.

8. Pilih Buat titik akhir.

Untuk membuat titik akhir VPC menggunakan API OpenSearch Tanpa Server, gunakan perintah. CreateVpcEndpoint

catatan

Setelah Anda membuat titik akhir, catat ID-nya (misalnya,vpce-abc123def4EXAMPLE. Untuk memberikan akses titik akhir ke koleksi Anda, Anda harus menyertakan ID ini dalam satu atau beberapa kebijakan akses jaringan.

Setelah membuat titik akhir antarmuka, Anda harus menyediakannya akses ke koleksi melalui kebijakan akses jaringan. Untuk informasi selengkapnya, lihat Akses jaringan untuk Amazon Tanpa OpenSearch Server.

Penyiapan VPC bersama untuk Amazon Tanpa Server OpenSearch

Anda dapat menggunakan Amazon Virtual Private Cloud (VPC) untuk berbagi subnet VPC dengan subnet lain Akun AWS di organisasi Anda, serta berbagi infrastruktur jaringan seperti VPN antar sumber daya dalam beberapa. Akun AWS

Saat ini, Amazon OpenSearch Serverless tidak mendukung pembuatan AWS PrivateLink koneksi ke VPC bersama kecuali Anda adalah pemilik VPC tersebut. AWS PrivateLink juga tidak mendukung berbagi koneksi antara Akun AWS.

Namun, berdasarkan arsitektur OpenSearch Serverless yang fleksibel dan modular, Anda masih dapat mengatur VPC bersama. Ini karena infrastruktur jaringan OpenSearch Tanpa Server terpisah dari infrastruktur pengumpulan individu (OpenSearch Layanan). Oleh karena itu, Anda dapat membuat AWS PrivateLink VPCe titik akhir untuk satu akun di mana VPC berada, dan kemudian menggunakan VPCe ID dalam kebijakan jaringan akun lain untuk membatasi lalu lintas yang hanya berasal dari VPC bersama itu.

Prosedur berikut mengacu pada akun pemilik dan akun konsumen.

Akun pemilik bertindak sebagai akun jaringan umum tempat Anda menyiapkan VPC dan membagikannya dengan akun lain. Akun konsumen adalah akun yang membuat dan memelihara koleksi OpenSearch Tanpa Server mereka di VPC yang dibagikan dengan mereka oleh akun pemilik.

Prasyarat

Pastikan persyaratan berikut terpenuhi sebelum menyiapkan VPC bersama:

• Akun pemilik yang dimaksud harus sudah menyiapkan VPC, subnet, tabel rute, dan sumber daya lain yang diperlukan di Amazon Virtual Private Cloud. Untuk informasi selengkapnya, silakan lihat ACL Jaringan di Panduan Pengguna Amazon VPC.

• Akun pemilik dan akun konsumen yang dimaksud harus milik organisasi yang sama di AWS Organizations. Untuk informasi selengkapnya, silakan lihat Panduan Pengguna AWS Organizations.

Untuk mengatur VPC bersama di akun pemilik/akun jaringan umum.

1. Masuk ke konsol OpenSearch Layanan Amazon di https://console.aws.amazon.com/aos/rumah.

2. Ikuti langkah-langkah di Membuat sebuah titik akhir antarmuka untuk nirserver OpenSearch . Saat Anda melakukannya, buat pilihan berikut:

   • Pilih VPC dan subnet yang dibagikan dengan akun konsumen di organisasi Anda.

3. Setelah Anda membuat titik akhir, catat VPCe ID yang dihasilkan dan berikan kepada administrator yang akan melakukan tugas penyiapan di akun konsumen.

   VPCe IDs berada dalam formatvpce-abc123def4EXAMPLE.

Untuk menyiapkan VPC bersama di akun konsumen

1. Masuk ke konsol OpenSearch Layanan Amazon di https://console.aws.amazon.com/aos/rumah.

2. Gunakan informasi Mengelola koleksi Amazon OpenSearch Tanpa Server untuk membuat koleksi, jika Anda belum memilikinya.

3. Gunakan informasi Membuat kebijakan jaringan (konsol) untuk membuat kebijakan jaringan. Seperti yang Anda lakukan, buat pilihan berikut.

   catatan

   Anda juga dapat memperbarui kebijakan jaringan yang ada untuk tujuan ini.

   1. Untuk tipe Access, pilih VPC (disarankan).

   2. Untuk titik akhir VPC untuk akses, pilih VPCe ID yang diberikan kepada Anda oleh akun pemilik, dalam format. vpce-abc123def4EXAMPLE

   3. Di area tipe Resource, lakukan hal berikut:

      • Pilih kotak Aktifkan akses ke OpenSearch titik akhir, lalu pilih nama koleksi atau pola koleksi yang akan digunakan untuk mengaktifkan akses dari VPC bersama itu.

      • Pilih kotak Aktifkan akses ke OpenSearch Dasbor, lalu pilih nama koleksi atau pola koleksi yang akan digunakan untuk mengaktifkan akses dari VPC bersama itu.

4. Untuk kebijakan baru, pilih Buat. Untuk kebijakan yang ada, pilih Perbarui.