Akses Amazon OpenSearch Tanpa Server menggunakan titik akhir antarmuka ()AWS PrivateLink

Anda dapat menggunakan AWS PrivateLink untuk membuat koneksi pribadi antara VPC Anda dan Amazon OpenSearch Tanpa Server. Anda dapat mengakses OpenSearch Tanpa Server seolah-olah berada di VPC Anda, tanpa menggunakan gateway internet, perangkat NAT, koneksi VPN, atau koneksi. AWS Direct Connect Instans di VPC Anda tidak memerlukan alamat IP publik untuk OpenSearch mengakses Tanpa Server.

Anda membuat koneksi pribadi ini dengan membuat titik akhir antarmuka, yang didukung oleh AWS PrivateLink. Kami membuat antarmuka jaringan endpoint di setiap subnet yang Anda tentukan untuk titik akhir antarmuka. Ini adalah antarmuka jaringan yang dikelola pemohon yang berfungsi sebagai titik masuk untuk lalu lintas yang ditujukan untuk Tanpa Server. OpenSearch

Untuk informasi selengkapnya, lihat Mengakses AWS layanan melalui AWS PrivateLink di Panduan AWS PrivateLink .

Resolusi DNS dari titik akhir koleksi

Saat Anda membuat titik akhir VPC, layanan akan membuat zona host Amazon Route 53 pribadi baru dan menempelkannya ke VPC. Zona host pribadi ini terdiri dari catatan untuk menyelesaikan catatan DNS wildcard untuk koleksi OpenSearch Tanpa Server (*.aoss.us-east-1.amazonaws.com) ke alamat antarmuka yang digunakan untuk titik akhir. Anda hanya memerlukan satu titik akhir OpenSearch VPC Tanpa Server di VPC untuk mengakses setiap dan semua koleksi dan Dasbor di masing-masing. Wilayah AWS Setiap VPC dengan titik akhir untuk OpenSearch Tanpa Server memiliki zona host pribadinya sendiri yang terpasang.

OpenSearch Tanpa server juga membuat catatan DNS wildcard Route 53 publik untuk semua koleksi di Wilayah. Nama DNS beresolusi ke alamat IP publik Tanpa OpenSearch Server. Klien di VPC yang tidak memiliki titik akhir VPC OpenSearch Tanpa Server atau klien di jaringan publik dapat menggunakan resolver Route 53 publik dan mengakses koleksi dan Dasbor dengan alamat IP tersebut. Jenis alamat IP (IPv4, IPv6, atau Dualstack) dari titik akhir VPC ditentukan berdasarkan subnet yang disediakan saat Anda Membuat titik akhir antarmuka untuk Tanpa Server. OpenSearch

catatan

Anda dapat memperbarui titik akhir VPC IPv4 yang ada ke Dualstack dengan menggunakan perintah di file. update-vpc-endpoint AWS CLI

Alamat penyelesai DNS untuk VPC tertentu adalah alamat IP kedua dari VPC CIDR. Setiap klien di VPC perlu menggunakan resolver itu untuk mendapatkan alamat titik akhir VPC untuk koleksi apa pun. Penyelesai menggunakan zona host pribadi yang dibuat oleh OpenSearch Tanpa Server. Cukup menggunakan resolver itu untuk semua koleksi di akun apa pun. Dimungkinkan juga untuk menggunakan resolver VPC untuk beberapa titik akhir koleksi dan resolver publik untuk yang lain, meskipun biasanya tidak diperlukan.

VPC dan kebijakan akses jaringan

Untuk memberikan izin jaringan ke OpenSearch API dan Dasbor untuk koleksi Anda, Anda dapat menggunakan kebijakan akses jaringan OpenSearch Tanpa Server. Anda dapat mengontrol akses jaringan ini baik dari titik akhir VPC Anda atau internet publik. Karena kebijakan jaringan Anda hanya mengontrol izin lalu lintas, Anda juga harus menyiapkan kebijakan akses data yang menentukan izin untuk beroperasi pada data dalam koleksi dan indeksnya. Pikirkan titik akhir OpenSearch VPC Tanpa Server sebagai titik akses ke layanan, kebijakan akses jaringan sebagai titik akses tingkat jaringan ke koleksi dan Dasbor, dan kebijakan akses data sebagai titik akses untuk kontrol akses berbutir halus untuk operasi apa pun pada data dalam pengumpulan.

Karena Anda dapat menentukan beberapa ID titik akhir VPC dalam kebijakan jaringan, sebaiknya Anda membuat titik akhir VPC untuk setiap VPC yang perlu mengakses koleksi. VPC ini dapat dimiliki oleh AWS akun yang berbeda dari akun yang memiliki koleksi OpenSearch Tanpa Server dan kebijakan jaringan. Kami tidak menyarankan Anda membuat peering VPC-ke-VPC atau solusi proxy lainnya antara dua akun sehingga VPC satu akun dapat menggunakan titik akhir VPC akun lain. Ini kurang aman dan hemat biaya dibandingkan setiap VPC yang memiliki endpoint sendiri. VPC pertama tidak akan mudah terlihat oleh admin VPC lain, yang telah mengatur akses ke titik akhir VPC itu dalam kebijakan jaringan.

VPC dan kebijakan endpoint

Amazon OpenSearch Serverless mendukung kebijakan endpoint untuk VPC. Kebijakan endpoint adalah kebijakan berbasis sumber daya IAM yang Anda lampirkan ke titik akhir VPC untuk mengontrol AWS prinsipal mana yang dapat menggunakan titik akhir untuk mengakses layanan Anda. AWS Untuk informasi selengkapnya, lihat Mengontrol akses ke titik akhir VPC menggunakan kebijakan titik akhir.

Untuk menggunakan kebijakan endpoint, Anda harus terlebih dahulu membuat endpoint antarmuka. Anda dapat membuat titik akhir antarmuka menggunakan konsol OpenSearch Tanpa Server atau API Tanpa Server. OpenSearch Setelah membuat titik akhir antarmuka, Anda perlu menambahkan kebijakan titik akhir ke titik akhir. Untuk informasi selengkapnya, lihat Mengakses Amazon OpenSearch Tanpa Server menggunakan titik akhir antarmuka ().AWS PrivateLink

catatan

Anda tidak dapat menentukan kebijakan titik akhir secara langsung di konsol OpenSearch Layanan.

Kebijakan endpoint tidak mengesampingkan atau mengganti kebijakan berbasis identitas lainnya, kebijakan berbasis sumber daya, kebijakan jaringan, atau kebijakan akses data yang mungkin telah Anda konfigurasikan. Untuk informasi selengkapnya tentang memperbarui kebijakan titik akhir, lihat Mengontrol akses ke titik akhir VPC menggunakan kebijakan titik akhir.

Secara default, kebijakan endpoint memberikan akses penuh ke titik akhir VPC Anda.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

Meskipun kebijakan titik akhir VPC default memberikan akses titik akhir penuh, Anda dapat mengonfigurasi kebijakan titik akhir VPC untuk mengizinkan akses ke peran dan pengguna tertentu. Untuk melakukan ini, lihat contoh berikut:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "123456789012",
                    "987654321098"
                ]
            },
            "Action": "*",
            "Resource": "*"
        }
    ]
}

Anda dapat menentukan koleksi OpenSearch Tanpa Server yang akan disertakan sebagai elemen bersyarat dalam kebijakan titik akhir VPC Anda. Untuk melakukan ini, lihat contoh berikut:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:CollectionName": [
                        "coll-abc"
                    ]
                }
            }
        }
    ]
}

Anda dapat menggunakan identitas SAMP dalam kebijakan titik akhir VPC Anda untuk menentukan akses titik akhir VPC. Anda harus menggunakan wildcard (*) di bagian utama kebijakan titik akhir VPC Anda. Untuk melakukan ini, lihat contoh berikut:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:SamlGroups": [
                        "saml/123456789012/idp123/group/football",
                        "saml/123456789012/idp123/group/soccer",
                        "saml/123456789012/idp123/group/cricket"
                    ]
                }
            }
        }
    ]
}

Selain itu, Anda dapat mengonfigurasi kebijakan titik akhir Anda untuk menyertakan kebijakan utama SAMP tertentu. Untuk melakukan ini, lihat yang berikut ini:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SamlPrincipal": [
                        "saml/123456789012/idp123/user/user1234"]
                    }
                }
            }
        ]
    }

Untuk informasi selengkapnya tentang menggunakan otentikasi SAMP dengan Amazon OpenSearch Tanpa Server, lihat otentikasi SAMP untuk Amazon Tanpa Server. OpenSearch

Anda juga dapat menyertakan pengguna IAM dan SAMP dalam kebijakan titik akhir VPC yang sama. Untuk melakukan ini, lihat contoh berikut:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:SamlGroups": [
                        "saml/123456789012/idp123/group/football",
                        "saml/123456789012/idp123/group/soccer",
                        "saml/123456789012/idp123/group/cricket"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            },
            "Action": "*",
            "Resource": "*"
        }
    ]
}

Pertimbangan

Sebelum Anda menyiapkan titik akhir antarmuka untuk OpenSearch Tanpa Server, pertimbangkan hal berikut:

• OpenSearch Tanpa server mendukung panggilan ke semua operasi OpenSearch API yang didukung (bukan operasi API konfigurasi) melalui titik akhir antarmuka.

• Setelah Anda membuat titik akhir antarmuka untuk OpenSearch Tanpa Server, Anda masih perlu memasukkannya ke dalam kebijakan akses jaringan agar dapat mengakses koleksi tanpa server.

• Secara default, akses penuh ke OpenSearch Tanpa Server diizinkan melalui titik akhir antarmuka. Anda dapat mengaitkan grup keamanan dengan antarmuka jaringan titik akhir untuk mengontrol lalu lintas ke OpenSearch Tanpa Server melalui titik akhir antarmuka.

• Satu Akun AWS dapat memiliki maksimal 50 titik akhir OpenSearch VPC Tanpa Server.

• Jika Anda mengaktifkan akses internet publik ke API atau Dasbor koleksi Anda dalam kebijakan jaringan, koleksi Anda dapat diakses oleh VPC apa pun dan oleh internet publik.

• Jika Anda berada di lokasi dan di luar VPC, Anda tidak dapat menggunakan resolver DNS untuk resolusi titik akhir VPC Tanpa Server OpenSearch secara langsung. Jika Anda memerlukan akses VPN, VPC memerlukan resolver proxy DNS untuk digunakan klien eksternal. Route 53 menyediakan opsi titik akhir masuk yang dapat Anda gunakan untuk menyelesaikan kueri DNS ke VPC dari jaringan lokal atau VPC lain.

• Zona host pribadi yang dibuat dan dilampirkan OpenSearch Tanpa Server ke VPC dikelola oleh layanan, tetapi muncul di Amazon Route 53 sumber daya Anda dan ditagih ke akun Anda.

• Untuk pertimbangan lain, lihat Pertimbangan dalam Panduan.AWS PrivateLink

Izin diperlukan

Akses VPC untuk OpenSearch Tanpa Server menggunakan izin AWS Identity and Access Management (IAM) berikut. Anda dapat menentukan kondisi IAM untuk membatasi pengguna ke koleksi tertentu.

• aoss:CreateVpcEndpoint— Buat titik akhir VPC.

• aoss:ListVpcEndpoints— Daftar semua titik akhir VPC.

• aoss:BatchGetVpcEndpoint— Lihat detail tentang subset titik akhir VPC.

• aoss:UpdateVpcEndpoint— Memodifikasi titik akhir VPC.

• aoss:DeleteVpcEndpoint— Hapus titik akhir VPC.

Selain itu, Anda memerlukan izin Amazon EC2 dan Route 53 berikut untuk membuat titik akhir VPC.

• ec2:CreateTags

• ec2:CreateVpcEndpoint

• ec2:DeleteVpcEndPoints

• ec2:DescribeSecurityGroups

• ec2:DescribeSubnets

• ec2:DescribeVpcEndpoints

• ec2:DescribeVpcs

• ec2:ModifyVpcEndPoint

• route53:AssociateVPCWithHostedZone

• route53:ChangeResourceRecordSets

• route53:CreateHostedZone

• route53:DeleteHostedZone

• route53:GetChange

• route53:GetHostedZone

• route53:ListHostedZonesByName

• route53:ListHostedZonesByVPC

• route53:ListResourceRecordSets

Buat titik akhir antarmuka untuk Tanpa Server OpenSearch

Anda dapat membuat titik akhir antarmuka untuk OpenSearch Tanpa Server menggunakan konsol atau API Tanpa Server. OpenSearch

Untuk membuat titik akhir antarmuka untuk koleksi Tanpa OpenSearch Server

1. Buka konsol OpenSearch Layanan Amazon di https://console.aws.amazon.com/aos/home.

2. Di panel navigasi kiri, perluas Tanpa Server dan pilih titik akhir VPC.

3. Pilih Buat titik akhir VPC.

4. Berikan nama untuk titik akhir.

5. Untuk VPC, pilih VPC tempat Anda akan mengakses Tanpa Server. OpenSearch

6. Untuk Subnet, pilih satu subnet yang akan Anda akses tanpa OpenSearch server.

   • Alamat IP Endpoint dan tipe DNS didasarkan pada tipe subnet

     • Dualstack: Jika semua subnet memiliki rentang alamat IPv4 dan IPv6

     • IPv6: Jika semua subnet hanya subnet IPv6

     • IPv4: Jika semua subnet memiliki rentang alamat IPv4

7. Untuk grup Keamanan, pilih grup keamanan untuk diasosiasikan dengan antarmuka jaringan titik akhir. Ini adalah langkah penting di mana Anda membatasi port, protokol, dan sumber untuk lalu lintas masuk yang Anda otorisasi ke titik akhir Anda. Pastikan bahwa aturan grup keamanan memungkinkan sumber daya yang akan menggunakan titik akhir VPC untuk berkomunikasi dengan OpenSearch Tanpa Server untuk berkomunikasi dengan antarmuka jaringan titik akhir.

8. Pilih Buat Titik Akhir.

Untuk membuat titik akhir VPC menggunakan API OpenSearch Tanpa Server, gunakan perintah. CreateVpcEndpoint

catatan

Setelah Anda membuat titik akhir, catat ID-nya (misalnya,vpce-050f79086ee71ac05. Untuk memberikan akses titik akhir ke koleksi Anda, Anda harus menyertakan ID ini dalam satu atau beberapa kebijakan akses jaringan.

Langkah selanjutnya: Berikan akses endpoint ke koleksi

Setelah membuat titik akhir antarmuka, Anda harus menyediakannya akses ke koleksi melalui kebijakan akses jaringan. Untuk informasi selengkapnya, lihat Akses jaringan untuk Amazon Tanpa OpenSearch Server.