Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Accedi ad Amazon OpenSearch Serverless utilizzando un endpoint di interfaccia ()AWS PrivateLink
Puoi usarlo AWS PrivateLink per creare una connessione privata tra il tuo VPC e Amazon OpenSearch Serverless. Puoi accedere a OpenSearch Serverless come se fosse nel tuo VPC, senza l'uso di un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. AWS Direct Connect Le istanze nel tuo VPC non necessitano di indirizzi IP pubblici per accedere a OpenSearch Serverless.
Stabilisci questa connessione privata creando un endpoint di interfaccia attivato da AWS PrivateLink. In ciascuna sottorete viene creata un'interfaccia di rete endpoint da specificare per l'endpoint di interfaccia. Si tratta di interfacce di rete gestite dai richiedenti che fungono da punto di ingresso per il traffico destinato a Serverless. OpenSearch
Per ulteriori informazioni, consulta la sezione Accesso a Servizi AWS tramite AWS PrivateLink nella Guida di AWS PrivateLink .
Argomenti
Risoluzione DNS degli endpoint di raccolta
Quando crei un endpoint VPC, il servizio crea una nuova zona ospitata Amazon Route 53 privata e la collega al VPC. Questa zona ospitata privata è costituita da un record per risolvere il record DNS wildcard per le raccolte OpenSearch Serverless (*.aoss.us-east-1.amazonaws.com) negli indirizzi di interfaccia utilizzati per l'endpoint. È sufficiente un solo endpoint VPC OpenSearch serverless in un VPC per accedere a tutte le raccolte e i dashboard di ciascuno di essi. Regione AWS Ogni VPC con un endpoint per OpenSearch Serverless ha una propria zona ospitata privata collegata.
OpenSearch Serverless crea anche un record DNS wildcard pubblico della Route 53 per tutte le raccolte della regione. Il nome DNS viene risolto negli indirizzi IP pubblici Serverless. OpenSearch I client in VPC che non dispongono di un endpoint OpenSearch VPC Serverless o i client in reti pubbliche possono utilizzare il resolver pubblico Route 53 e accedere alle raccolte e ai dashboard con tali indirizzi IP. Il tipo di indirizzo IP (IPv4, IPv6 o Dualstack) dell'endpoint VPC viene determinato in base alle sottoreti fornite durante la creazione di un endpoint di interfaccia per Serverless. OpenSearch
Nota
È possibile aggiornare l'endpoint VPC IPv4 esistente a Dualstack utilizzando il comando in. update-vpc-endpoint AWS CLI
L'indirizzo del resolver DNS per un determinato VPC è il secondo indirizzo IP del VPC CIDR. Qualsiasi client nel VPC deve utilizzare quel resolver per ottenere l'indirizzo dell'endpoint VPC per qualsiasi raccolta. Il resolver utilizza una zona ospitata privata creata da Serverless. OpenSearch È sufficiente utilizzare quel resolver per tutte le raccolte di qualsiasi account. È anche possibile utilizzare il resolver VPC per alcuni endpoint di raccolta e il resolver pubblico per altri, sebbene in genere non sia necessario.
VPC e politiche di accesso alla rete
Per concedere l'autorizzazione di rete alle OpenSearch API e ai dashboard per le tue raccolte, puoi utilizzare le policy di accesso alla rete OpenSearch Serverless. Puoi controllare questo accesso alla rete dagli endpoint VPC o dalla rete Internet pubblica. Poiché la policy di rete controlla solo le autorizzazioni relative al traffico, è necessario impostare anche una policy di accesso ai dati che specifichi l'autorizzazione a operare sui dati di una raccolta e sui relativi indici. Pensate a un endpoint VPC OpenSearch serverless come punto di accesso al servizio, a una policy di accesso alla rete come punto di accesso a livello di rete a raccolte e dashboard e a una politica di accesso ai dati come punto di accesso per il controllo granulare degli accessi per qualsiasi operazione sui dati della raccolta.
Poiché puoi specificare più ID di endpoint VPC in una policy di rete, ti consigliamo di creare un endpoint VPC per ogni VPC che deve accedere a una raccolta. Questi VPC possono appartenere a AWS account diversi rispetto all'account che possiede la raccolta Serverless e la OpenSearch policy di rete. Non è consigliabile creare un peering da VPC a VPC o un'altra soluzione di proxy tra due account in modo che il VPC di un account possa utilizzare l'endpoint VPC di un altro account. Si tratta di una soluzione meno sicura ed economica rispetto a ogni VPC con il proprio endpoint. Il primo VPC non sarà facilmente visibile all'amministratore dell'altro VPC, che ha impostato l'accesso all'endpoint di quel VPC nella policy di rete.
VPC e politiche degli endpoint
Amazon OpenSearch Serverless supporta le policy degli endpoint per i VPC. Una policy per gli endpoint è una policy basata sulle risorse IAM che colleghi a un endpoint VPC per controllare quali AWS responsabili possono utilizzare l'endpoint per accedere al tuo servizio. AWS Per ulteriori informazioni, consulta Controllare l'accesso agli endpoint VPC utilizzando le policy degli endpoint.
Per utilizzare una policy per gli endpoint, devi prima creare un endpoint di interfaccia. È possibile creare un endpoint di interfaccia utilizzando la console Serverless o l' OpenSearch API Serverless. OpenSearch Dopo aver creato l'endpoint di interfaccia, dovrai aggiungere la policy dell'endpoint all'endpoint. Per ulteriori informazioni, consulta Accedere ad Amazon OpenSearch Serverless utilizzando un endpoint di interfaccia ()AWS PrivateLink.
Nota
Non è possibile definire una policy per gli endpoint direttamente nella console di servizio. OpenSearch
Una policy per gli endpoint non sostituisce né sostituisce altre politiche basate sull'identità, politiche basate sulle risorse, politiche di rete o politiche di accesso ai dati che potresti aver configurato. Per ulteriori informazioni sull'aggiornamento delle policy degli endpoint, consulta Controllare l'accesso agli endpoint VPC utilizzando le policy degli endpoint.
Per impostazione predefinita, una policy per gli endpoint garantisce l'accesso completo all'endpoint VPC.
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } ] }
Sebbene la policy degli endpoint VPC predefinita garantisca l'accesso completo agli endpoint, puoi configurare una policy degli endpoint VPC per consentire l'accesso a ruoli e utenti specifici. A tale scopo, consulta l'esempio seguente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "123456789012", "987654321098" ] }, "Action": "*", "Resource": "*" } ] }
Puoi specificare una raccolta OpenSearch Serverless da includere come elemento condizionale nella tua policy degli endpoint VPC. A tale scopo, consulta l'esempio seguente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:CollectionName": [ "coll-abc" ] } } } ] }
Puoi utilizzare le identità SAML nella tua policy degli endpoint VPC per determinare l'accesso agli endpoint VPC. È necessario utilizzare un carattere jolly (*) nella sezione principale della policy degli endpoint VPC. A tale scopo, consulta l'esempio seguente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:SamlGroups": [ "saml/123456789012/idp123/group/football", "saml/123456789012/idp123/group/soccer", "saml/123456789012/idp123/group/cricket" ] } } } ] }
Inoltre, puoi configurare la tua policy sugli endpoint per includere una politica principale SAML specifica. A tale scopo, consulta quanto segue:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:SamlPrincipal": [ "saml/123456789012/idp123/user/user1234"] } } } ] }
Per ulteriori informazioni sull'utilizzo dell'autenticazione SAML con Amazon OpenSearch Serverless, consulta Autenticazione SAML per Amazon Serverless. OpenSearch
Puoi anche includere utenti IAM e SAML nella stessa policy degli endpoint VPC. A tale scopo, consulta l'esempio seguente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:SamlGroups": [ "saml/123456789012/idp123/group/football", "saml/123456789012/idp123/group/soccer", "saml/123456789012/idp123/group/cricket" ] } } }, { "Effect": "Allow", "Principal": { "AWS": [ "123456789012" ] }, "Action": "*", "Resource": "*" } ] }
Considerazioni
Prima di configurare un endpoint di interfaccia per OpenSearch Serverless, considera quanto segue:
-
OpenSearch Serverless supporta l'esecuzione di chiamate a tutte le operazioni OpenSearch API supportate (non le operazioni API di configurazione) tramite l'endpoint dell'interfaccia.
-
Dopo aver creato un endpoint di interfaccia per OpenSearch Serverless, è comunque necessario includerlo nelle politiche di accesso alla rete per consentirgli di accedere alle raccolte serverless.
-
Per impostazione predefinita, l'accesso completo a OpenSearch Serverless è consentito tramite l'endpoint dell'interfaccia. È possibile associare un gruppo di sicurezza alle interfacce di rete degli endpoint per controllare il traffico verso OpenSearch Serverless attraverso l'endpoint dell'interfaccia.
-
Un singolo dispositivo Account AWS può avere un massimo di 50 endpoint VPC OpenSearch serverless.
-
Se abiliti l'accesso pubblico a Internet all'API o alle dashboard della tua raccolta in una politica di rete, la raccolta è accessibile da qualsiasi VPC e dalla rete Internet pubblica.
-
Se sei in locale e all'esterno del VPC, non puoi utilizzare direttamente un resolver DNS per OpenSearch la risoluzione degli endpoint VPC Serverless. Se hai bisogno di un accesso VPN, il VPC necessita di un resolver proxy DNS da utilizzare da client esterni. Route 53 offre un'opzione di endpoint in entrata che puoi utilizzare per risolvere le query DNS sul tuo VPC dalla rete locale o da un altro VPC.
-
La zona ospitata privata che OpenSearch Serverless crea e collega al VPC è gestita dal servizio, ma compare nelle tue Amazon Route 53 risorse e viene fatturata sul tuo account.
-
Per altre considerazioni, consulta la sezione Considerazioni nella Guida AWS PrivateLink .
Autorizzazioni richieste
L'accesso VPC per OpenSearch Serverless utilizza le seguenti autorizzazioni AWS Identity and Access Management (IAM). È possibile specificare le condizioni IAM per limitare gli utenti a raccolte specifiche.
-
aoss:CreateVpcEndpoint- Creazione di un endpoint VPC. -
aoss:ListVpcEndpoints- Elencazione di tutti gli endpoint VPC. -
aoss:BatchGetVpcEndpoint- Visualizzazione dei dettagli su un sottoinsieme di endpoint VPC. -
aoss:UpdateVpcEndpoint- Modifica di un endpoint VPC. -
aoss:DeleteVpcEndpoint- Eliminazione di un endpoint VPC.
Inoltre, sono necessarie le seguenti autorizzazioni Amazon EC2 e Route 53 per creare un endpoint VPC.
-
ec2:CreateTags -
ec2:CreateVpcEndpoint -
ec2:DeleteVpcEndPoints -
ec2:DescribeSecurityGroups -
ec2:DescribeSubnets -
ec2:DescribeVpcEndpoints -
ec2:DescribeVpcs -
ec2:ModifyVpcEndPoint -
route53:AssociateVPCWithHostedZone -
route53:ChangeResourceRecordSets -
route53:CreateHostedZone -
route53:DeleteHostedZone -
route53:GetChange -
route53:GetHostedZone -
route53:ListHostedZonesByName -
route53:ListHostedZonesByVPC -
route53:ListResourceRecordSets
Crea un endpoint di interfaccia per Serverless OpenSearch
Puoi creare un endpoint di interfaccia per OpenSearch Serverless utilizzando la console o l'API Serverless. OpenSearch
Per creare un endpoint di interfaccia per una raccolta Serverless OpenSearch
-
Apri la console Amazon OpenSearch Service all'indirizzo https://console.aws.amazon.com/aos/home
. -
Nel pannello di navigazione a sinistra, espandi Serverless e seleziona endpoint VPC.
-
Scegli Create VPC endpoint (Crea endpoint VPC).
-
Fornisci un nome per l'endpoint.
-
Per VPC, seleziona il VPC da cui accederai Serverless. OpenSearch
-
Per le sottoreti, seleziona una sottorete da cui accederai a Serverless. OpenSearch
-
L'indirizzo IP e il tipo DNS dell'endpoint si basano sul tipo di sottorete
-
Dualstack: se tutte le sottoreti hanno intervalli di indirizzi sia IPv4 che IPv6
-
IPv6: se tutte le sottoreti sono solo sottoreti IPv6
-
IPv4: se tutte le sottoreti hanno intervalli di indirizzi IPv4
-
-
-
Per Security groups (Gruppi di sicurezza), seleziona i gruppi di sicurezza da associare alle interfacce di rete dell'endpoint. Si tratta di un passaggio fondamentale per limitare le porte, i protocolli e le origini per il traffico in ingresso che si sta autorizzando per l'endpoint. Assicurati che le regole del gruppo di sicurezza consentano alle risorse che utilizzeranno l'endpoint VPC di comunicare con OpenSearch Serverless di comunicare con l'interfaccia di rete dell'endpoint.
-
Seleziona Crea endpoint.
Per creare un endpoint VPC utilizzando l'API OpenSearch Serverless, usa il comando. CreateVpcEndpoint
Nota
Dopo aver creato un endpoint, annotane l'ID (ad esempio, vpce-050f79086ee71ac05). Per fornire all'endpoint l'accesso alle raccolte, è necessario includere questo ID in una o più policy di accesso alla rete.
Fase successiva: concedere all'endpoint l'accesso a una raccolta
Dopo aver creato un endpoint di interfaccia, è necessario fornirgli l'accesso alle raccolte tramite policy di accesso alla rete. Per ulteriori informazioni, consulta Accesso alla rete per Amazon OpenSearch Serverless.
