Amazon 통합 파이프라인 OpenSearch 연동 사용하기

Amazon OpenSearch Ingestion 파이프라인으로 데이터를 성공적으로 수집하려면 파이프라인 엔드포인트로 데이터를 전송하도록 클라이언트 애플리케이션 (소스) 을 구성해야 합니다. 소스는 Fluent Bit 로그, OpenTelemetry Collector 또는 간단한 S3 버킷과 같은 클라이언트일 수 있습니다. 정확한 구성은 각 클라이언트마다 다릅니다.

소스 구성 시 (데이터를 OpenSearch 서비스 도메인이나 OpenSearch 서버리스 컬렉션으로 직접 보내는 경우와 비교) 중 중요한 차이점은 AWS 서비스 이름 (osis) 과 호스트 엔드포인트 (파이프라인 엔드포인트여야 함) 입니다.

주제

• 수집 엔드포인트 구성
• 수집 역할 생성
• Amazon OpenSearch DynamoDB에서 통합 파이프라인 사용
• Amazon OpenSearch DocumentDB에서 통합 파이프라인 사용
• 컨플루언트 클라우드 OpenSearch Kafka와 함께 통합 파이프라인 사용
• OpenSearch 수집 파이프라인 사용: Amazon Managed Streaming for Apache Kafka
• Amazon OpenSearch S3에서 통합 파이프라인 사용
• Amazon OpenSearch Security Lake와 함께 통합 파이프라인 사용
• Fluent OpenSearch Bit와 함께 통합 파이프라인 사용
• Fluentd에서 통합 OpenSearch 파이프라인 사용
• Collector와 함께 통합 OpenSearch 파이프라인 사용 OpenTelemetry
• 다음 단계
• Kafka와 함께 OpenSearch 수집 파이프라인 사용
• 다음과 같은 통합 OpenSearch 파이프라인 사용 OpenSearch

수집 엔드포인트 구성

파이프라인으로 데이터를 수집하려면 데이터를 수집 엔드포인트로 보내세요. URL인제스트를 찾으려면 파이프라인 설정 페이지로 이동하여 인제스트를 복사하세요. URL

OTel추적 및 OTel메트릭과 같은 풀 기반 소스에 대한 전체 수집 엔드포인트를 구성하려면 파이프라인 구성의 수집 경로를 수집에 추가하세요. URL

예를 들어 파이프라인 구성의 수집 경로가 다음과 같다고 가정해 보겠습니다.

entry-pipeline:
  source:
    http:
      path: "/my/test_path"

클라이언트 구성에서 지정하는 전체 수집 엔드포인트는 https://ingestion-pipeline-abcdefg.us-west-2.osis.amazonaws.com/my/test_path와 같은 형식을 취합니다.

자세한 내용은 수집 경로 지정 단원을 참조하십시오.

수집 역할 생성

OpenSearch Ingestion에 대한 모든 요청은 서명 버전 4로 서명되어야 합니다. 요청에 서명하는 역할에는 최소한 osis:Ingest 작업에 대한 권한을 부여해야 합니다. 이렇게 하면 OpenSearch 처리 파이프라인으로 데이터를 보낼 수 있습니다.

예를 들어 다음 AWS Identity and Access Management (IAM) 정책은 해당 역할이 단일 파이프라인으로 데이터를 보낼 수 있도록 허용합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "osis:Ingest",
      "Resource": "arn:aws:osis:us-east-1:{account-id}:pipeline/pipeline-name"
    }
  ]
}

참고

모든 파이프라인에 역할을 사용하려면 Resource 요소의 를 와일드카드 (*) 로 바꾸세요. ARN

교차 계정 수집 액세스 제공

참고

퍼블릭 파이프라인에는 계정 간 통합 액세스만 제공할 수 있으며 파이프라인에는 제공할 수 없습니다. VPC

소스 애플리케이션이 있는 계정 등 다른 AWS 계정곳에서 파이프라인으로 데이터를 수집해야 할 수도 있습니다. 파이프라인에 쓰는 보안 주체가 파이프라인 자체와 다른 계정에 있는 경우 다른 IAM 역할을 신뢰하여 파이프라인에 데이터를 수집하도록 보안 주체를 구성해야 합니다.

교차 계정 수집 권한 구성

1. 파이프라인과 동일한 osis:Ingest AWS 계정 권한 (이전 섹션 설명 참조) 이 있는 통합 역할을 생성합니다. 지침은 역할 IAM만들기를 참조하십시오.

2. 다른 계정의 보안 주체가 이를 수임할 수 있도록 수집 역할에 신뢰 정책을 연결하세요.

   {
     "Version": "2012-10-17",
     "Statement": [{
        "Effect": "Allow",
        "Principal": {
          "AWS": "arn:aws:iam::{external-account-id}:root"
         },
        "Action": "sts:AssumeRole"
     }]
   }

3. 다른 계정에서는 수집 역할을 맡도록 클라이언트 애플리케이션(예: Fluent Bit)을 구성하세요. 이 기능을 사용하려면 애플리케이션 계정이 애플리케이션 사용자 또는 역할에 수집 역할을 맡을 수 있는 권한을 부여해야 합니다.

   다음 예제 ID 기반 정책은 연결된 보안 주체가 파이프라인 계정에서 ingestion-role을 수임하도록 허용합니다.

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "sts:AssumeRole",
         "Resource": "arn:aws:iam::{account-id}:role/ingestion-role"
       }
     ]
   }

그러면 클라이언트 애플리케이션이 이 AssumeRole작업을 사용하여 데이터를 ingestion-role 가정하고 관련 파이프라인으로 데이터를 수집할 수 있습니다.

다음 단계

데이터를 파이프라인으로 내보낸 후 파이프라인의 싱크로 구성된 OpenSearch 서비스 도메인에서 데이터를 쿼리할 수 있습니다. 다음 리소스는 시작하는 데 도움이 됩니다.

• Amazon OpenSearch 서비스에서의 옵저버빌리티

• Amazon OpenSearch 서비스를 위한 추적 분석

• 파이프 프로세싱 언어를 사용하여 Amazon OpenSearch 서비스 데이터 쿼리