Amazon OpenSearch Ingestion 내 역할 및 사용자 설정 - Amazon OpenSearch Service
파이프라인 역할수집 역할

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon OpenSearch Ingestion 내 역할 및 사용자 설정

Amazon OpenSearch Ingestion은 소스 애플리케이션이 파이프라인에 쓸 수 있도록 허용하고 파이프라인이 싱크에 쓸 수 있도록 허용하기 위해 다양한 권한 모델과 IAM 역할을 사용합니다. 데이터 수집을 시작하려면 먼저 사용 사례에 따라 특정 권한을 가진 하나 이상의 IAM 역할을 생성해야 합니다.

성공적인 파이프라인을 설정하려면 최소한 다음과 같은 역할이 필요합니다.

명칭 설명
파이프라인 역할

파이프라인 역할은 파이프라인이 소스에서 읽고 도메인 또는 컬렉션 싱크에 쓰는 데 필요한 권한을 제공합니다. 파이프라인 역할을 수동으로 생성하거나 OpenSearch Ingestion이 자동으로 생성하도록 할 수 있습니다.
수집 역할

수집 역할에는 파이프라인 리소스에 대한 osis:Ingest 권한이 포함됩니다. 이 권한을 사용하면 푸시 기반 소스가 데이터를 파이프라인으로 수집할 수 있습니다.

다음 이미지는 Amazon S3 또는 Fluent Bit와 같은 데이터 소스가 다른 계정의 파이프라인에 쓰는 일반적인 파이프라인 설정을 보여줍니다. 이 경우 클라이언트가 수집 역할을 맡아야 파이프라인에 액세스할 수 있습니다. 자세한 내용은 계정 간 수집 단원을 참조하십시오.

Cross-account data ingestion pipeline showing client application, roles, and OpenSearch sink.

간단한 설정 안내서는 튜토리얼: Amazon OpenSearch Ingestion을 사용하여 도메인에 데이터 수집을 참조하세요.

주제

파이프라인 역할

파이프라인은 소스에서 읽고 싱크에 쓸 수 있는 특정 권한이 필요합니다. 이러한 권한은 클라이언트 애플리케이션 또는 파이프라인에 쓰 AWS 서비스 는 , 싱크가 OpenSearch Service 도메인인지, OpenSearch Serverless 컬렉션인지 또는 Amazon S3인지에 따라 달라집니다. 또한 파이프라인에는 소스 애플리케이션에서 데이터를 물리적으로 가져올 수 있는 권한(소스가 풀 기반 플러그인인 경우)과 활성화된 경우 S3 배달 못한 편지 대기열에 쓸 수 있는 권한이 필요할 수 있습니다.

파이프라인을 생성할 때 수동으로 생성한 기존 IAM 역할을 지정하거나 선택한 소스 및 싱크를 기반으로 OpenSearch Ingestion이 파이프라인 역할을 자동으로 생성하도록 할 수 있습니다. 다음 이미지는에서 파이프라인 역할을 지정하는 방법을 보여줍니다 AWS Management Console.

파이프라인 역할 생성 자동화

OpenSearch Ingestion이 파이프라인 역할을 생성하도록 선택할 수 있습니다. 구성된 소스 및 싱크를 기반으로 역할에 필요한 권한을 자동으로 식별합니다. 접두사 OpenSearchIngestion-와 입력한 접미사를 사용하여 IAM 역할을 생성합니다. 예를 들어 접미사PipelineRole로를 입력하면 OpenSearch Ingestion은 라는 역할을 생성합니다OpenSearchIngestion-PipelineRole.

파이프라인 역할을 자동으로 생성하면 설정 프로세스가 간소화되고 구성 오류 가능성이 줄어듭니다. 역할 생성을 자동화하면 권한을 수동으로 할당하지 않고도 보안 구성 오류 위험 없이 올바른 정책이 적용되도록 할 수 있습니다. 또한 여러 파이프라인 배포에서 일관성을 유지하면서 모범 사례를 적용하여 시간을 절약하고 보안 규정 준수를 개선합니다.

OpenSearch Ingestion만에서 파이프라인 역할을 자동으로 생성하도록 할 수 있습니다 AWS Management Console. AWS CLI, OpenSearch Ingestion API 또는 SDKs 중 하나를 사용하는 경우 수동으로 생성된 파이프라인 역할을 지정해야 합니다.

OpenSearch Ingestion이 역할을 자동으로 생성하도록 하려면 새 서비스 역할 생성 및 사용을 선택합니다.

중요

파이프라인 역할에 대한 액세스 권한을 부여하려면 도메인 또는 컬렉션 액세스 정책을 수동으로 수정해야 합니다. 세분화된 액세스 제어를 사용하는 도메인의 경우 파이프라인 역할도 백엔드 역할에 매핑해야 합니다. 파이프라인을 생성하기 전이나 후에 이러한 단계를 수행할 수 있습니다.

지침은 다음 주제를 참조하세요.

수동으로 파이프라인 역할 생성

특정 보안 또는 규정 준수 요구 사항을 충족하기 위해 권한을 더 잘 제어해야 하는 경우 파이프라인 역할을 수동으로 생성하는 것이 좋습니다. 수동 생성을 통해 기존 인프라 또는 액세스 관리 전략에 맞게 역할을 조정할 수 있습니다. 역할을 다른와 통합 AWS 서비스 하거나 고유한 운영 요구 사항에 맞게 조정하려면 수동 설정을 선택할 수도 있습니다.

수동으로 생성된 파이프라인 역할을 선택하려면 기존 IAM 역할 사용을 선택하고 기존 역할을 선택합니다. 역할에는 선택한 소스에서 데이터를 수신하고 선택한 싱크에 쓰는 데 필요한 모든 권한이 있어야 합니다. 다음 섹션에서는 파이프라인 역할을 수동으로 생성하는 방법을 간략하게 설명합니다.

소스에서 읽을 수 있는 권한

OpenSearch Ingestion 파이프라인에는 지정된 소스에서 데이터를 읽고 수신할 수 있는 권한이 필요합니다. 예를 들어 Amazon DynamoDB 소스의 경우 dynamodb:DescribeTable 및와 같은 권한이 필요합니다dynamodb:DescribeStream. Amazon S3, Fluent Bit 및 OpenTelemetry Collector와 같은 일반적인 소스에 대한 샘플 파이프라인 역할 액세스 정책은 섹션을 참조하세요Amazon OpenSearch Ingestion 파이프라인을 다른 서비스 및 애플리케이션과 통합.

도메인 싱크에 쓸 수 있는 권한

OpenSearch Ingestion 파이프라인에는 싱크로 구성된 OpenSearch Service 도메인에 쓸 수 있는 권한이 필요합니다. 이러한 권한에는 도메인을 설명하고 도메인에 HTTP 요청을 보내는 기능이 포함됩니다. 이러한 권한은 퍼블릭 도메인과 VPC 도메인에서 동일합니다. 파이프라인 역할을 생성하고 도메인 액세스 정책에서 지정하는 지침은 파이프라인이 도메인에 액세스하도록 허용을 참조하세요.

컬렉션 싱크에 쓸 수 있는 권한

OpenSearch Ingestion 파이프라인에는 싱크로 구성된 OpenSearch Serverless 컬렉션에 쓸 수 있는 권한이 필요합니다. 이러한 권한에는 컬렉션을 설명하고 컬렉션에 HTTP 요청을 보내는 기능이 포함됩니다.

먼저 파이프라인 역할 액세스 정책이 필요한 권한을 부여하는지 확인합니다. 그런 다음 이 역할을 데이터 액세스 정책에 포함시키고 컬렉션 내에서 인덱스 생성, 인덱스 업데이트, 인덱스 설명, 문서 작성 등의 권한을 부여합니다. 각 단계를 완료하기 위한 지침은 파이프라인의 컬렉션 액세스 허용을 참조하세요.

Amazon S3 또는 배달 못한 편지 대기열에 쓸 수 있는 권한

Amazon S3를 파이프라인의 싱크 대상으로 지정하거나 DLQ(Dead Letter Queue)를 활성화하는 경우 파이프라인 역할은 대상으로 지정한 S3 버킷에 액세스할 수 있도록 허용해야 합니다.

DLQ 액세스를 제공하는 파이프라인 역할에 별도의 권한 정책을 연결합니다. 최소한 역할에 버킷 리소스에 대한 S3:PutObject 작업을 부여해야 합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "WriteToS3DLQ",
      "Effect": "Allow",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::my-dlq-bucket/*"
    }
  ]
}

수집 역할

수집 역할은 외부 서비스가 OpenSearch Ingestion 파이프라인과 안전하게 상호 작용하고 데이터를 전송할 수 있도록 하는 IAM 역할입니다. Amazon Security Lake와 같은 푸시 기반 소스의 경우이 역할은를 포함하여 파이프라인으로 데이터를 푸시할 수 있는 권한을 부여해야 합니다osis:Ingest. Amazon S3와 같은 풀 기반 소스의 경우 역할은 OpenSearch Ingestion을 활성화하여 이를 수임하고 필요한 권한으로 데이터에 액세스해야 합니다.

푸시 기반 소스의 수집 역할

푸시 기반 소스의 경우 데이터는 Amazon Security Lake 또는 Amazon DynamoDB와 같은 다른 서비스에서 수집 파이프라인으로 전송되거나 푸시됩니다. 이 시나리오에서 수집 역할에는 최소한 파이프라인과 상호 작용할 수 있는 osis:Ingest 권한이 필요합니다.

다음 IAM 액세스 정책은 수집 역할에이 권한을 부여하는 방법을 보여줍니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "osis:Ingest"
      ],
      "Resource": "arn:aws:osis:region:account-id:pipeline/pipeline-name/*"
    }
  ]
}

풀 기반 소스의 수집 역할

풀 기반 소스의 경우 OpenSearch Ingestion 파이프라인은 Amazon S3와 같은 외부 소스에서 데이터를 적극적으로 가져오거나 가져옵니다. 이 경우 파이프라인은 데이터 소스에 액세스하는 데 필요한 권한을 부여하는 IAM 파이프라인 역할을 맡아야 합니다. 이러한 시나리오에서 수집 역할은 파이프라인 역할과 동의어입니다.

역할에는 OpenSearch Ingestion이 이를 수임할 수 있도록 허용하는 신뢰 관계와 데이터 소스와 관련된 권한이 포함되어야 합니다. 자세한 내용은 소스에서 읽을 수 있는 권한 단원을 참조하십시오.

계정 간 수집

애플리케이션 계정과 AWS 계정같은 다른에서 파이프라인으로 데이터를 수집해야 할 수 있습니다. 계정 간 수집을 구성하려면 파이프라인과 동일한 계정 내에 수집 역할을 정의하고 수집 역할과 애플리케이션 계정 간에 신뢰 관계를 설정하세요.

{
  "Version": "2012-10-17",
  "Statement": [{
     "Effect": "Allow",
     "Principal": {
       "AWS": "arn:aws:iam::external-account-id:root"
      },
     "Action": "sts:AssumeRole"
  }]
}

그런 다음, 수집 역할을 맡도록 애플리케이션을 구성하세요. 애플리케이션 계정은 파이프라인 계정의 수집 역할에 대한 AssumeRole 권한을 애플리케이션 역할에 부여해야 합니다.

자세한 단계 및 예제 IAM 정책은 교차 계정 수집 액세스 제공을 참조하세요.