As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Tutorial: Introdução à segurança no Amazon OpenSearch Serverless (console)
Este tutorial mostra as etapas básicas para criar e gerenciar políticas de segurança usando o console Amazon OpenSearch Serverless.
Você concluirá as seguintes etapas neste tutorial:
Este tutorial orienta você ao longo da configuração de uma coleção usando o AWS Management Console. Para obter as mesmas etapas usando a AWS CLI, consulte Tutorial: Introdução à segurança no Amazon OpenSearch Serverless (CLI).
Etapa 1: configurar permissões
nota
É possível pular esta etapa se já estiver usando uma política baseada em identidade mais ampla, como Action":"aoss:*" ou Action":"*". Em ambientes de produção, no entanto, recomendamos que você siga o princípio do privilégio mínimo e atribua somente as permissões mínimas necessárias para concluir uma tarefa.
Para concluir este tutorial, você deve ter as permissões corretas do IAM. Seu usuário ou função deve ter uma política baseada em identidade anexada com as seguintes permissões mínimas:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "aoss:ListCollections", "aoss:BatchGetCollection", "aoss:CreateCollection", "aoss:CreateSecurityPolicy", "aoss:GetSecurityPolicy", "aoss:ListSecurityPolicies", "aoss:CreateAccessPolicy", "aoss:GetAccessPolicy", "aoss:ListAccessPolicies" ], "Effect": "Allow", "Resource": "*" } ] }
Para obter uma lista completa das permissões OpenSearch sem servidor, consulte. Identity and Access Management para Amazon OpenSearch Serverless
Etapa 2: criar uma política de criptografia
As políticas de criptografia especificam a AWS KMS chave que o OpenSearch Serverless usará para criptografar a coleção. É possível criptografar coleções com uma Chave gerenciada pela AWS ou uma chave diferente. Por simplicidade, neste tutorial, criptografaremos nossa coleção com uma Chave gerenciada pela AWS.
Para criar uma política de criptografia
-
Abra o console do Amazon OpenSearch Service em https://console.aws.amazon.com/aos/home
. -
No painel de navegação à esquerda, expanda Sem Servidor e escolha Políticas de criptografia.
-
Escolha Criar política de criptografia.
-
Nomeie a política como books-policy. Para a descrição, insira Política de criptografia para coleção de livros.
-
Em Recursos, insira livros, que é como você chamará sua coleção. Se você quiser ser mais amplo, inclua um asterisco (
books*) para que a política se aplique a todas as coleções que comecem com a palavra “books” (livros). -
Em Criptografia, mantenha a opção Usar chave própria da AWS selecionada.
-
Escolha Criar.
Etapa 3: criar uma política de rede
As políticas de rede determinam se sua coleção pode ser acessada pela Internet a partir de redes públicas ou se ela deve ser acessada por meio de VPC endpoints OpenSearch gerenciados sem servidor. Neste tutorial, configuraremos o acesso público.
Para criar uma política de rede
-
Escolha Políticas de rede no painel de navegação à esquerda, e escolha Criar política de rede.
-
Nomeie a política como books-policy. Para a descrição, insira Política de rede para coleção de livros.
-
Na Regra 1, nomeie a regra como Acesso público para coleção de livros .
-
Para simplificar, neste tutorial, configuraremos o acesso público para a coleção livros. Para o tipo de acesso, selecione Público.
-
Vamos acessar a coleção a partir dos OpenSearch painéis. Para fazer isso, você precisa configurar o acesso à rede para painéis e o OpenSearch endpoint, caso contrário, os painéis não funcionarão.
Para o tipo de recurso, habilite o acesso aos OpenSearch endpoints e o acesso aos OpenSearch painéis.
-
Em ambas as caixas de entrada, insira Nome da coleção = livros. Essa configuração reduz o escopo da política para que ela se aplique somente a uma única coleção (
books). Sua regra deve ser semelhante a esta:
-
Escolha Criar.
Etapa 4: Criar uma política de acesso a dados
Os dados da sua coleção não estarão acessíveis até que você configure o acesso aos dados. As políticas de acesso a dados são separadas da política baseada em identidade do IAM que você configurou na etapa 1. Elas permitem que os usuários acessem os dados reais de uma coleção.
Neste tutorial, forneceremos a um único usuário as permissões necessárias para indexar dados na coleção livros.
Para criar uma política de acesso a dados
-
No painel de navegação à esquerda, escolha Políticas de acesso a dados e, em seguida, Criar política de acesso.
-
Nomeie a política como books-policy. Para a descrição, insira Política de acesso a dados para coleção de livros.
-
Selecione JSON para o método de definição de política e cole a seguinte política no editor JSON.
Substitua o ARN principal pelo ARN da conta que você usará para fazer login nos OpenSearch painéis e indexar dados.
[ { "Rules":[ { "ResourceType":"index", "Resource":[ "index/books/*" ], "Permission":[ "aoss:CreateIndex", "aoss:DescribeIndex", "aoss:ReadDocument", "aoss:WriteDocument", "aoss:UpdateIndex", "aoss:DeleteIndex" ] } ], "Principal":[ "arn:aws:iam::123456789012:user/my-user" ] } ]Esta política fornece a um único usuário as permissões mínimas necessárias para criar um índice na coleção livros, indexar alguns dados e pesquisá-los.
-
Escolha Criar.
Etapa 5: Criar uma coleção
Agora que você configurou as políticas de criptografia e rede, será possível criar uma coleção correspondente e as configurações de segurança serão aplicadas automaticamente a ela.
Para criar uma coleção OpenSearch sem servidor
-
Escolha Coleções no painel de navegação à esquerda e escolha Criar coleção.
-
Dê o nome de livros à coleção.
-
Para o tipo de coleção, escolha Pesquisar.
-
Em Criptografia, OpenSearch Serverless informa que o nome da coleção corresponde à política de criptografia.
books-policy -
Em Configurações de acesso à rede, o OpenSearch Serverless informa que o nome da coleção corresponde à
books-policypolítica de rede. -
Escolha Próximo.
-
Em Opções de política de acesso a dados, o OpenSearch Serverless informa que o nome da coleção corresponde à política de acesso a
books-policydados. -
Escolha Próximo.
-
Reveja a configuração da coleção e escolha Enviar. Normalmente, as coleções levam menos de um minuto para serem inicializadas.
Etapa 6: transferir e pesquisar dados
Você pode carregar dados para uma coleção OpenSearch sem servidor usando Postman ou curl. Para resumir, esses exemplos usam Dev Tools no console OpenSearch Dashboards.
Para indexar e pesquisar dados em uma coleção
-
Escolha Coleções no painel de navegação à esquerda e escolha a coleção livros para abrir sua página de detalhes.
-
Escolha o URL dos OpenSearch painéis para a coleção. O URL assume o formato
https://.collection-id.us-east-1.aoss.amazonaws.com/_dashboards -
Faça login nos OpenSearch painéis usando as chaves de AWS acesso e secretas do principal que você especificou em sua política de acesso a dados.
-
Em OpenSearch Painéis, abra o menu de navegação à esquerda e escolha Ferramentas de desenvolvimento.
-
Para criar um único índice chamado books-index, execute o seguinte comando:
PUT books-index
-
Para indexar um único documento em books-index, execute o seguinte comando:
PUT books-index/_doc/1 { "title": "The Shining", "author": "Stephen King", "year": 1977 } -
Para pesquisar dados em OpenSearch painéis, você precisa configurar pelo menos um padrão de índice. OpenSearch usa esses padrões para identificar quais índices você deseja analisar. Abra o menu principal do Dashboards, escolha Gerenciamento de pilhas, escolha Padrões de índice e, em seguida, escolha Criar padrão de índice. Para este tutorial, insira books-index.
-
Escolha Próxima etapa e, em seguida, Criar padrão de índice. Depois que o padrão é criado, você pode visualizar os vários campos do documento, como
authoretitle. -
Para começar a pesquisar seus dados, abra o menu principal novamente e escolha Descobrir, ou use a API de pesquisa
.
