Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Configurando funções e usuários na Amazon OpenSearch Ingestion

PDF
RSS
Modo de foco
Configurando funções e usuários na Amazon OpenSearch Ingestion - OpenSearch Serviço Amazon
Perfil de gerenciamentoPerfis do pipelinePerfil de ingestão

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

O Amazon OpenSearch Ingestion usa uma variedade de modelos de permissões e funções do IAM para permitir que os aplicativos de origem gravem em pipelines e para permitir que os pipelines gravem em sumidouros. Antes de começar a ingerir dados, você deve criar um ou mais perfis do IAM com permissões específicas com base no seu caso de uso.

No mínimo, você deve ter os seguintes perfis para configurar um pipeline bem-sucedido.

Nome Descrição
Perfil de gerenciamento

Qualquer entidade principal que esteja gerenciando pipelines (geralmente um “administrador de pipeline”) precisa de acesso de gerenciamento, que inclui permissões como osis:CreatePipeline e osis:UpdatePipeline. Essas permissões permitem que um usuário administre pipelines, mas não necessariamente grave dados neles.
Perfis do pipeline

O perfil do pipeline, que você especifica na configuração YAML do pipeline, fornece as permissões necessárias para que um pipeline grave no domínio ou no coletor de coleções e leia de fontes baseadas em pull. Para obter mais informações, consulte os tópicos a seguir.
Perfil de ingestão

O perfil de ingestão contém a permissão osis:Ingest para o recurso de pipeline. Essa permissão permite que fontes baseadas em push consumam dados em um pipeline.

A imagem a seguir demonstra uma configuração típica de pipeline, em que uma fonte de dados, como Amazon S3 ou Fluent Bit, está gravando em um pipeline em uma conta diferente. Nesse caso, o cliente precisa assumir o perfil de ingestão para acessar o pipeline. Para obter mais informações, consulte Ingestão entre contas.

Cross-account data ingestion pipeline showing client application, roles, and OpenSearch sink.

Para obter um guia de configuração simples, consulte Tutorial: Ingestão de dados em um domínio usando o Amazon OpenSearch Ingestion.

Perfil de gerenciamento

Além das osis:* permissões básicas necessárias para criar e modificar um pipeline, você também precisa da iam:PassRole permissão para o recurso de perfil do pipeline. Qualquer AWS service (Serviço da AWS) pessoa que aceite uma função deve usar essa permissão. OpenSearch A ingestão assume a função toda vez que precisa gravar dados em um coletor. Isso ajuda os administradores a garantir que somente usuários aprovados possam configurar a OpenSearch ingestão com uma função que conceda permissões. Para obter mais informações, consulte Conceder permissões a um usuário para passar uma função para um AWS service (Serviço da AWS).

Se você estiver usando o AWS Management Console (usando esquemas e depois verificando seu funil), precisará das seguintes permissões para criar e atualizar um funil:

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Resource":"*",
         "Action":[
            "osis:CreatePipeline",
            "osis:GetPipelineBlueprint",
            "osis:ListPipelineBlueprints",
            "osis:GetPipeline",
            "osis:ListPipelines",
            "osis:GetPipelineChangeProgress",
            "osis:ValidatePipeline",
            "osis:UpdatePipeline"
         ]
      },
      {
         "Resource":[
            "arn:aws:iam::account-id:role/pipeline-role"
         ],
         "Effect":"Allow",
         "Action":[
            "iam:PassRole"
         ]
      }
   ]
}

Se você estiver usando o AWS CLI (sem pré-validar seu pipeline ou usando blueprints), precisará das seguintes permissões para criar e atualizar um pipeline:

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Resource":"*",
         "Action":[
            "osis:CreatePipeline",
            "osis:UpdatePipeline"
         ]
      },
      {
         "Resource":[
            "arn:aws:iam::account-id:role/pipeline-role"
         ],
         "Effect":"Allow",
         "Action":[
            "iam:PassRole"
         ]
      }
   ]
}

Perfis do pipeline

Um pipeline precisa de certas permissões para gravar no coletor. Essas permissões dependem se o coletor é um domínio OpenSearch de serviço ou uma coleção OpenSearch sem servidor.

Além disso, um pipeline pode precisar de permissões para extrair do aplicativo de origem (se a fonte for um plug-in baseado em pull) e permissões para gravar em uma fila de mensagens não entregues do S3, se configurado.

Gravar em um coletor de domínios

Um pipeline OpenSearch de ingestão precisa de permissão para gravar em um domínio OpenSearch de serviço configurado como coletor. Essas permissões incluem a capacidade de descrever o domínio e enviar solicitações HTTP para ele.

Para fornecer ao seu pipeline as permissões necessárias para gravar em um coletor, primeiro crie uma função AWS Identity and Access Management (IAM) com as permissões necessárias. Essas permissões são as mesmas para pipelines públicos e VPC. Em seguida, especifique o perfil do pipeline na política de acesso ao domínio para que o domínio possa aceitar solicitações de gravação do pipeline.

Por fim, especifique o ARN do perfil como o valor da opção sts_role_arn na configuração do pipeline:

version: "2"
source:
  http:
    ...
processor:
  ...
sink:
  - opensearch:
      ...
      aws:
        sts_role_arn: arn:aws:iam::account-id:role/pipeline-role

Para obter instruções sobre como concluir cada uma dessas etapas, consulte Como permitir que os pipelines acessem domínios.

Gravação em um coletor de coleções

Um pipeline OpenSearch de ingestão precisa de permissão para gravar em uma coleção OpenSearch Serverless configurada como coletor. Essas permissões incluem a capacidade de descrever a coleção e enviar solicitações HTTP para ela.

Primeiro, crie um perfil do IAM que tenha a permissão de aoss:BatchGetCollection para todos os recursos (*). Em seguida, inclua esse perfil em uma política de acesso a dados e forneça permissões para criar índices, atualizar índices, descrever índices e escrever documentos na coleção. Por fim, especifique o ARN do perfil como o valor da opção sts_role_arn na configuração do pipeline.

Para obter instruções sobre como concluir cada uma dessas etapas, consulte Como permitir que os pipelines acessem as coleções.

Gravar em uma fila de mensagens não entregues

Se configurar seu pipeline para gravar em uma fila de mensagens não entregues (DLQ), você deverá incluir a opção sts_role_arn na configuração da DLQ. As permissões incluídas nesse perfil permitem que o pipeline acesse o bucket do S3 que você especifica como destino para eventos do DLQ.

Você deve usar o mesmo sts_role_arn em todos os componentes do pipeline. Portanto, você deve anexar uma política de permissões separada ao seu perfil de pipeline que forneça acesso ao DLQ. No mínimo, o perfil deve ter permissão para a ação S3:PutObject no recurso do bucket:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "WriteToS3DLQ",
      "Effect": "Allow",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::my-dlq-bucket/*"
    }
  ]
}

Em seguida, você pode especificar o perfil na configuração do DLQ do pipeline:

  ...
  sink:
    opensearch:
      dlq:
        s3:
          bucket: "my-dlq-bucket"
          key_path_prefix: "dlq-files"
          region: "us-west-2"
          sts_role_arn: "arn:aws:iam::account-id:role/pipeline-role"

Perfil de ingestão

Todos os plug-ins de origem compatíveis atualmente com o OpenSearch Ingestion, com exceção do S3, usam uma arquitetura baseada em push. Isso significa que o aplicativo de origem envia os dados para o pipeline, em vez de o pipeline extrair os dados da fonte.

Portanto, você deve conceder aos aplicativos de origem as permissões necessárias para ingerir dados em um pipeline OpenSearch de ingestão. No mínimo, o perfil que assina a solicitação deve receber permissão para a ação osis:Ingest, o que permite enviar dados para um pipeline. As mesmas permissões são necessárias para endpoints de pipelines públicos e VPC.

O exemplo de política a seguir permite que a entidade principal associada consuma dados em um único pipeline my-pipeline chamado:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "PermitsWriteAccessToPipeline",
      "Effect": "Allow",
      "Action": "osis:Ingest",
      "Resource": "arn:aws:osis:region:account-id:pipeline/pipeline-name"
    }
  ]
}

Para obter mais informações, consulte Integração dos pipelines OpenSearch de ingestão da Amazon com outros serviços e aplicativos.

Ingestão entre contas

Talvez seja necessário ingerir dados em um pipeline de outro Conta da AWS, como uma conta de aplicativo. Para configurar a ingestão entre contas, defina uma perfil de ingestão na mesma conta do pipeline e estabeleça uma relação de confiança entre o perfil de ingestão e a conta do aplicativo:

{
  "Version": "2012-10-17",
  "Statement": [{
     "Effect": "Allow",
     "Principal": {
       "AWS": "arn:aws:iam::external-account-id:root"
      },
     "Action": "sts:AssumeRole"
  }]
}

Em seguida, configure seu aplicativo para assumir o perfil de ingestão. A conta do aplicativo deve conceder AssumeRolepermissões à função do aplicativo para a função de ingestão na conta do pipeline.

Para obter etapas detalhadas e exemplos de políticas do IAM, consulte Concessão de acesso de ingestão entre contas.

Nesta página

Related resources

Amazon OpenSearch Service Referência da API
AWS CLI comandos para Amazon OpenSearch Service
SDKs e ferramentas 

Related resources

Amazon OpenSearch Service Referência da API
AWS CLI comandos para Amazon OpenSearch Service
SDKs e ferramentas 
PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.