Acesso à rede para Amazon OpenSearch Serverless

As configurações de rede de uma coleção Amazon OpenSearch Serverless determinam se a coleção pode ser acessada pela Internet a partir de redes públicas ou se deve ser acessada de forma privada.

O acesso privado pode ser aplicado a um ou aos dois itens a seguir:

• OpenSearch VPC endpoints gerenciados sem servidor

• Compatível Serviços da AWS , como Amazon Bedrock

Você pode configurar o acesso à rede separadamente para o endpoint de uma coleção e o OpenSearchendpoint correspondente do OpenSearch Dashboards.

O acesso à rede é o mecanismo de isolamento para permitir o acesso de diferentes redes de origem. Por exemplo, se o endpoint de OpenSearch painéis de uma coleção estiver acessível publicamente, mas o endpoint da OpenSearch API não, um usuário poderá acessar os dados da coleção somente por meio de painéis ao se conectar a partir de uma rede pública. Se eles tentarem chamar as OpenSearch APIs diretamente de uma rede pública, eles serão bloqueados. As configurações de rede podem ser usadas para essas permutações de origem para tipo de recurso. O Amazon OpenSearch Serverless oferece suporte à conectividade IPv4 e IPv6.

Políticas de rede

As políticas de rede permitem que você gerencie várias coleções em escala, atribuindo automaticamente configurações de acesso à rede a coleções que correspondam às regras definidas na política.

Em uma política de rede, você especifica uma série de regras. Essas regras definem as permissões de acesso aos endpoints da coleção e aos endpoints do OpenSearch Dashboards. Cada regra consiste em um tipo de acesso (público ou privado) e um tipo de recurso (coleção e/ou endpoint de OpenSearch painéis). Para cada tipo de recurso (collection e dashboard), você especifica uma série de regras que definem a quais coleções a política se aplicará.

Neste exemplo de política, a primeira regra especifica o acesso do VPC endpoint ao endpoint da coleção e ao endpoint do Dashboards para todas as coleções que começam com o termo. marketing* Também especifica o acesso ao Amazon Bedrock.

nota

O acesso privado Serviços da AWS , como o Amazon Bedrock, só se aplica ao endpoint da coleção, não ao OpenSearch endpoint do OpenSearch Dashboards. Mesmo que ResourceType sejadashboard, Serviços da AWS não é possível conceder acesso aos OpenSearch painéis.

A segunda regra especifica o acesso público à coleção finance, mas somente para o endpoint da coleção (sem acesso ao Dashboards).

[
   {
      "Description":"Marketing access",
      "Rules":[
         {
            "ResourceType":"collection",
            "Resource":[
               "collection/marketing*"
            ]
         },
         {
            "ResourceType":"dashboard",
            "Resource":[
               "collection/marketing*"
            ]
         }
      ],
      "AllowFromPublic":false,
      "SourceVPCEs":[
         "vpce-050f79086ee71ac05"
      ],
      "SourceServices":[
         "bedrock.amazonaws.com"
      ],
   },
   {
      "Description":"Sales access",
      "Rules":[
         {
            "ResourceType":"collection",
            "Resource":[
               "collection/finance"
            ]
         }
      ],
      "AllowFromPublic":true
   }
]

Essa política fornece acesso público somente aos OpenSearch painéis para coleções que começam com “finanças”. Qualquer tentativa de acessar diretamente a OpenSearch API falhará.

[
  {
    "Description": "Dashboards access",
    "Rules": [
      {
        "ResourceType": "dashboard",
        "Resource": [
          "collection/finance*"
        ]
      }
    ],
    "AllowFromPublic": true
  }
]

As políticas de rede podem ser aplicadas tanto às coleções existentes quanto às futuras. Por exemplo, é possível criar uma coleção e depois criar uma política de rede com uma regra que corresponda ao nome da coleção. Não é necessário criar políticas de rede para criar coleções.

Considerações

Considere o seguinte ao configurar o acesso de rede para suas coleções:

• Se você planeja configurar o acesso ao VPC endpoint para uma coleção, primeiro deve criar pelo menos um VPC endpoint gerenciado sem servidorOpenSearch .

• O acesso privado Serviços da AWS só se aplica ao endpoint da coleção, não ao OpenSearch endpoint do OpenSearch Dashboards. Mesmo que ResourceType sejadashboard, Serviços da AWS não é possível conceder acesso aos OpenSearch painéis.

• Se uma coleção for acessível a partir de redes públicas, ela também poderá ser acessada por todos os VPC endpoints OpenSearch gerenciados sem servidor e tudo mais. Serviços da AWS

• Várias políticas de rede podem ser aplicadas a uma única coleção. Para ter mais informações, consulte Precedência das políticas.

Permissões necessárias para configurar políticas de rede

O acesso à rede para OpenSearch Serverless usa as seguintes permissões AWS Identity and Access Management (IAM). É possível especificar as condições do IAM para restringir os usuários a políticas de rede associadas a coleções específicas.

• aoss:CreateSecurityPolicy: crie uma política de acesso à rede.

• aoss:ListSecurityPolicies: lista todas as políticas de rede na conta atual.

• aoss:GetSecurityPolicy: exibe uma especificação de política de acesso à rede.

• aoss:UpdateSecurityPolicy: modifica uma determinada política de acesso à rede e altera o ID da VPC ou a designação de acesso público.

• aoss:DeleteSecurityPolicy: exclui uma política de acesso à rede (depois que ela for separada de todas as coleções).

A política de acesso baseada em identidade a seguir permite que um usuário exiba todas as políticas de rede e atualize as políticas com o padrão de recursos collection/application-logs.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aoss:UpdateSecurityPolicy"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aoss:collection": "application-logs"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "aoss:ListSecurityPolicies",
                "aoss:GetSecurityPolicy"
            ],
            "Resource": "*"
        }
    ]
}

nota

Além disso, o OpenSearch Serverless exige aoss:DashboardsAccessAll permissões aoss:APIAccessAll e permissões para recursos de coleta. Para ter mais informações, consulte Usando OpenSearch API operações.

Precedência das políticas

Pode haver situações em que as regras das políticas de rede se sobreponham, dentro ou entre as políticas. Quando isso acontece, uma regra que especifica o acesso público substitui uma regra que especifica o acesso privado para qualquer coleção que seja comum às duas regras.

Por exemplo, na política a seguir, ambas as regras atribuem acesso de rede à coleção finance, mas uma regra especifica o acesso por VPC enquanto a outra especifica o acesso público. Nessa situação, o acesso público substitui o acesso por VPC somente para a coleção finance (porque ele existe em ambas as regras), de modo que a coleção finance será acessível a partir de redes públicas. A coleção de vendas terá acesso por VPC a partir do endpoint especificado.

[
   {
      "Description":"Rule 1",
      "Rules":[
         {
            "ResourceType":"collection",
            "Resource":[
               "collection/sales",
               "collection/finance"
            ]
         }
      ],
      "AllowFromPublic":false,
      "SourceVPCEs":[
         "vpce-050f79086ee71ac05"
      ]
   },
   {
      "Description":"Rule 2",
      "Rules":[
         {
            "ResourceType":"collection",
            "Resource":[
               "collection/finance"
            ]
         }
      ],
      "AllowFromPublic":true
   }
]

Se vários endpoints da VPC de regras diferentes se aplicarem a uma coleção, as regras serão aditivas e a coleção poderá ser acessada de todos os endpoints especificados. Se você definir AllowFromPublictrue, mas também fornecer um ou mais SourceVPCEs ouSourceServices, o OpenSearch Serverless ignorará os endpoints de VPC e os identificadores de serviço, e as coleções associadas terão acesso público.

Criação de políticas de rede (console)

As políticas de rede podem ser aplicadas tanto às políticas existentes quanto às políticas futuras. Recomendamos que você crie políticas de rede antes de começar a criar coleções.

Para criar uma política de rede OpenSearch sem servidor

1. Abra o console do Amazon OpenSearch Service em https://console.aws.amazon.com/aos/home.

2. No painel de navegação à esquerda, expanda Sem Servidor e escolha Políticas de rede.

3. Escolha Criar política de rede.

4. Forneça um nome e uma descrição para a política.

5. Forneça uma ou mais regras. Essas regras definem permissões de acesso para suas coleções OpenSearch sem servidor e seus endpoints de OpenSearch painéis.

   Cada regra contém os seguintes elementos:

   Elemento	Descrição
   Nome da regra	Um nome que descreve o conteúdo da regra. Por exemplo, “Acesso por VPC para a equipe de marketing”.
   Tipo de acesso	Escolha entre acesso público ou privado. Em seguida, selecione uma ou as duas opções a seguir: VPC endpoints para acesso — especifique um ou mais VPC endpoints gerenciados sem servidor — OpenSearch VPC endpoints gerenciados. AWS service (Serviço da AWS) acesso privado — Selecione um ou mais compatíveis Serviços da AWS.
   Tipo de atributo	Selecione se deseja fornecer acesso aos OpenSearch endpoints (o que permite fazer chamadas para a OpenSearch API), aos OpenSearch painéis (que permitem o acesso às visualizações e à interface do usuário para OpenSearch plug-ins) ou ambos. nota AWS service (Serviço da AWS) o acesso privado só se aplica ao endpoint da coleção, não ao OpenSearch endpoint do OpenSearch Dashboards. Mesmo se você selecionar OpenSearch Painéis, só Serviços da AWS poderá receber acesso ao endpoint.

   Para cada tipo de recurso selecionado, é possível escolher coleções existentes para aplicar as configurações de política e/ou criar um ou mais padrões de recursos. Os padrões de recursos consistem em um prefixo e um caractere curinga (*), e definem a quais coleções as configurações de política se aplicarão.

   Por exemplo, se você incluir um padrão chamado Marketing*, qualquer coleção nova ou existente cujos nomes comecem com “Marketing” terá as configurações de rede desta política aplicadas automaticamente a elas. Um único caractere curinga (*) aplica a política a todas as coleções atuais e futuras.

   Além disso, você pode especificar o nome de uma coleção futura sem um caractere curinga, comoFinance. OpenSearch O Serverless aplicará as configurações de política a qualquer coleção recém-criada com esse nome exato.

6. Quando estiver satisfeito com sua configuração de política, escolha Criar.

Criação de políticas de rede (AWS CLI)

Para criar uma política de rede usando as operações da API OpenSearch Serverless, você especifica regras no formato JSON. A CreateSecurityPolicysolicitação aceita políticas embutidas e arquivos.json. Todas as coleções e padrões devem assumir o formato collection/<collection name|pattern>.

nota

O tipo de recurso dashboards só permite a permissão para OpenSearch painéis, mas para que os OpenSearch painéis funcionem, você também deve permitir o acesso à coleção das mesmas fontes. Veja a segunda política a seguir como um exemplo.

Para especificar o acesso privado, inclua um ou os dois elementos a seguir:

• SourceVPCEs— Especifique um ou mais VPC endpoints OpenSearch gerenciados sem servidor.

• SourceServices— Especifique o identificador de um ou mais compatíveis Serviços da AWS. Atualmente, os seguintes identificadores de serviço são compatíveis:

  • bedrock.amazonaws.com— Amazon Bedrock

O exemplo de política de rede a seguir fornece acesso privado, a um VPC endpoint e ao Amazon Bedrock, a endpoints de coleta somente para coleções que começam com o prefixo. log* Usuários autenticados não podem entrar nos OpenSearch painéis; eles só podem acessar o endpoint de coleta de forma programática.

[
   {
      "Description":"Private access for log collections",
      "Rules":[
         {
            "ResourceType":"collection",
            "Resource":[
               "collection/log*"
            ]
         }
      ],
      "AllowFromPublic":false,
      "SourceVPCEs":[
         "vpce-050f79086ee71ac05"
      ],
      "SourceServices":[
         "bedrock.amazonaws.com"
      ],
   }
]

A política a seguir fornece acesso público ao OpenSearch endpoint e aos OpenSearch painéis para uma única coleção chamada. finance Se a coleção não existir, as configurações de rede serão aplicadas à coleção se e quando ela for criada.

[
   {
      "Description":"Public access for finance collection",
      "Rules":[
         {
            "ResourceType":"dashboard",
            "Resource":[
               "collection/finance"
            ]
         },
         {
            "ResourceType":"collection",
            "Resource":[
               "collection/finance"
            ]
         }
      ],
      "AllowFromPublic":true
   }
]

A solicitação a seguir cria a política de rede acima:

aws opensearchserverless create-security-policy \
    --name sales-inventory \
    --type network \
    --policy "[{\"Description\":\"Public access for finance collection\",\"Rules\":[{\"ResourceType\":\"dashboard\",\"Resource\":[\"collection\/finance\"]},{\"ResourceType\":\"collection\",\"Resource\":[\"collection\/finance\"]}],\"AllowFromPublic\":true}]"

Para fornecer a política em um arquivo JSON, use o formato --policy file://my-policy.json

Exibição de políticas de rede

Antes de criar uma coleção, talvez você queira pré-visualizar as políticas de rede existentes em sua conta para ver qual delas tem um padrão de recurso que corresponda ao nome da sua coleção. A ListSecurityPoliciessolicitação a seguir lista todas as políticas de rede em sua conta:

aws opensearchserverless list-security-policies --type network

A solicitação retorna informações sobre todas as políticas de rede configuradas. Para visualizar as regras de padrões definidas em uma política específica, encontre as informações sobre políticas no conteúdo do elemento securityPolicySummaries na resposta. Observe o name final type desta política e use essas propriedades em uma GetSecurityPolicysolicitação para receber uma resposta com os seguintes detalhes da política:

{
    "securityPolicyDetail": [
        {
            "type": "network",
            "name": "my-policy",
            "policyVersion": "MTY2MzY5MTY1MDA3Ml8x",
            "policy": "[{\"Description\":\"My network policy rule\",\"Rules\":[{\"ResourceType\":\"dashboard\",\"Resource\":[\"collection/*\"]}],\"AllowFromPublic\":true}]",
            "createdDate": 1663691650072,
            "lastModifiedDate": 1663691650072
        }
    ]
}

Para ver informações detalhadas sobre uma política específica, use o GetSecurityPolicycomando.

Atualização de políticas de rede

Quando você modifica os endpoints da VPC ou a designação de acesso público para uma rede, todas as coleções associadas são afetadas. Para atualizar uma política de rede no console OpenSearch sem servidor, expanda Políticas de rede, selecione a política a ser modificada e escolha Editar. Faça suas alterações e escolha Salvar.

Para atualizar uma política de rede usando a API OpenSearch Serverless, use o UpdateSecurityPolicycomando. É necessário incluir uma versão da política na solicitação. É possível recuperar a versão da política usando os comandos ListSecurityPolicies ou GetSecurityPolicy. A inclusão da versão mais recente da política garante que você não anule inadvertidamente uma alteração feita por outra pessoa.

A solicitação a seguir atualiza uma política de rede com um novo documento JSON de política:

aws opensearchserverless update-security-policy \
    --name sales-inventory \
    --type network \
    --policy-version MTY2MzY5MTY1MDA3Ml8x \
    --policy file://my-new-policy.json

Exclusão de políticas de rede

Antes de ser possível excluir uma política de rede, é preciso desvinculá-la de todas as coleções. Para excluir uma política no console OpenSearch sem servidor, selecione a política e escolha Excluir.

Você também pode usar o DeleteSecurityPolicycomando:

aws opensearchserverless delete-security-policy --name my-policy --type network