Acesse o Amazon OpenSearch Service usando um OpenSearch VPC endpoint gerenciado por serviços ()AWS PrivateLink - OpenSearch Serviço Amazon
ConsideraçõesFornecimento de acesso a um domínioCriar um VPC endpoint de interfaceGerenciando usando operações da API de OpenSearch serviço

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Acesse o Amazon OpenSearch Service usando um OpenSearch VPC endpoint gerenciado por serviços ()AWS PrivateLink

Você pode acessar um domínio do Amazon OpenSearch Service configurando um OpenSearch VPC endpoint gerenciado pelo serviço (desenvolvido por). AWS PrivateLinkEsses endpoints criam uma conexão privada entre sua VPC e o Amazon OpenSearch Service. Você pode acessar os domínios do OpenSearch Service VPC como se estivessem em sua VPC, sem o uso de um gateway de internet, dispositivo NAT, conexão VPN ou conexão. AWS Direct Connect As instâncias em sua VPC não precisam de endereços IP públicos para acessar OpenSearch o Serviço.

Você pode configurar domínios OpenSearch de serviço para expor endpoints adicionais em execução em sub-redes públicas ou privadas dentro da mesma VPC, VPC diferente ou diferente. Contas da AWSIsso permite que você adicione uma camada adicional de segurança para acessar seus domínios, independentemente de onde eles sejam executados, sem nenhuma infraestrutura para gerenciar. O diagrama a seguir ilustra os endpoints de VPC OpenSearch gerenciados por serviços dentro da mesma VPC:

Você estabelece essa conexão privada criando um endpoint VPC OpenSearch de interface gerenciada por serviços, desenvolvido por. AWS PrivateLinkCriaremos uma interface de rede de endpoint em cada sub-rede que você habilitar para o endpoint da VPC de interface. Essas são interfaces de rede gerenciadas por serviços que servem como ponto de entrada para o tráfego destinado ao Serviço. OpenSearch O preço padrãoAWS PrivateLink do endpoint de interface se aplica aos endpoints VPC OpenSearch gerenciados por serviços cobrados abaixo. AWS PrivateLink

Você pode criar VPC endpoints para domínios que executam todas as versões do Elasticsearch legado e do OpenSearch Elasticsearch. Para obter mais informações, consulte Acessar os Serviços da AWS pelo AWS PrivateLink no Guia doAWS PrivateLink .

Considerações e limitações do serviço OpenSearch

Antes de configurar uma interface VPC endpoint for OpenSearch Service, analise as considerações no guia.AWS PrivateLink

Ao usar OpenSearch VPC endpoints gerenciados por serviços, considere o seguinte:

  • É possível apenas usar endpoints da VPC de interface para se conectar a domínios da VPC. Não há suporte para domínios públicos.

  • Os endpoints da VPC só podem se conectar a domínios dentro da mesma Região da AWS.

  • O HTTPS é o único protocolo com suporte para endpoints da VPC. O HTTP não é permitido.

  • OpenSearch O serviço oferece suporte para fazer chamadas para todas as operações de OpenSearch API suportadas por meio de uma interface VPC endpoint.

  • É possível configurar no máximo 50 endpoints por conta, e no máximo 10 endpoints por domínio. Um único domínio pode ter no máximo 10 entidades principais autorizadas.

  • No momento, você não pode usar AWS CloudFormation para criar endpoints VPC de interface.

  • Você só pode criar endpoints VPC de interface por meio do console de OpenSearch serviço ou usando a OpenSearch API de serviço. Você não pode criar endpoints VPC de interface para OpenSearch serviço usando o console Amazon VPC.

  • OpenSearch Os VPC endpoints gerenciados por serviços não podem ser acessados pela Internet. Um OpenSearch VPC endpoint gerenciado por serviços pode ser acessado somente na VPC em que o endpoint é provisionado ou em qualquer VPC emparelhada com a VPC em que o endpoint é provisionado, conforme permitido pelas tabelas de rotas e grupos de segurança.

  • As políticas de VPC endpoint não são compatíveis com o Service. OpenSearch Você pode associar um grupo de segurança às interfaces de rede do endpoint para controlar o tráfego para o OpenSearch serviço por meio da interface VPC endpoint.

  • Sua função vinculada ao serviço deve estar na mesma AWS conta que você usa para criar o VPC endpoint.

  • Para criar, atualizar e excluir o endpoint OpenSearch Service VPC, você deve ter as seguintes permissões do Amazon EC2, além das permissões do Amazon Service: OpenSearch

    • ec2:CreateVpcEndpoint

    • ec2:DescribeVpcEndpoints

    • ec2:ModifyVpcEndpoint

    • ec2:DeleteVpcEndpoints

    • ec2:CreateTags

    • ec2:DescribeTags

    • ec2:DescribeSubnets

    • ec2:DescribeSecurityGroups

    • ec2:DescribeVpcs

nota

Atualmente, você não pode limitar a criação de VPC endpoints ao Service. OpenSearch Estamos trabalhando para tornar isso possível em uma atualização futura.

Fornecimento de acesso a um domínio

Se a VPC que você deseja acessar seu domínio estiver em outra Conta da AWS, você precisará autorizá-la na conta do proprietário antes de criar uma interface VPC endpoint.

Para permitir que uma VPC em outra Conta da AWS acesse seu domínio

  1. Abra o console do Amazon OpenSearch Service em https://console.aws.amazon.com/aos/home/.

  2. No painel de navegação, escolha Domínios e abra o domínio ao qual você deseja fornecer acesso.

  3. Acesse a guia Endpoints da VPC, que mostra as contas e as VPCs correspondentes que têm acesso ao domínio.

  4. Escolha Autorizar principal.

  5. Insira o Conta da AWS ID da conta que acessará seu domínio. Essa etapa autoriza a conta especificada a criar endpoints da VPC no domínio.

  6. Escolha Authorize.

Criação de uma endpoint da VPC de interface para um domínio de VPC

Você pode criar uma interface VPC endpoint para OpenSearch Service usando o console OpenSearch Service ou o AWS Command Line Interface ().AWS CLI

Para criar uma interface VPC endpoint para um domínio de serviço OpenSearch

  1. Abra o console do Amazon OpenSearch Service em https://console.aws.amazon.com/aos/home/.

  2. No painel de navegação à esquerda, escolha Endpoints da VPC.

  3. Escolha Criar endpoint.

  4. Selecione se deseja conectar um domínio no atual Conta da AWS ou em outro Conta da AWS.

  5. Selecione o domínio ao qual você se conecta com esse endpoint. Se o domínio estiver no atual Conta da AWS, use o menu suspenso para escolher o domínio. Se o domínio estiver em uma conta diferente, insira o nome do recurso da Amazon (ARN) do domínio ao qual você deseja se conectar. Para escolher um domínio em uma conta diferente, o proprietário precisa fornecer acesso ao domínio.

  6. Para VPC, selecione a VPC a partir da qual você acessará o Serviço. OpenSearch

  7. Para Sub-redes, selecione uma ou mais sub-redes a partir das quais você acessará o Serviço. OpenSearch

  8. Em Grupos de segurança, selecione os grupos de segurança para associar às interfaces de rede do endpoint. Essa é uma etapa crítica na qual você limita as portas, os protocolos e as origens para o tráfego de entrada que você está autorizando para o seu endpoint. As regras do grupo de segurança devem permitir que os recursos que usarão o VPC endpoint para se comunicar com o OpenSearch Serviço se comuniquem com a interface de rede do endpoint.

  9. Escolha Criar endpoint. O endpoint deverá estar ativo em 2 a 5 minutos.

Trabalhando com endpoints OpenSearch VPC gerenciados por serviços usando a API de configuração

Use as seguintes operações de API para criar e gerenciar endpoints de OpenSearch VPC gerenciados por serviços.

Use as seguintes operações de API para gerenciar o acesso de endpoints aos domínios da VPC: