本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
通过控制飞机访问 Amazon PrivateLink
Amazon OpenSearch Serverless 支持两种类型的 Amazon PrivateLink 连接用于控制平面和数据平面操作。控制平面操作包括创建和删除集合以及管理访问策略。数据平面操作用于索引和查询集合中的数据。本页介绍控制平面 Amazon PrivateLink 端点。有关数据平面 VPC 终端节点的信息,请参阅通过以下方式访问数据平面 Amazon PrivateLink。
创建控制平面 Amazon PrivateLink 端点
您可以通过将 OpenSearch Serverless 配置为使用接口 VPC 终端节点来改善 VPC 的安全状况。接口端点由提供支持 Amazon PrivateLink。这项技术使您 APIs 无需互联网网关、NAT 设备、VPN 连接或 Di Amazon rect Connect 连接即可私密访问 OpenSearch 无服务器。
有关 Amazon PrivateLink 和 VPC 终端节点的更多信息,请参阅 Amazon VPC 用户指南中的 VPC 终端节点。
注意事项
-
仅在同一区域内支持 VPC 终端节点。
-
VPC 端点仅通过 Amazon Route 53 支持 Amazon 提供的 DNS。
-
VPC 终端节点支持终端节点策略,以控制对 OpenSearch 无服务器集合、策略和。 VpcEndpoints
-
OpenSearch 无服务器仅支持接口端点。不支持网关端点。
创建 VPC 终端节点
要为 Amazon OpenSearch Serverless 创建控制平面 VPC 终端节点,请使用 Amaz on VPC 开发人员指南中的使用接口 VPC 终端节点访问 Amazon 服务程序。创建以下端点:
-
com.amazonaws.region.aoss
使用控制台创建控制平面 VPC 终端节点
-
打开位于 https://console.aws.amazon.com/vpc/
的 Amazon VPC 控制台。 -
在导航窗格中,选择端点。
-
选择 Create Endpoint(创建端点)。
-
对于 Service category(服务类别),选择 Amazon Web Services 服务。
-
对于服务,请选择
com.amazonaws.。例如region.aosscom.amazonaws.us-east-1.aoss。 -
对于 VPC,选择要在其中创建端点的 VPC。
-
对于子网,选择要在其中创建端点网络接口的子网(可用区)。
-
对于安全组,选择要与端点网络接口关联的安全组。确保允许 HTTPS(端口 443)。
-
在 “策略” 中,选择 “完全访问权限” 以允许所有操作,或者选择 “自定义” 以附加自定义策略。
-
选择创建端点。
创建端点策略
您可以将终端节点策略附加到控制对 Amazon OpenSearch Serverless 的访问权限的 VPC 终端节点。该策略指定以下信息:
-
可执行操作的主体。
-
可执行的操作。
-
可对其执行操作的资源。
有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 端点控制对服务的访问。
例 OpenSearch 无服务器的 VPC 终端节点策略
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": [ "aoss:ListCollections", "aoss:BatchGetCollection" ], "Resource": "*" } ] }
例限制性政策仅允许列表操作
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "aoss:ListCollections", "Resource": "*" } ] }