本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用接口终端节点访问 Amazon OpenSearch Serverless ()Amazon PrivateLink
您可以使用 Amazon PrivateLink 在您VPC和 Amazon OpenSearch Serverless 之间创建私有连接。无需使用互联网网关、NAT设备VPC、连接或VPN Amazon Direct Connect 连接,即可像访问 OpenSearch 服务器一样访问无服务器。您中的实例VPC不需要公有 IP 地址即可访问 OpenSearch 无服务器。有关VPC网络访问的更多信息,请参阅 Amazon OpenSearch Serverless 的网络连接模式
您可以通过创建由 Amazon PrivateLink提供支持的接口端点来建立此私有连接。我们将在您为接口端点指定的每个子网中创建一个端点网络接口。这些是请求者管理的网络接口,用作发往 Serverless 的流量的入口点。 OpenSearch
有关更多信息,请参阅《Amazon PrivateLink 指南》中的通过 Amazon PrivateLink访问 Amazon Web Services 服务。
DNS收集端点的分辨率
当您创建VPC终端节点时,该服务会创建一个新的 Amazon Route 53 私有托管区域并将其附加到VPC。此私有托管区域包含一条记录,用于将 OpenSearch 无服务器集合 (*.aoss.us-east-1.amazonaws.com
) 的通配符DNS记录解析为用于终端节点的接口地址。您只需要一个 OpenSearch 无服务器VPC端点即可VPC访问每个 Amazon Web Services 区域集合中的所有集合和仪表板。每个拥VPC有 S OpenSearch erverless 端点的用户都有自己的私有托管区域。
OpenSearch Serverless 还会为该地区的所有集合创建一条公共 Route 53 通配符DNS记录。该DNS名称解析为 OpenSearch 无服务器公有 IP 地址。中没有 OpenSearch 无服务器VPC端点VPCs的客户端或公共网络中的客户端可以使用公共 Route 53 解析器,并使用这些 IP 地址访问集合和仪表板。VPC终端节点的 IP 地址类型(IPv4IPv6、或 Dualstack)是根据您为 Serverless 创建接口终端节点时提供的子网确定的。 OpenSearch
注意
OpenSearch Serverless 会为服务域解析创建额外的 Amazon Route 53 私有托管区域 `<region>.opensearch.amazonaws.com
(`)。 OpenSearch 您可以使用中的update-vpc-endpoint命令将现有IPv4VPC终端节点更新到 Dualstack。 Amazon CLI
给定DNS解析器地址VPC是的第二个 IP 地址。VPC CIDR中的任何客户端都VPC需要使用该解析器来获取任何集合的VPC端点地址。解析器使用由 OpenSearch Serverless 创建的私有托管区域。使用该解析器足以处理任何账户中的所有集合。也可以将VPC解析器用于某些集合端点,而将公共解析器用于其他集合端点,尽管通常不是必需的。
VPCs和网络访问策略
要向您的集合 OpenSearch APIs和仪表板授予网络权限,您可以使用 OpenSearch 无服务器网络访问策略。您可以从您的VPC终端节点或公共互联网控制此网络访问。由于网络策略仅控制流量权限,因此还必须设置数据访问策略,指定对集合及其索引中的数据执行操作的权限。将 OpenSearch 无服务器VPC端点视为服务的接入点,将网络访问策略视为集合和仪表板的网络级访问点,将数据访问策略视为对集合中数据进行任何操作的精细访问控制的接入点。
由于您可以在网络策略IDs中指定多个VPC终端节点,因此我们建议您为每个VPC需要访问集合的VPC终端节点创建一个终端节点。这些 Amazon 账户VPCs可以属于与拥有 OpenSearch Serverless 集合和网络策略的账户不同的账户。我们不建议您在两个账户之间 VPC-to-VPC创建对等或其他代理解决方案,以便一个账户VPC可以使用另一个账户的终端节VPC点。与每个都有自己的端点相比,这不如各自VPC拥有自己的端点那么安全且经济实惠。第一个VPC对VPC方的管理员不容易看见,因为他已经在网络策略中设置了VPC对该端点的访问权限。
VPCs和端点策略
Amazon OpenSearch Serverless 支持以下方面的终端节点策略。VPCs终端节点策略是一种IAM基于资源的策略,您可以将其附加到VPC终端节点,以控制哪些 Amazon 委托人可以使用该终端节点访问您的 Amazon 服务。有关更多信息,请参阅使用VPC终端节点策略控制对终端节点的访问。
要使用端点策略,必须先创建接口端点。您可以使用无服务器控制台或 OpenSearch 无服务器创建接口端点。 OpenSearch API创建接口端点后,您需要将端点策略添加到端点。有关更多信息,请参阅使用接口终端节点访问 Amazon OpenSearch Serverless(Amazon PrivateLink)。
注意
您不能直接在 OpenSearch 服务控制台中定义终端节点策略。
端点策略不会覆盖或取代您可能已配置的其他基于身份的策略、基于资源的策略、网络策略或数据访问策略。有关更新终端节点策略的更多信息,请参阅使用终端节点策略控制对VPC终端节点的访问。
默认情况下,终端节点策略授予对您的终VPC端节点的完全访问权限。
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } ] }
尽管默认VPC终端节点策略授予终端节点的完全访问权限,但您可以将VPC终端节点策略配置为允许特定角色和用户进行访问。为此,请参阅以下示例:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "
123456789012
", "987654321098
" ] }, "Action": "*", "Resource": "*" } ] }
您可以将 OpenSearch 无服务器集合指定为终VPC端节点策略中的条件元素。为此,请参阅以下示例:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aoss:collection": [ "
coll-abc
" ] } } } ] }
支持 S aoss:CollectionId
upport
Condition": { "StringEquals": { "aoss:CollectionId": "collection-id" } }
您可以在VPC终端节点策略中使用SAML身份来确定终VPC端节点的访问权限。您必须在VPC终端节点策略的主(*)
体部分使用通配符。为此,请参阅以下示例:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:SamlGroups": [ "
saml/123456789012/idp123/group/football
", "saml/123456789012/idp123/group/soccer
", "saml/123456789012/idp123/group/cricket
" ] } } } ] }
此外,您可以将终端节点策略配置为包含特定的SAML委托人策略。为此,请参阅以下内容:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aoss:SamlPrincipal": [ "
saml/123456789012/idp123/user/user1234
"] } } } ] }
有关在 Amazon Serverless 中使用SAML身份验证的更多信息,请参阅 Amazon OpenSearch Ser OpenSearch verless 的SAML身份验证。
您也可以将IAM和SAML用户包含在同一个VPC终端节点策略中。为此,请参阅以下示例:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aoss:SamlGroups": [ "
saml/123456789012/idp123/group/football
", "saml/123456789012/idp123/group/soccer
", "saml/123456789012/idp123/group/cricket
" ] } } }, { "Effect": "Allow", "Principal": { "AWS": [ "123456789012
" ] }, "Action": "*", "Resource": "*" } ] }
注意事项
在为 OpenSearch Serverless 设置接口终端节点之前,请考虑以下事项:
-
OpenSearch Serverless 支持通过接口端点调用所有支持的OpenSearch APIAPI操作(不是配置操作)。
-
为 OpenSearch Serverless 创建接口终端节点后,您仍需要将其包含在网络访问策略中,以便它能够访问无服务器集合。
-
默认情况下,允许通过接口端点对 OpenSearch Serverless 进行完全访问。您可以将安全组与端点网络接口关联,以控制通过接口终端节点流向 OpenSearch Serverless 的流量。
-
单个最多 Amazon Web Services 账户 可以有 50 个 OpenSearch 无服务器VPC端点。
-
如果您在网络策略中允许通过公共互联网访问您的馆藏API或仪表板,则任何VPC人都可以通过公共互联网访问您的馆藏。
-
如果您在本地和外部VPC,则不能直接使用DNS解析器进行 OpenSearch 无服务器VPC端点解析。如果您需要VPN访问权限,则VPC需要DNS代理解析器供外部客户端使用。Route 53 提供了一个入站终端节点选项,您可以使用该选项来解析VPC来自本地网络或其他网络的DNS查询VPC。
-
OpenSearch Serverless 创建并附加到的私VPC有托管区域由服务管理,但它会显示在您的 Amazon Route 53 资源中并计入您的账户。
-
有关其他注意事项,请参阅 Amazon PrivateLink 指南中的注意事项。
所需权限
VPC OpenSearch 无服务器访问使用以下 Amazon Identity and Access Management (IAM) 权限。您可以指定IAM条件来限制用户访问特定的集合。
-
aoss:CreateVpcEndpoint
— 创建VPC终端节点。 -
aoss:ListVpcEndpoints
— 列出所有VPC端点。 -
aoss:BatchGetVpcEndpoint
— 查看有关VPC端点子集的详细信息。 -
aoss:UpdateVpcEndpoint
— 修改VPC端点。 -
aoss:DeleteVpcEndpoint
— 删除VPC端点。
此外,您还需要以下 Amazon EC2 和 Route 53 权限才能创建VPC终端节点。
-
ec2:CreateTags
-
ec2:CreateVpcEndpoint
-
ec2:DeleteVpcEndPoints
-
ec2:DescribeSecurityGroups
-
ec2:DescribeSubnets
-
ec2:DescribeVpcEndpoints
-
ec2:DescribeVpcs
-
ec2:ModifyVpcEndPoint
-
route53:AssociateVPCWithHostedZone
-
route53:ChangeResourceRecordSets
-
route53:CreateHostedZone
-
route53:DeleteHostedZone
-
route53:GetChange
-
route53:GetHostedZone
-
route53:ListHostedZonesByName
-
route53:ListHostedZonesByVPC
-
route53:ListResourceRecordSets
为 OpenSearch 无服务器创建接口端点
您可以使用控制台或 OpenSearch 无服务器为无服务器创建接口终端节点。 OpenSearch API
为 OpenSearch 无服务器集合创建接口端点
-
在https://console.aws.amazon.com/aos/家
中打开亚马逊 OpenSearch 服务控制台。 -
在左侧导航窗格中,展开无服务器并选择VPC终端节点。
-
选择创建VPC终端节点。
-
为端点提供名称。
-
对于 VPC,请选择您VPC要从中访问 OpenSearch 无服务器的。
-
对于子网,请选择一个您要从中访问 OpenSearch 无服务器的子网。
-
终端的 IP 地址和DNS类型取决于子网类型
-
Dualstack:如果所有子网都同时具有和地址范围 IPv4 IPv6
-
IPv6: 如果所有子网都IPv6只是子网
-
IPv4: 如果所有子网都有IPv4地址范围
-
-
-
对于 Security groups(安全组),选择要与端点网络接口关联的安全组。这是一个关键步骤,您可以在该步骤中限制您授权进入端点的入站流量的端口、协议和源。确保安全组规则允许将使用VPC终端节点与 OpenSearch Serverless 通信的资源与端点网络接口通信。
-
选择创建端点。
要使用 OpenSearch 无服务器创建VPC端点API,请使用CreateVpcEndpoint
命令。
注意
在创建端点后,记下其 ID(例如,vpce-050f79086ee71ac05
)。为给端点提供针对集合的访问权限,您必须将此 ID 包含在一个或多个网络访问策略中。
下一步:为端点授予针对集合的访问权限
在创建接口端点后,必须通过网络访问策略为其提供针对集合的访问权限。有关更多信息,请参阅 针对 Amazon OpenSearch 无服务器的网络访问权限。