Amazon Virtual Private Cloud(Amazon VPC) 엔드포인트로 Amazon OpenSearch Serverless 컬렉션을 설정하고 컬렉션의 대시보드에 액세스하고 싶습니다.
간략한 설명
Amazon VPC와 OpenSearch Serverless 컬렉션 간에 프라이빗 연결을 생성하려면 컬렉션에 대한 네트워크 액세스 권한이 있는 Amazon VPC를 설정하십시오.
데이터를 보고 관리하려면 인증 유형에 따라 OpenSearch 대시보드에 액세스하십시오.
해결 방법
Amazon VPC 네트워크 액세스를 사용하여 OpenSearch Serverless 컬렉션 설정
Amazon VPC 네트워크 액세스를 통해 OpenSearch Serverless 컬렉션을 생성하려면 다음 단계를 완료하십시오.
Amazon VPC, 서브넷 및 관련 리소스 생성
Amazon VPC 및 관련 리소스를 생성하려면 다음 단계를 완료하십시오.
- Amazon VPC 콘솔을 엽니다.
- Amazon VPC를 생성합니다. 다음 설정을 적용합니다.
DNS Settings(DNS 설정)에서 Enable DNS resolutionInfo(DNS resolutionInfo 활성화) 및Enable DNS hostnamesInfo(DNS hostnamesInfo 활성화)를 선택합니다.
- 인터넷 게이트웨이를 생성하여 Amazon VPC에 연결합니다.
- Amazon VPC에서 서브넷을 생성합니다.
- 서브넷에 연결된 라우팅 테이블에서 모든 트래픽(0.0.0.0/0)이 인터넷 게이트웨이를 통과할 수 있는 경로를 추가합니다.
- Amazon VPC의 보안 그룹을 생성합니다.
- 보안 그룹에 모든 인바운드 트래픽(0.0.0.0/0)을 허용하는 인그레스 규칙을 추가합니다.
참고: Amazon VPC에서 특정 IP 주소나 리소스만 허용하려면 사용 사례에 맞게 인바운드 규칙을 수정하십시오.
Amazon VPC 엔드포인트를 사용하여 OpenSearch Serverless 컬렉션 생성
OpenSearch Serverless 컬렉션을 생성하려면 다음 단계를 완료하십시오.
- Amazon OpenSearch 콘솔을 연 다음 Collections(컬렉션)을 선택합니다.
- Create collection(컬렉션 생성)을 선택합니다.
- 컬렉션 이름, 설명, 컬렉션 유형을 입력합니다.
- Security(보안)에서 Standard Create(표준 생성)를 선택합니다.
- Network access settings(네트워크 액세스 설정)에서 VPC (recommended)(VPC(권장))를 선택합니다.
- Create VPC endpoints(VPC 엔드포인트 생성)를 선택한 다음 Amazon VPC, 서브넷 및 보안 그룹을 선택합니다.
- Resource(리소스) 유형에서 Enable access to OpenSearch endpoint(OpenSearch 엔드포인트에 대한 액세스 활성화) 및 OpenSearch Dashboards(OpenSearch 대시보드)를 선택합니다.
- Next(다음)를 선택합니다.
- Configure data access(데이터 액세스 구성)에서 OpenSearch Serverless 컬렉션에 액세스할 수 있는 역할, 사용자 및 그룹에 권한을 부여합니다. 자세한 내용은 데이터 액세스 정책 생성(콘솔)을 참조하십시오.
- Next(다음)를 선택한 후 데이터 액세스 정책의 이름을 입력합니다.
- 구성을 검토한 다음 Submit(제출)을 선택합니다.
IAM 권한 부여
컬렉션의 데이터 액세스 정책에서 권한을 부여한 위탁자에게 추가적인 AWS Identity and Access Management(IAM) 권한을 부여해야 합니다. 위탁자는 데이터 플레인 API와 OpenSearch 대시보드에 액세스하려면 이러한 권한이 필요합니다. IAM 또는 SAML ID만 OpenSearch 대시보드에 액세스할 수 있습니다.
다음 샘플 정책에는 필요한 권한이 나와 있습니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "aoss:APIAccessAll",
"Resource": "arn:aws:aoss:region:account-id:collection/collection-id"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "aoss:DashboardsAccessAll",
"Resource": "arn:aws:aoss:region:account-id:dashboards/default"
}
]
}
OpenSearch 대시보드와 관련된 특정 작업에 대한 권한을 부여할 수도 있습니다. 자세한 내용은 OpenSearch Serverless에 대한 ID 기반 정책 예제를 참조하십시오.
OpenSearch Serverless에 대한 SAML 인증을 사용하는 경우 기존 ID 공급자를 사용하여 OpenSearch 엔드포인트에 대한 AWS Single Sign-On(SSO) 액세스를 수행할 수 있습니다.
컬렉션 대시보드에 액세스
컬렉션 대시보드에 액세스하려면 다음 단계를 완료하여 Amazon VPC에 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 생성하십시오.
- 컬렉션의 엔드포인트를 생성하는 데 사용한 것과 동일한 Amazon VPC에 EC2 인스턴스를 생성합니다.
- AWS Management Console에서 VPC로 이동한 다음 Security Groups(보안 그룹)을 선택합니다.
- 엔드포인트에 연결된 보안 그룹의 인바운드 규칙에서 Amazon EC2 인스턴스에 연결된 보안 그룹을 허용합니다.
- EC2 인스턴스를 시작합니다.
- 인스턴스에서 브라우저를 엽니다. 그런 다음 인증 유형에 따라 다음 단계를 완료합니다.
IAM 인증의 경우 IAM ID로 AWS Management Console에 로그인합니다. 그런 다음 Amazon OpenSearch 콘솔에서 OpenSearch 대시보드 URL을 선택합니다.
-또는-
SAML 인증의 경우 리디렉션될 OpenSearch 엔드포인트를 열어 인증 세부 정보를 제공합니다.
관련 정보
VPC 엔드포인트를 사용하여 Amazon OpenSearch Serverless 컬렉션에 액세스
인터페이스 엔드포인트(AWS PrivateLink)를 사용하여 Amazon OpenSearch Serverless에 액세스
데이터 액세스 정책 대 IAM 정책