如何使用 Amazon VPC 端点设置 OpenSearch 无服务器集合并访问该集合的控制面板?

2 分钟阅读
0

我想使用 Amazon Virtual Private Cloud (Amazon VPC) 端点设置 Amazon OpenSearch 无服务器集合,并访问该集合的控制面板。

简短描述

要在您的 Amazon VPC 和 OpenSearch 无服务器集合之间创建私有连接,请设置可通过网络访问您的集合的 Amazon VPC。

要查看和管理您的数据,请根据您的身份验证类型访问 OpenSearch 控制面板。

解决方法

设置具有 Amazon VPC 网络访问权限的 OpenSearch 无服务器集合

要创建具有 Amazon VPC 网络访问权限的 OpenSearch 无服务器集合,请完成以下步骤。

创建 Amazon VPC、子网和相关资源

要创建 Amazon VPC 和相关资源,请完成以下步骤:

  1. 打开 Amazon VPC 控制台
  2. 创建 Amazon VPC。使用以下设置:
    对于 DNS Settings(DNS 设置),选择 Enable DNS resolutionInfo(启用 DNS 解析信息)和 Enable DNS hostnamesInfo(启用 DNS 主机名信息)。
  3. 创建互联网网关将其连接到您的 Amazon VPC
  4. 在您的 Amazon VPC 中,创建子网
  5. 在与您的子网关联的路由表中,为通过您的互联网网关的所有流量 (0.0.0.0/0) 添加路由
  6. 为您的 Amazon VPC 创建安全组
  7. 向允许所有入站流量 (0.0.0.0/0) 的您的安全组添加入口规则
    **注意:**要在您的 Amazon VPC 中仅允许特定 IP 地址或资源,请为您的用例修改入站规则。

使用 Amazon VPC 端点创建 OpenSearch 无服务器集合

要创建 OpenSearch 无服务器集合,请完成以下步骤:

  1. 打开 Amazon OpenSearch 控制台,然后选择 Collections(集合)。
  2. 选择 Create collection(创建集合)。
  3. 输入您的 Collection name(集合名称)、Description(描述)和 Collection type(集合类型)。
  4. 对于 Security(安全),选择 Standard Create(标准创建)。
  5. 对于 Network access settings(网络访问设置),选择 VPC (recommended)(VPC(推荐))。
  6. 选择 Create VPC endpoints(创建 VPC 端点),然后选择您的 Amazon VPC、子网和安全组。
  7. Resource(资源)类型下,选择 Enable access to OpenSearch endpoint(允许访问 OpenSearch 端点)和 OpenSearch Dashboards(OpenSearch 控制面板)。
  8. 选择 Next(下一步)。
  9. Configure data access(配置数据访问权限)中,向可以访问 OpenSearch 无服务器集合的角色、用户和组授予权限。有关详细信息,请参阅创建数据访问策略(控制台)
  10. 选择 Next(下一步),然后为您的数据访问策略提供 Name(名称)。
  11. 查看您的配置,然后选择 Submit(提交)。

授予 IAM 权限

您必须向您在集合的数据访问策略中授予权限的主体授予额外的 AWS Identity and Access Management (IAM) 权限。主体需要这些权限才能访问数据面板 API 和 OpenSearch 控制面板。只有 IAM 或 SAML 身份才能访问 OpenSearch 控制面板。

以下示例策略列出了所需的权限:

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "VisualEditor0",
        "Effect": "Allow",
        "Action": "aoss:APIAccessAll",
        "Resource": "arn:aws:aoss:region:account-id:collection/collection-id"
    },
    {
        "Sid": "VisualEditor1",
        "Effect": "Allow",
        "Action": "aoss:DashboardsAccessAll",
        "Resource": "arn:aws:aoss:region:account-id:dashboards/default"
    }
    ]
}

您还可以为与 OpenSearch 控制面板相关的特定操作授予权限。有关详细信息,请参阅 OpenSearch 无服务器的基于身份的策略示例

如果您对 OpenSearch 无服务器使用 SAML 身份验证,则可以使用现有的身份提供商获取对 OpenSearch 端点的单点登录 (SSO) 访问权限。

访问集合的控制面板

要访问集合的控制面板,请完成以下步骤,以在您的 Amazon VPC 中创建 Amazon Elastic Compute Cloud (Amazon EC2) 实例:

  1. 在您用于为集合创建端点的同一 Amazon VPC 中创建 EC2 实例
  2. AWS 管理控制台中,导航到 VPC,然后选择 Security Groups(安全组)。
  3. 在与端点关联的安全组的入站规则中,允许连接到您的 Amazon EC2 实例的安全组。
  4. 启动 EC2 实例。
  5. 在实例中,打开浏览器。然后,根据您的身份验证类型完成以下步骤:
    对于 IAM 身份验证,请以您的 IAM 身份登录 AWS 管理控制台。然后,从 Amazon OpenSearch 控制台中选择 OpenSearch Dashboards URL(OpenSearch 控制面板 URL)。
    -或-
    对于 SAML 身份验证,请打开要重定向的 OpenSearch 端点以提供您的身份验证详细信息。

相关信息

使用 VPC 端点访问 Amazon OpenSearch 无服务器集合

使用接口端点 (AWS PrivateLink) 访问 Amazon OpenSearch 无服务器

数据访问策略与 IAM 策略

AWS 官方
AWS 官方已更新 10 个月前