我想使用 Amazon Virtual Private Cloud (Amazon VPC) 端点设置 Amazon OpenSearch 无服务器集合,并访问该集合的控制面板。
简短描述
要在您的 Amazon VPC 和 OpenSearch 无服务器集合之间创建私有连接,请设置可通过网络访问您的集合的 Amazon VPC。
要查看和管理您的数据,请根据您的身份验证类型访问 OpenSearch 控制面板。
解决方法
设置具有 Amazon VPC 网络访问权限的 OpenSearch 无服务器集合
要创建具有 Amazon VPC 网络访问权限的 OpenSearch 无服务器集合,请完成以下步骤。
创建 Amazon VPC、子网和相关资源
要创建 Amazon VPC 和相关资源,请完成以下步骤:
- 打开 Amazon VPC 控制台。
- 创建 Amazon VPC。使用以下设置:
对于 DNS Settings(DNS 设置),选择 Enable DNS resolutionInfo(启用 DNS 解析信息)和 Enable DNS hostnamesInfo(启用 DNS 主机名信息)。
- 创建互联网网关并将其连接到您的 Amazon VPC。
- 在您的 Amazon VPC 中,创建子网。
- 在与您的子网关联的路由表中,为通过您的互联网网关的所有流量 (0.0.0.0/0) 添加路由。
- 为您的 Amazon VPC 创建安全组。
- 向允许所有入站流量 (0.0.0.0/0) 的您的安全组添加入口规则。
**注意:**要在您的 Amazon VPC 中仅允许特定 IP 地址或资源,请为您的用例修改入站规则。
使用 Amazon VPC 端点创建 OpenSearch 无服务器集合
要创建 OpenSearch 无服务器集合,请完成以下步骤:
- 打开 Amazon OpenSearch 控制台,然后选择 Collections(集合)。
- 选择 Create collection(创建集合)。
- 输入您的 Collection name(集合名称)、Description(描述)和 Collection type(集合类型)。
- 对于 Security(安全),选择 Standard Create(标准创建)。
- 对于 Network access settings(网络访问设置),选择 VPC (recommended)(VPC(推荐))。
- 选择 Create VPC endpoints(创建 VPC 端点),然后选择您的 Amazon VPC、子网和安全组。
- 在 Resource(资源)类型下,选择 Enable access to OpenSearch endpoint(允许访问 OpenSearch 端点)和 OpenSearch Dashboards(OpenSearch 控制面板)。
- 选择 Next(下一步)。
- 在 Configure data access(配置数据访问权限)中,向可以访问 OpenSearch 无服务器集合的角色、用户和组授予权限。有关详细信息,请参阅创建数据访问策略(控制台)。
- 选择 Next(下一步),然后为您的数据访问策略提供 Name(名称)。
- 查看您的配置,然后选择 Submit(提交)。
授予 IAM 权限
您必须向您在集合的数据访问策略中授予权限的主体授予额外的 AWS Identity and Access Management (IAM) 权限。主体需要这些权限才能访问数据面板 API 和 OpenSearch 控制面板。只有 IAM 或 SAML 身份才能访问 OpenSearch 控制面板。
以下示例策略列出了所需的权限:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "aoss:APIAccessAll",
"Resource": "arn:aws:aoss:region:account-id:collection/collection-id"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "aoss:DashboardsAccessAll",
"Resource": "arn:aws:aoss:region:account-id:dashboards/default"
}
]
}
您还可以为与 OpenSearch 控制面板相关的特定操作授予权限。有关详细信息,请参阅 OpenSearch 无服务器的基于身份的策略示例。
如果您对 OpenSearch 无服务器使用 SAML 身份验证,则可以使用现有的身份提供商获取对 OpenSearch 端点的单点登录 (SSO) 访问权限。
访问集合的控制面板
要访问集合的控制面板,请完成以下步骤,以在您的 Amazon VPC 中创建 Amazon Elastic Compute Cloud (Amazon EC2) 实例:
- 在您用于为集合创建端点的同一 Amazon VPC 中创建 EC2 实例。
- 在 AWS 管理控制台中,导航到 VPC,然后选择 Security Groups(安全组)。
- 在与端点关联的安全组的入站规则中,允许连接到您的 Amazon EC2 实例的安全组。
- 启动 EC2 实例。
- 在实例中,打开浏览器。然后,根据您的身份验证类型完成以下步骤:
对于 IAM 身份验证,请以您的 IAM 身份登录 AWS 管理控制台。然后,从 Amazon OpenSearch 控制台中选择 OpenSearch Dashboards URL(OpenSearch 控制面板 URL)。
-或-
对于 SAML 身份验证,请打开要重定向的 OpenSearch 端点以提供您的身份验证详细信息。
相关信息
使用 VPC 端点访问 Amazon OpenSearch 无服务器集合
使用接口端点 (AWS PrivateLink) 访问 Amazon OpenSearch 无服务器
数据访问策略与 IAM 策略