Configuración de canalizaciones de OpenSearch Ingestion entre cuentas - Amazon OpenSearch Service
Antes de empezarConceder a las cuentas conectadas acceso a una canalizaciónCree una conexión de punto de conexión de canalización para cada VPC que se conecteEliminar los punto de conexión de la canalización

Configuración de canalizaciones de OpenSearch Ingestion entre cuentas

Para los orígenes basados en push, como HTTP y OTel, Amazon OpenSearch Ingestion le permite compartir canalizaciones a través de Cuentas de AWS desde una nube privada virtual (VPC) hacia un punto de conexión de canalización en otra VPC separada. Los equipos que comparten análisis con otros equipos de su organización utilizan esta característica como medio más ágil de, por ejemplo, compartir los análisis de registros.

En esta sección, se usan los siguientes términos:

  • Propietario de la canalización: la cuenta que posee y administra la canalización de OpenSearch Ingestion. Solo una cuenta puede ser propietaria de una canalización.

  • Cuenta de conexión: una cuenta que se conecta a una canalización compartida y la utiliza. Se pueden conectar varias cuentas a la misma canalización.

Para configurar las VPC de forma que compartan las canalizaciones de OpenSearch Ingestion entre Cuentas de AWS, lleve a cabo las siguientes tareas, tal y como se describe aquí:

Antes de empezar

Antes de configurar las VPC para compartir las canalizaciones de OpenSearch Ingestion entre Cuentas de AWS, complete las siguientes tareas:

Tarea Detalles

Crear una o más canalizaciones de OpenSearch Ingestion

Establezca el mínimo de unidades de cómputo de OpenSearch (OSU) en 2 o más. Para obtener más información, consulte Creación de canalizaciones de Amazon OpenSearch Ingestion. Para obtener información acerca de cómo actualizar una canalización, consulte Actualización de las canalizaciones de Amazon OpenSearch Ingestion.

Creación de una o más VPC para OpenSearch Ingestion

Para habilitar el uso compartido de canalizaciones entre cuentas, cualquier VPC implicada en la canalización y los puntos de conexión de la canalización debe configurarse con los siguientes valores de DNS:

  • enableDnsSupport=true

  • enableDnsHostnames=true

Para obtener más información, consulte Atributos de DNS para su VPC en la Guía del usuario de Amazon VPC.

Conceder a las cuentas conectadas acceso a una canalización

Los procedimientos de esta sección describen cómo utilizar la consola y la AWS CLI de OpenSearch Service para configurar el acceso a las canalizaciones entre cuentas mediante la creación de una política de recursos. Una política de recursos permite al propietario de una canalización especificar otras cuentas que pueden acceder a una canalización. Una vez creadas, las políticas de canalización existen mientras exista la canalización o hasta que se elimine la política.

nota

Las políticas de recursos no sustituyen a la autorización estándar de OpenSearch Ingestion mediante los permisos de IAM. Las políticas de recursos son un mecanismo de autorización adicional para permitir el acceso a las canalizaciones entre cuentas.

Conceder a las cuentas conectadas acceso a una canalización (consola)

Utilice el siguiente procedimiento para conceder a las cuentas conectadas acceso a una canalización mediante la consola de Amazon OpenSearch Service.

Para crear una conexión de punto de conexión en la canalización

  1. En la consola de Amazon OpenSearch Service, en el panel de navegación, amplíe Ingesta y, a continuación, seleccione Canalizaciones.

  2. En la sección Canalizaciones, elija el nombre de la canalización a la que desee conceder acceso a una cuenta conectada.

  3. Elija la pestaña de puntos de conexión de VPC.

  4. En la sección Entidades principales autorizadas, seleccione Autorizar cuenta.

  5. En el campo ID de Cuenta de AWS, escriba el número de 12 dígitos (ID) de la cuenta y, a continuación, seleccione Autorizar.

Conceder a las cuentas conectadas acceso a una canalización (CLI)

Utilice el siguiente procedimiento para conceder acceso a las cuentas conectadas a una canalización mediante la AWS CLI.

Para conceder a las cuentas conectadas acceso a la canalización

  1. Actualice a la versión más reciente de la AWS CLI (versión 2.0). Para obtener más información, consulte Instalación o actualización de la versión más reciente de la AWS CLI.

  2. Abra la CLI en la cuenta y Región de AWS con la canalización que desea compartir.

  3. Ejecute el siguiente comando para crear una política de recursos para la canalización. Esta política otorga el permiso osis:CreatePipelineEndpoint a la canalización. La política incluye un parámetro en el que se pueden enumerar los ID Cuenta de AWS que se van a permitir.

    nota

    En el siguiente comando, debe utilizar la forma abreviada del identificador de cuenta, proporcionando únicamente el identificador de cuenta de doce dígitos. El uso de un ARN no funcionará. También debe proporcionar el nombre de recurso de Amazon (ARN) de la canalización en el parámetro de la CLI para resource-arn y en la política JSON en Resource, como se muestra.

    aws --region region osis-cross-account put-resource-policy \
  --resource-arn arn:aws:osis:region:pipeline-owner-account-ID:pipeline/pipeline-name
  --policy 'IAM-policy'

    Utilice una política como la siguiente para la política de IAM

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
  {
  "Sid": "AllowAccess",
  "Effect": "Allow",
  "Principal": {
  "AWS": [
  "111122223333",
  "444455556666"
  ]
  },
  "Action": 
  "osis:CreatePipelineEndpoint",
  "Resource": "arn:aws:osis:us-east-1:123456789012:pipeline/pipeline-name"
  }
  ]
 }

Cree una conexión de punto de conexión de canalización para cada VPC que se conecte

Después de que el propietario de la canalización conceda acceso a una canalización en su VPC mediante el procedimiento anterior, un usuario de la cuenta de conexión crea un punto de conexión de la canalización en su VPC. En esta sección, se incluyen procedimientos para crear puntos de conexión mediante la consola de OpenSearch Service y la AWS CLI. Al crear un punto de conexión, OpenSearch Ingestion realiza las siguientes acciones:

  • Crea el rol vinculado al servicio AWSServiceRoleForAmazonOpenSearchIngestionService en su cuenta, si aún no existe. Este rol otorga al usuario de la cuenta que se conecta permiso para llamar a la acción de la API CreatePipelineEndpoint.

  • Crea el punto de conexión de la canalización.

  • Configura el punto de conexión de la canalización para ingerir datos de la canalización compartida en la VPC propietaria de la canalización.

Creación de una conexión de punto de conexión para la canalización (consola)

Utilice el siguiente procedimiento para crear un punto de conexión de canalización mediante la consola de OpenSearch Service.

Para crear una conexión de punto de conexión en la canalización

  1. En la consola de Amazon OpenSearch Service, en el panel de navegación, amplíe Ingestion y, a continuación, seleccione Puntos de conexión de VPC.

  2. En la página Puntos de conexión de VPC, elija Crear.

  3. En la ubicación de la canalización, elija una opción. Si elige Cuenta corriente, seleccione la canalización de la lista. Si elige Cuenta cruzada, especifique el ARN de la canalización en el campo. El propietario de la canalización debe haber concedido el acceso a la canalización, tal y como se describe en Conceder a las cuentas conectadas acceso a una canalización.

  4. En la sección de configuración de VPC, para VPC, elija una VPC de la lista.

  5. En Subnets (Subredes), elija una subred.

  6. En Grupos de seguridad, elija un grupo.

  7. Seleccione Crear punto de conexión.

Espere a que se produzca la transición del estado del punto de conexión que creó a ACTIVE. Una vez que la canalización esté ACTIVE, verá un nuevo campo con el nombre ingestEndpointUrl. Utilice este punto de conexión para acceder a la canalización e recopilar datos mediante un cliente como FluentBit. Para obtener más información acerca del uso de FluentBit para ingerir datos, consulte Uso de una canalización de OpenSearch Ingestion con Fluent Bit.

nota

ingestEndpointUrl es la misma URL para todas las cuentas conectadas.

Creación de una conexión de punto de conexión para la canalización (CLI)

Utilice el siguiente procedimiento para crear una conexión en el punto de conexión de canalización mediante AWS CLI.

Para crear una conexión de punto de conexión en la canalización

  1. Si aún no lo ha hecho, actualice a la versión más reciente de la AWS CLI (versión 2.0). Para obtener más información, consulte Instalación o actualización de la versión más reciente de la AWS CLI.

  2. Abra la CLI en la cuenta de conexión en la Región de AWS con la canalización compartida.

  3. Ejecute el siguiente comando para crear una canalización en el punto de conexión.

    nota

    Proporcione al menos una subred y un grupo de seguridad para la VPC de la cuenta conectada. El grupo de seguridad debe incluir el puerto 443 y los clientes de soporte en la VPC de la cuenta que se conecta.

    aws osis --region region create-pipeline-endpoint \
  --pipeline-arn arn:aws:osis:region:connecting-account-ID:pipeline/shared-pipeline-name
  --vpc-options SecurityGroupIds={sg-security-group-ID-1,sg-security-group-ID-2},SubnetIds=subnet-subnet-ID

  4. Ejecute el siguiente comando para enumerar los puntos de conexión en la región especificada en el comando anterior:

    aws osis-cross-account --region region list-pipeline-endpoints

Espere a que se produzca la transición del estado del punto de conexión que creó a ACTIVE. Una vez que la canalización esté ACTIVE, verá un nuevo campo con el nombre ingestEndpointUrl. Utilice este punto de conexión para acceder a la canalización e recopilar datos mediante un cliente como FluentBit. Para obtener más información acerca del uso de FluentBit para ingerir datos, consulte Uso de una canalización de OpenSearch Ingestion con Fluent Bit.

nota

ingestEndpointUrl es la misma URL para todas las cuentas conectadas.

Eliminar los punto de conexión de la canalización

Si ya no quiere proporcionar acceso a una canalización compartida, puede eliminar un punto de conexión de la canalización mediante uno de los siguientes métodos:

  • Elimine el punto de conexión de la canalización (cuenta de conexión).

  • Revoque el punto de conexión de la canalización (propietario de la canalización).

Siga este procedimiento para eliminar un punto de conexión de la canalización en una cuenta de conexión.

Para eliminar un punto de conexión de la canalización (cuenta de conexión)

  1. Abra la CLI en la cuenta de conexión en la Región de AWS con la canalización compartida.

  2. Ejecute el siguiente comando para enumerar un punto de conexión de las canalizaciones en la región:

    aws osis-cross-account --region region list-pipeline-endpoints

    Anote el ID de canalización que desea eliminar.

  3. Ejecute el siguiente comando para eliminar el punto de conexión de la canalización:

    aws osis-cross-account --region region delete-pipeline-endpoint \
  --endpoint-id 'ID'

Como propietario de la canalización compartida, utilice el siguiente procedimiento para revocar un punto de conexión de la canalización.

Para revocar un punto de conexión de la canalización (propietario de la canalización)

  1. Abra la CLI en la cuenta de conexión en la Región de AWS con la canalización compartida.

  2. Ejecute el siguiente comando para enumerar las conexiones de punto de conexión de las canalizaciones en la región:

    aws osis-cross-account --region region list-pipeline-endpoint-connections

    Anote el ID de canalización que desea eliminar.

  3. Ejecute el siguiente comando para eliminar el punto de conexión de la canalización:

    aws osis-cross-account --region region revoke-pipeline-endpoint-connections \
  --pipeline-arn pipeline-arn --endpoint-ids ID

    El comando permite especificar solo un ID de punto de conexión.