Configuración de roles y usuarios en Amazon OpenSearch Ingestion
Amazon OpenSearch Ingestion utiliza diversos modelos de permisos y roles de IAM para permitir que las aplicaciones de origen escriban en las canalizaciones y que las canalizaciones escriban en los receptores. Antes de empezar a incorporar datos, debe crear uno o más roles de IAM con permisos específicos en función de su caso de uso.
Como mínimo, se requieren los siguientes roles para configurar una canalización exitosa.
| Nombre | Descripción |
|---|---|
| Rol de canalización |
El rol de canalización proporciona los permisos necesarios para que una canalización lea desde el origen y escriba en el receptor del dominio o de la colección. Puede crear el rol de canalización manualmente o puede hacer que OpenSearch Ingestion lo cree por usted. |
| Rol de ingesta |
El rol de ingestión contiene el permiso |
La siguiente imagen muestra una configuración de canalización típica, en la que un origen de datos como Amazon S3 o Fluent Bit escribe en una canalización de una cuenta diferente. En este caso, el cliente debe asumir el rol de incorporación para poder acceder a la canalización. Para obtener más información, consulte Incorporación entre cuentas.
Para obtener una guía de configuración sencilla, consulte Tutorial: incorporar datos a un dominio mediante Amazon OpenSearch Ingestion.
Temas
Rol de canalización
Una canalización necesita ciertos permisos para leer de su fuente y escribir en su receptor. Estos permisos dependen de la aplicación cliente o del Servicio de AWS que esté escribiendo en la canalización y de si el receptor es un dominio de OpenSearch Service, una colección de OpenSearch sin servidor o Amazon S3. Además, es posible que una canalización necesite permisos para extraer información de la aplicación de origen (si el origen es un complemento basado en la extracción) y permisos para escribir en una cola de mensajes fallidos de S3, si está configurada.
Al crear una canalización, tiene la opción de especificar un rol de IAM existente que haya creado manualmente o hacer que OpenSearch Ingestion cree automáticamente el rol de canalización en función del origen y el receptor que haya seleccionado. La siguiente imagen muestra cómo especificar el rol de canalización en la Consola de administración de AWS.
Automatización de la creación de roles de canalización
Puede elegir que OpenSearch Ingestion cree el rol de canalización por usted. Identifica automáticamente los permisos que requiere el rol en función del origen y los receptores configurados. Crea un rol de IAM con el prefijo OpenSearchIngestion- y el sufijo que introduzcas. Por ejemplo, si introduce PipelineRole como sufijo, OpenSearch Ingestion crea un rol denominado OpenSearchIngestion-PipelineRole.
La creación automática del rol de canalización simplifica el proceso de configuración y reduce la probabilidad de que se produzcan errores de configuración. Al automatizar la creación de roles, puede evitar la asignación manual de permisos y garantizar que se apliquen las políticas correctas sin correr el riesgo de errores de configuración de seguridad. Esto también ahorra tiempo y mejora el cumplimiento de las normas de seguridad al aplicar las mejores prácticas y, al mismo tiempo, garantizar la coherencia en las distintas implementaciones en proceso.
Solo puede hacer que OpenSearch Ingestion cree automáticamente el rol de canalización en la Consola de administración de AWS. Si utiliza la AWS CLI, la API de OpenSearch Ingestion o uno de los SDK, debe especificar un rol de canalización creado manualmente.
Elija Crear y utilizar un nuevo rol de servicio para que OpenSearch Ingestion cree el rol por usted.
importante
Aún tiene que modificar manualmente la política de acceso al dominio o a la colección para conceder el acceso a la función de canalización. En el caso de los dominios que utilicen un control de acceso detallado, también debe asignar el rol de canalización a un rol de backend. Puede realizar estos pasos antes o después de crear la canalización.
Para obtener instrucciones, consulte los siguientes temas:
Creación manual del rol de canalización
Es posible que prefiera crear el rol de canalización de forma manual si necesita tener más control sobre los permisos para cumplir requisitos específicos de seguridad o conformidad. La creación manual le permite personalizar los roles para adaptarlos a las estrategias de administración de acceso o de infraestructura existentes. También puede optar por la configuración manual para integrar el rol con otros Servicios de AWS o asegurarse de que se ajuste a sus necesidades operativas únicas.
Para elegir un rol de canalización creado manualmente, seleccione Usar un rol de IAM existente y elija un rol existente. El rol debe tener todos los permisos necesarios para recibir datos del origen seleccionado y escribir en el receptor seleccionado. En las siguientes secciones se describe cómo crear manualmente un rol de canalización.
Temas
Permisos para leer desde un origen
Una canalización de OpenSearch Ingestion necesita permiso para leer y recibir datos del origen especificado. Por ejemplo, para un origen de Amazon DynamoDB, necesita permisos como dynamodb:DescribeTable y dynamodb:DescribeStream. Para ver ejemplos de políticas de acceso a roles de canalización para orígenes comunes, como Amazon S3, Fluent Bit y OpenTelemetry Collector, consulte Integración de canalizaciones de Amazon OpenSearch Ingestion con otros servicios y aplicaciones.
Permisos para escribir en un receptor de dominio
Una canalización de OpenSearch Ingestion necesita permiso para escribir en un dominio de OpenSearch Service que esté configurado como su receptor. Estos permisos incluyen la capacidad de describir el dominio y enviarle solicitudes HTTP. Estos permisos son los mismos para los dominios públicos y de VPC. Para obtener instrucciones acerca de cómo crear un rol de canalización y especificarlo en la política de acceso a dominios, consulte Permitir que las canalizaciones accedan a los dominios.
Permisos para escribir en un receptor de colecciones
Una canalización de OpenSearch Ingestion necesita permiso para escribir en una colección de OpenSearch sin servidor que esté configurada como su receptor. Estos permisos incluyen la capacidad de describir la colección y enviarle solicitudes HTTP.
En primer lugar, asegúrese de que su política de acceso a los roles de canalización conceda los permisos necesarios. A continuación, incluya este rol en una política de acceso a los datos y asígnele permisos para crear índices, actualizar índices, describir índices y escribir documentos dentro de la colección. Para obtener instrucciones para completar cada uno de estos pasos, consulte Allowing pipelines to access collections.
Permisos para escribir en Amazon S3 o en una cola de mensajes fallidos
Si especifica Amazon S3 como destino receptor de su canalización, o si habilita una cola de mensajes fallidos
Adjunte una política de permisos independiente al rol de canalización que otorgue acceso a la DLQ. Como mínimo, debe otorgarse la acción S3:PutObject al rol en el recurso del bucket:
Rol de ingesta
El rol de ingesta es un rol de IAM que permite a los servicios externos interactuar de forma segura con una canalización de OpenSearch Ingestion y enviar datos a ella. En el caso de los orígenes basados en push, como Amazon Security Lake, este rol debe conceder permisos para introducir datos en la canalización, incluido osis:Ingest. En el caso de los orígenes basados en extracciones, como Amazon S3, el rol debe permitir que OpenSearch Ingestion lo asuma y acceda a los datos con los permisos necesarios.
Temas
Rol de ingesta para orígenes basados en push
En el caso de los orígenes basados en push, los datos se envían o insertan en la canalización de ingesta desde otro servicio, como Amazon Security Lake o Amazon DynamoDB. En este escenario, el rol de ingesta necesita, como mínimo, el permiso osis:Ingest para interactuar con la canalización.
La siguiente política de acceso de IAM demuestra cómo conceder este permiso al rol de ingesta:
Rol de ingesta de orígenes basados en extracciones
En el caso de los orígenes basados en extracciones, la canalización de OpenSearch Ingestion extrae o recupera de forma activa datos de un origen externo, como Amazon S3. En este caso, la canalización debe asumir un rol de canalización de IAM que conceda los permisos necesarios para acceder al origen de datos. En estos escenarios, el rol de ingesta es sinónimo del rol de canalización.
El rol debe incluir una relación de confianza que permita a OpenSearch Ingestion asumirla y permisos específicos de origen de datos. Para obtener más información, consulte Permisos para leer desde un origen.
Incorporación entre cuentas
Es posible que tenga que incorporar datos a una canalización desde una Cuenta de AWS diferente, como una cuenta de aplicación. Para configurar la incorporación entre cuentas, defina un rol de incorporaco+pm dentro de la misma cuenta que la canalización y establezca una relación de confianza entre el rol de ingesta y la cuenta de la aplicación:
A continuación, configure la aplicación para que asuma el rol de incorporación. La cuenta de la aplicación debe conceder al rol de aplicación permisos AssumeRole para el rol de incorporación en la cuenta de canalización.
Para ver ejemplos de pasos detallados y ejemplos de políticas de IAM, consulte Provisión de acceso de ingesta entre cuentas.
