Acceda a Amazon OpenSearch sin servidor mediante un punto de conexión de la interfaz (AWS PrivateLink)
Puede utilizar AWS PrivateLink para crear una conexión privada entre la VPC y Amazon OpenSearch sin servidor. Puede acceder a OpenSearch sin servidor como si estuviera en su VPC, sin el uso de una puerta de enlace de Internet, un dispositivo NAT, una conexión VPN o una conexión Direct Connect. Las instancias de la VPC no necesitan direcciones IP públicas para acceder a OpenSearch sin servidor. Para obtener más información sobre el acceso a la red mediante VPC, consulte Network connectivity patterns for Amazon OpenSearch sin servidor
Esta conexión privada se establece mediante la creación de un punto de conexión de interfaz alimentado por AWS PrivateLink . Creamos una interfaz de red de punto de conexión en cada subred especificada para el punto de conexión de interfaz. Se trata de interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado a OpenSearch sin servidor.
Para obtener más información, consulte Acceso a Servicios de AWS a través de AWS PrivateLink en la Guía de AWS PrivateLink.
Temas
Resolución de DNS de los puntos de conexión de colección
Al crear un punto de conexión de VPC, el servicio crea una nueva zona alojada privada Amazon Route 53 y la adjunta a la VPC. Esta zona alojada privada consta de un registro para resolver el registro DNS comodín de las colecciones de OpenSearch sin servidor (*.aoss.us-east-1.amazonaws.com) en las direcciones de interfaz utilizadas para el punto de conexión. Solo necesita un punto de conexión de VPC de OpenSearch sin servidor en una VPC para acceder a todas y cada una de las colecciones y paneles de control de cada Región de AWS. Cada VPC con un punto de conexión para OpenSearch sin servidor tiene su propia zona alojada privada adjunta.
OpenSearch sin servidor también crea un registro DNS comodín público de Route 53 para todas las colecciones de la región. El nombre DNS se resuelve en las direcciones IP públicas de OpenSearch sin servidor. Los clientes de las VPC que no tienen un punto de conexión de VPC sin servidor de OpenSearch o los clientes de redes públicas pueden usar el resolver público de Route 53 y acceder a las colecciones y los paneles de control con esas direcciones IP. El tipo de dirección IP (IPv4, IPv6 o Dualstack) del punto de conexión de VPC se determina en función de las subredes proporcionadas al crear un punto de conexión de interfaz para OpenSearch sin servidor.
nota
OpenSearch sin servidor crea una zona alojada privada adicional de Amazon Route 53 (`<region>.opensearch.amazonaws.com`) para la resolución de un dominio de OpenSearch Service. Puede actualizar el punto de conexión de VPC IPv4 existente a Dualstack mediante el comando update-vpc-endpoint de la AWS CLI.
La dirección de resolver de DNS de una VPC determinada es la segunda dirección IP del CIDR de la VPC. Todos los clientes de la VPC deben usar ese resolver para obtener la dirección de punto de conexión de VPC para cualquier colección. El resolver utiliza una zona alojada privada creada por OpenSearch sin servidor. Basta con usar ese resolverr para todas las colecciones de cualquier cuenta. También es posible utilizar el resolver de VPC para algunos puntos de conexión de colección y el resolver público para otros, aunque normalmente no es necesario.
VPC y políticas de acceso a la red
Para conceder permisos de red a las API y los paneles de control de OpenSearch para sus colecciones, puede utilizar las políticas de acceso a la red de OpenSearch sin servidor. Puede controlar este acceso a la red desde sus puntos de conexión de VPC o desde la Internet pública. Como su política de red solo controla los permisos de tráfico, también debe configurar una política de acceso a los datos que especifique los permisos para operar con los datos de una colección y sus índices. Piense en un punto de conexión de VPC de OpenSearch sin servidor como un punto de acceso al servicio, una política de acceso a la red como el punto de acceso a nivel de red a las colecciones y los paneles de control, y una política de acceso a los datos como el punto de acceso para un control de acceso detallado para cualquier operación con los datos de la colección.
Como puede especificar varios ID de punto de conexión de VPC en una política de red, le recomendamos que cree un punto de conexión de VPC para cada VPC que necesite acceder a una colección. Estas VPC pueden pertenecer a cuentas AWS distintas de la cuenta propietaria de la política de red y colección de OpenSearch sin servidor. No recomendamos crear una solución de emparejamiento de VPC a VPC ni ninguna otra solución de proxy entre dos cuentas para que la VPC de una cuenta pueda utilizar el punto de conexión de VPC de otra cuenta. Esto es menos seguro y rentable que cada VPC que tenga su propio punto de conexión. El administrador de la otra VPC, que ha configurado el acceso al punto de conexión de esa VPC en la política de red, no podrá ver fácilmente la primera VPC.
Políticas de punto de conexión y VPC
Amazon OpenSearch sin servidor es compatible con las políticas del punto de conexión para las VPC. Una política de punto de conexión es una política basada en recursos de IAM que se puede asociar a un punto de conexión de VPC para controlar qué entidades principales de AWS pueden utilizar el punto de conexión para acceder a su servicio de AWS. Para obtener más información, consulte Controlar el acceso a puntos de conexión de VPC con políticas de punto de conexión.
Para usar una política de punto de conexión, primero debe crear un punto de conexión de interfaz. Puede crear un punto de conexión de interfaz mediante la consola o la API de OpenSearch sin servidor. Después de crear el punto de conexión de interfaz, tendrá que añadir la política del punto de conexión al punto de conexión. Para obtener más información, consulte Acceder a Amazon OpenSearch sin servidor utilizando un punto de conexión de interfaz (AWS PrivateLink).
nota
No puede definir una política de punto de conexión directamente en la consola de OpenSearch Service.
Una política de punto de conexión no anula ni reemplaza otras políticas basadas en identidades, políticas basadas en recursos, políticas de red o políticas de acceso a datos que haya configurado. Para obtener información sobre cómo actualizar la política de puntos de conexión, consulte Controlar el acceso a puntos de conexión de VPC con políticas de punto de conexión.
De forma predeterminada, una política de punto de conexión concede acceso completo al punto de conexión de VPC.
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } ] }
Si bien la política de puntos de conexión de VPC predeterminada concede acceso total a los puntos de conexión, puede configurar una política de puntos de conexión de VPC para permitir el acceso a roles y usuarios específicos. Para eso, vea el siguiente ejemplo:
Puede especificar una colección de OpenSearch sin servidor para que se incluya como elemento condicional en su política de puntos de conexión de VPC. Para eso, vea el siguiente ejemplo:
El soporte para aoss:CollectionId está disponible.
Condition": { "StringEquals": { "aoss:CollectionId": "collection-id" } }
Puede usar las identidades de SAML en la política de puntos de conexión de VPC para determinar el acceso a esos puntos. Debe usar un comodín (*) en la sección de la entidad principal de la política de puntos de conexión de VPC. Para eso, vea el siguiente ejemplo:
Además, puede configurar su política de puntos de conexión para que incluya una política de entidad principal de SAML específica. Para eso, vea lo siguiente:
Para obtener más información sobre el uso de la autenticación SAML con Amazon OpenSearch sin servidor, consulte Autenticación SAML para Amazon OpenSearch sin servidor.
También puede incluir usuarios de IAM y SAML en la misma política de puntos de conexión de VPC. Para eso, vea el siguiente ejemplo:
También puede acceder a una colección de Amazon OpenSearch sin servidor desde Amazon EC2 mediante puntos de conexión de interfaz VPC. Para obtener más información, consulte Acceder a una colección de OpenSearch sin servidor desde Amazon EC2 (a través de puntos de conexión VPC de interfaz)
Consideraciones
Antes de configurar un punto de conexión para OpenSearch sin servidor, tenga en cuenta lo siguiente:
-
OpenSearch sin servidor permite realizar llamadas a todas las operaciones de la API de OpenSearch (no a las operaciones de la API de configuración) a través del punto de conexión de la interfaz.
-
Tras crear un punto de conexión de interfaz para OpenSearch sin servidor, aún tendrá que incluirlo en las políticas de acceso a la red para que pueda acceder a las colecciones sin servidor.
-
De forma predeterminada, se permite el acceso completo OpenSearch sin servidor a través del punto de conexión. Puede asociar un grupo de seguridad a las interfaces de red de los puntos de conexión para controlar el tráfico a OpenSearch sin servidor a través del punto de conexión de interfaz.
-
Una sola Cuenta de AWS puede tener un máximo de 50 puntos de conexión de VPC de OpenSearch sin servidor.
-
Si habilita el acceso público a Internet a la API o los paneles de control de su colección en una política de red, cualquier VPC y la Internet pública pueden acceder a su colección.
-
Si está en las instalaciones y fuera de la VPC, no puede usar directamente un resolver de DNS para la resolución del punto de conexión de VPC de OpenSearch sin servidor. Si necesita acceso a una VPN, la VPC necesita un resolver de proxy de DNS para que lo usen los clientes externos. Route 53 ofrece una opción de punto de conexión de entrada que puede usar para resolver consultas de DNS a su VPC desde su red en las instalaciones u otra VPC.
-
El servicio administra la zona alojada privada que OpenSearch sin servidor crea y adjunta a la VPC, pero aparece en los recursos de Amazon Route 53 y se factura a su cuenta.
-
Para otras consideraciones, consulte Consideraciones en la Guía de AWS PrivateLink.
Permisos necesarios
La autenticación VCC para OpenSearch sin servidor utiliza los siguientes permisos AWS Identity and Access Management (IAM): Puede especificar las condiciones de IAM para restringir a los usuarios a colecciones específicas.
-
aoss:CreateVpcEndpoint: cree un punto de conexión de VPC. -
aoss:ListVpcEndpoints: enumere todos los puntos de conexión de VPC. -
aoss:BatchGetVpcEndpoint: consulte los detalles sobre un subconjunto de puntos de conexión de VPC. -
aoss:UpdateVpcEndpoint: modifique un punto de conexión de VPC. -
aoss:DeleteVpcEndpoint: elimine un punto de conexión de VPC.
Además, necesita los siguientes permisos de Amazon EC2 y Route 53 para crear un punto de conexión de VPC.
-
ec2:CreateTags -
ec2:CreateVpcEndpoint -
ec2:DeleteVpcEndPoints -
ec2:DescribeSecurityGroups -
ec2:DescribeSubnets -
ec2:DescribeVpcEndpoints -
ec2:DescribeVpcs -
ec2:ModifyVpcEndPoint -
route53:AssociateVPCWithHostedZone -
route53:ChangeResourceRecordSets -
route53:CreateHostedZone -
route53:DeleteHostedZone -
route53:GetChange -
route53:GetHostedZone -
route53:ListHostedZonesByName -
route53:ListHostedZonesByVPC -
route53:ListResourceRecordSets
Creación de un punto de conexión de interfaz para OpenSearch sin servidor
Puede crear un punto de conexión de interfaz para OpenSearch sin servidor mediante la consola o la API de OpenSearch sin servidor.
Cómo crear un punto de conexión de interfaz para OpenSearch sin servidor
-
Abra la consola de Amazon OpenSearch Service en https://console.aws.amazon.com/aos/home
. -
En el panel de navegación de la izquierda, expanda Sin servidor y seleccione Puntos de conexión de VPC.
-
Seleccione Crear punto de conexión de VPC.
-
Proporcione un nombre para el punto de conexión.
-
Para VPC, seleccione la VPC desde la que accederá a OpenSearch sin servidor.
-
En Subredes, seleccione la subred desde la que accederá a OpenSearch sin servidor.
-
La dirección IP y el tipo de DNS del punto de conexión se basan en el tipo de subred.
-
Dualstack: si todas las subredes tienen rangos de direcciones IPv4 y IPv6
-
IPv6: si todas las subredes son subredes IPv6
-
IPv4: si todas las subredes tienen rangos de direcciones IPv4
-
-
-
En Grupos de seguridad, seleccione los grupos de seguridad que deban asociarse a las interfaces de red del punto de conexión. Este es un paso fundamental en el que limita los puertos, protocolos y orígenes para el tráfico entrante que autoriza para el punto de conexión. Asegúrese de que las reglas del grupo de seguridad permitan a los recursos que utilizarán los puntos de conexión de VPC comunicarse con OpenSearch sin servidor para, a su vez, comunicarse con la interfaz de la red del punto de conexión.
-
Seleccione Crear punto de conexión.
Para crear un punto de conexión de VPC mediante la API de OpenSearch sin servidor, utilice el comando CreateVpcEndpoint.
nota
Después de crear un punto de conexión, registre su ID (por ejemplo, vpce-abc123def4EXAMPLE. Para proporcionar el acceso del punto de conexión a sus colecciones, debe incluir este ID en una o más políticas de acceso a la red.
Tras crear un punto de conexión de interfaz, debe proporcionarles acceso a las colecciones mediante políticas de acceso a la red. Para obtener más información, consulte Acceso a la red para Amazon OpenSearch sin servidor.
Configuración de VPC compartida para Amazon OpenSearch sin servidor
Usted puede utilizar la nube privada virtual (VPC) de Amazon para compartir subredes de VPC con otras Cuentas de AWS de su organización, así como compartir infraestructura de redes, como una VPN, entre recursos en varias Cuentas de AWS.
Actualmente, Amazon OpenSearch sin servidor no admite la creación de una conexión AWS PrivateLink en una VPC compartida a menos que usted sea el propietario de esa VPC. AWS PrivateLink tampoco admite compartir conexiones entre Cuentas de AWS.
Sin embargo, gracias a la arquitectura flexible y modular de OpenSearch sin servidor, aún puede configurar una VPC compartida. Esto es posible porque la infraestructura de redes de OpenSearch sin servidor es independiente de la infraestructura individual de cada colección (OpenSearch Service). Por lo tanto, usted puede crear un punto de conexión VPCe de AWS PrivateLink en una cuenta donde se encuentre ubicada una VPC y, luego, usar el ID de ese VPCe en la política de redes de otras cuentas para restringir el tráfico, de modo que solo provenga de esa VPC compartida.
Los siguientes procedimientos se refieren a una cuenta propietaria y una cuenta consumidora.
Un propietario de la cuenta actúa como una cuenta de redes común en la que se configura una VPC y se comparte con otras cuentas. Las cuentas consumidoras son aquellas cuentas que crean y mantienen sus colecciones de OpenSearch Serverless dentro de la VPC que el propietario comparte con ellas.
Requisitos previos
Asegúrese de que se cumplan los siguientes requisitos antes de configurar la VPC compartida:
-
El propietario de la cuenta debe haber configurado previamente una VPC, subredes, tabla de enrutamiento y otros recursos necesarios en nube privada virtual de Amazon. Para obtener más información, consulte la Guía del usuario de Amazon VPC.
-
El propietario de la cuenta y las cuentas consumidoras deben pertenecer a la misma organización en AWS Organizations. Para obtener más información, consulte la Guía del usuario de AWS Organizations.
Para configurar una VPC compartida en una cuenta propietaria o cuenta de redes común:
-
Inicie sesión en la consola de Amazon OpenSearch Service en https://console.aws.amazon.com/aos/home
. -
Siga los pasos de Creación de un punto de conexión de interfaz para OpenSearch sin servidor. Mientras realiza el procedimiento, haga las siguientes selecciones:
-
Seleccione una VPC y subredes que estén compartidas con las cuentas consumidoras de su organización.
-
-
Después de crear el punto de conexión, tome nota del ID de VPCe generado y proporciónelo a los administradores que deban realizar la tarea de configuración en las cuentas consumidoras.
Los ID de VPCe tienen el formato
vpce-abc123def4EXAMPLE.
Para configurar una VPC compartida en una cuenta consumidora:
-
Inicie sesión en la consola de Amazon OpenSearch Service en https://console.aws.amazon.com/aos/home
. -
Use la información de Administración de colecciones de Amazon OpenSearch sin servidor para crear una colección, si aún no tiene una.
-
Use la información de Creación de políticas de (consola) para crear una política de red. A medida que avanza, realice las siguientes selecciones.
nota
También puede actualizar una política de red existente para este fin.
-
En Tipo de acceso, seleccione VPC (recomendado).
-
Para acceder a los puntos de conexión de VPC, elija el ID de vPCE que le proporcionó la cuenta propietaria, en el formato
vpce-abc123def4EXAMPLE. -
En el área Tipo de recurso, haga lo siguiente:
-
Seleccione la casilla Habilitar el acceso al punto de conexión de OpenSearch y, a continuación, seleccione el nombre o el patrón de la colección que se utilizará para habilitar el acceso desde esa VPC compartida.
-
Seleccione la casilla Habilitar acceso a OpenSearch Dashboard y luego seleccione el nombre de la colección o el patrón de colección que desee utilizar para habilitar el acceso desde esa VPC compartida.
-
-
-
Para una nueva política, seleccione Crear. Para una política existente, seleccione Actualizar.
