Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione di ruoli e utenti in Amazon OpenSearch Ingestion
Amazon OpenSearch Ingestion utilizza una varietà di modelli di autorizzazioni e ruoli IAM per consentire alle applicazioni di origine di scrivere nelle pipeline e consentire alle pipeline di scrivere nei sink. Prima di iniziare a importare dati, devi creare uno o più ruoli IAM con autorizzazioni specifiche in base al tuo caso d'uso.
Per configurare una pipeline di successo sono necessari almeno i seguenti ruoli.
| Nome | Description |
| --- | --- |
| [**Ruolo della pipeline**](#pipeline-security-sink) | Il ruolo pipeline fornisce le autorizzazioni necessarie affinché una pipeline possa leggere dall'origine e scrivere nel dominio o nel sink di raccolta. È possibile creare manualmente il ruolo pipeline oppure fare in modo che OpenSearch Ingestion lo crei automaticamente. |
| [**Ruolo di ingestione**](#pipeline-security-same-account) | Il ruolo di importazione contiene l'`osis:Ingest`autorizzazione per la risorsa della pipeline. Questa autorizzazione consente alle fonti basate su push di importare dati in una pipeline. |
L'immagine seguente mostra una configurazione tipica di una pipeline, in cui un'origine dati come Amazon S3 o Fluent Bit sta scrivendo su una pipeline in un account diverso. In questo caso, il client deve assumere il ruolo di ingestione per accedere alla pipeline. Per ulteriori informazioni, consulta [Inserimento tra più account](#pipeline-security-different-account).
![\[Cross-account data ingestion pipeline showing client application, roles, and OpenSearch sink.\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/images/pipeline-security.png)
Per una semplice guida alla configurazione, consulta. [Tutorial: importazione di dati in un dominio utilizzando Amazon Ingestion OpenSearch](osis-get-started.md)
**Argomenti**
+ [Ruolo della pipeline](#pipeline-security-sink)
+ [Ruolo di ingestione](#pipeline-security-same-account)
+ [Inserimento tra più account](#pipeline-security-different-account)
## Ruolo della pipeline
Una pipeline necessita di determinate autorizzazioni per leggere dal codice sorgente e scrivere nel relativo sink. Queste autorizzazioni dipendono dall'applicazione client o da Servizio AWS quella che sta scrivendo nella pipeline e dal fatto che il sink sia un dominio di OpenSearch servizio, una raccolta OpenSearch Serverless o Amazon S3. Inoltre, una pipeline potrebbe aver bisogno delle autorizzazioni per *estrarre fisicamente i dati dall'applicazione di origine (se l'origine è un plug-in basato su pull*) e delle autorizzazioni per scrivere su una coda di lettere morte di S3, se abilitate.
Quando crei una pipeline, hai la possibilità di specificare un ruolo IAM esistente creato manualmente o fare in modo che OpenSearch Ingestion crei automaticamente il ruolo della pipeline in base all'origine e al sink selezionati. L'immagine seguente mostra come specificare il ruolo della pipeline in. Console di gestione AWS
![\[Pipeline role selection interface with options to create new or use existing IAM role.\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/images/pipeline-role.png)
**Topics**
+ [Automatizzazione della creazione dei ruoli della pipeline](#pipeline-role-auto-create)
+ [Creazione manuale del ruolo della pipeline](#pipeline-role-manual-create)
### Automatizzazione della creazione dei ruoli della pipeline
Puoi scegliere di fare in modo che OpenSearch Ingestion crei il ruolo della pipeline per te. Identifica automaticamente le autorizzazioni richieste dal ruolo in base all'origine e ai sink configurati. Crea un ruolo IAM con il prefisso `OpenSearchIngestion-` e il suffisso che inserisci. Ad esempio, se si immette `PipelineRole` come suffisso, OpenSearch Ingestion crea un ruolo denominato. `OpenSearchIngestion-PipelineRole`
La creazione automatica del ruolo pipeline semplifica il processo di configurazione e riduce la probabilità di errori di configurazione. Automatizzando la creazione dei ruoli, è possibile evitare l'assegnazione manuale delle autorizzazioni, garantendo l'applicazione delle politiche corrette senza rischiare configurazioni errate della sicurezza. Ciò consente inoltre di risparmiare tempo e migliora la conformità alla sicurezza applicando le migliori pratiche, garantendo al contempo la coerenza tra più implementazioni della pipeline.
È possibile fare in modo che OpenSearch Ingestion crei automaticamente il ruolo della pipeline solo in. Console di gestione AWS Se utilizzi l' AWS CLI API OpenSearch Ingestion o uno di questi SDKs, devi specificare un ruolo pipeline creato manualmente.
**Per fare in modo che OpenSearch Ingestion crei il ruolo per te, seleziona Crea e usa un nuovo ruolo di servizio.**
**Importante**
È comunque necessario modificare manualmente la politica di accesso al dominio o alla raccolta per concedere l'accesso al ruolo della pipeline. Per i domini che utilizzano un controllo granulare degli accessi, è inoltre necessario mappare il ruolo della pipeline a un ruolo di backend. È possibile eseguire questi passaggi prima o dopo aver creato la pipeline.
Per istruzioni, consultate i seguenti argomenti:
[Configurare l'accesso ai dati per il dominio](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/pipeline-domain-access.html#pipeline-access-domain)
[Configura l'accesso ai dati e alla rete per la raccolta](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/pipeline-domain-access.html#pipeline-collection-acces)
### Creazione manuale del ruolo della pipeline
Potresti preferire creare manualmente il ruolo pipeline se hai bisogno di un maggiore controllo sulle autorizzazioni per soddisfare specifici requisiti di sicurezza o conformità. La creazione manuale consente di personalizzare i ruoli per adattarli all'infrastruttura esistente o alle strategie di gestione degli accessi. Puoi anche scegliere la configurazione manuale per integrare il ruolo con altri Servizi AWS o assicurarti che sia in linea con le tue esigenze operative specifiche.
Per scegliere un ruolo pipeline creato manualmente, seleziona **Usa un ruolo IAM esistente e scegli un ruolo** esistente. Il ruolo deve disporre di tutte le autorizzazioni necessarie per ricevere dati dalla fonte selezionata e scrivere nel sink selezionato. Nelle sezioni seguenti viene descritto come creare manualmente un ruolo di pipeline.
**Topics**
+ [Autorizzazioni per leggere da una fonte](#pipeline-security--source)
+ [Autorizzazioni per scrivere su un sink di dominio](#pipeline-security-domain-sink)
+ [Autorizzazioni per la scrittura in un sink di raccolta](#pipeline-security--collection-sink)
+ [Autorizzazioni per scrivere su Amazon S3 o su una coda di lettere non scritte](#pipeline-security-dlq)
#### Autorizzazioni per leggere da una fonte
Una pipeline di OpenSearch ingestione necessita dell'autorizzazione per leggere e ricevere dati dalla fonte specificata. Ad esempio, per un'origine Amazon DynamoDB, sono necessarie autorizzazioni come e. `dynamodb:DescribeTable` `dynamodb:DescribeStream` Per esempi di politiche di accesso ai ruoli della pipeline per fonti comuni, come Amazon S3, Fluent Bit e Collector, OpenTelemetry consulta. [Integrazione delle pipeline OpenSearch di Amazon Ingestion con altri servizi e applicazioni](configure-client.md)
#### Autorizzazioni per scrivere su un sink di dominio
Una pipeline di OpenSearch Ingestion necessita dell'autorizzazione per scrivere su un dominio OpenSearch di servizio configurato come sink. Queste autorizzazioni includono la possibilità di descrivere il dominio e inviargli richieste HTTP. Queste autorizzazioni sono le stesse per i domini pubblici e VPC. Per istruzioni su come creare un ruolo di pipeline e specificarlo nella politica di accesso al dominio, consulta [Consentire alle pipeline](pipeline-domain-access.md) di accedere ai domini.
#### Autorizzazioni per la scrittura in un sink di raccolta
Una pipeline di OpenSearch Ingestion necessita dell'autorizzazione per scrivere su una raccolta OpenSearch Serverless configurata come sink. Queste autorizzazioni includono la possibilità di descrivere la raccolta e inviarle richieste HTTP.
Innanzitutto, assicurati che la politica di accesso al ruolo della pipeline conceda le autorizzazioni richieste. Quindi, includi questo ruolo in una politica di accesso ai dati e concedigli le autorizzazioni per creare indici, aggiornare indici, descrivere gli indici e scrivere documenti all'interno della raccolta. [Per istruzioni su come completare ciascuno di questi passaggi, consulta Consentire alle pipeline di accedere alle raccolte.](pipeline-collection-access.md)
#### Autorizzazioni per scrivere su Amazon S3 o su una coda di lettere non scritte
Se specifichi Amazon S3 come destinazione sink per la tua pipeline o se abiliti una [dead-letter queue](https://opensearch.org/docs/latest/data-prepper/pipelines/dlq/) (DLQ), il ruolo pipeline deve consentirle di accedere al bucket S3 che hai specificato come destinazione.
Associa una politica di autorizzazioni separata al ruolo della pipeline che fornisce l'accesso DLQ. Al ruolo deve essere concessa almeno l'`S3:PutObject`azione sulla risorsa bucket:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "WriteToS3DLQ",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::my-dlq-bucket/*"
}
]
}
```
------
## Ruolo di ingestione
Il ruolo di ingestione è un ruolo IAM che consente ai servizi esterni di interagire e inviare dati in modo sicuro a una pipeline di Ingestion. OpenSearch Per le fonti basate su push, come Amazon Security Lake, questo ruolo deve concedere le autorizzazioni per inserire i dati nella pipeline, tra cui. `osis:Ingest` Per le fonti basate su pull, come Amazon S3, il ruolo deve OpenSearch consentire a Ingestion di assumerlo e accedere ai dati con le autorizzazioni necessarie.
**Topics**
+ [Ruolo di inserimento per sorgenti basate su push](#ingestion-role-push-based)
+ [Ruolo di inserimento per sorgenti basate su pull](#ingestion-role-pull-based)
+ [Inserimento tra più account](#pipeline-security-different-account)
### Ruolo di inserimento per sorgenti basate su push
Per le fonti basate su push, i dati vengono inviati o inseriti nella pipeline di ingestione da un altro servizio, come Amazon Security Lake o Amazon DynamoDB. In questo scenario, il ruolo di importazione richiede almeno l'autorizzazione a interagire con la pipeline. `osis:Ingest`
La seguente policy di accesso IAM dimostra come concedere questa autorizzazione al ruolo di ingestione:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"osis:Ingest"
],
"Resource": "arn:aws:osis:us-east-1:111122223333:pipeline/pipeline-name/*"
}
]
}
```
------
### Ruolo di inserimento per sorgenti basate su pull
Per le fonti basate su pull, la pipeline OpenSearch Ingestion estrae o recupera attivamente i dati da una fonte esterna, come Amazon S3. In questo caso, la pipeline deve assumere un ruolo di pipeline IAM che conceda le autorizzazioni necessarie per accedere all'origine dati. *In questi scenari, il ruolo di *ingestione è sinonimo di ruolo di pipeline*.*
Il ruolo deve includere una relazione di fiducia che consenta a OpenSearch Ingestion di assumerlo e autorizzazioni specifiche per l'origine dati. Per ulteriori informazioni, consulta [Autorizzazioni per leggere da una fonte](#pipeline-security--source).
### Inserimento tra più account
Potrebbe essere necessario importare dati in una pipeline da un altro Account AWS, ad esempio un account di applicazione. Per configurare l'ingestione tra account, definite un ruolo di importazione all'interno dello stesso account della pipeline e stabilite una relazione di fiducia tra il ruolo di inserimento e l'account dell'applicazione:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::444455556666:root"
},
"Action": "sts:AssumeRole"
}]
}
```
------
Quindi, configura l'applicazione in modo che assuma il ruolo di ingestione. L'account dell'applicazione deve concedere al ruolo dell'applicazione [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)le autorizzazioni per il ruolo di ingestione nell'account pipeline.
Per i passaggi dettagliati e gli esempi di policy IAM, consulta. [Fornire l'accesso all'importazione su più account](configure-client.md#configure-client-cross-account)