Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Konfiguration von OpenSearch Ingestion-Pipelines für die kontoübergreifende Erfassung
<a name="cross-account-pipelines"></a>

Für Push-basierte Quellen wie HTTP und OTel ermöglicht Ihnen Amazon OpenSearch Ingestion die gemeinsame Nutzung von Pipelines AWS-Konten von einer Virtual Private Cloud (VPC) bis zu einem Pipeline-Endpunkt in einer separaten VPC. Teams, die Analysen mit anderen Teams in ihrer Organisation teilen, nutzen diese Funktion, um beispielsweise Protokollanalysen einfacher zu nutzen.

In diesem Abschnitt wird die folgende Terminologie verwendet:
+ **Pipeline-Besitzer** — Das Konto, das die OpenSearch Ingestion-Pipeline besitzt und verwaltet. Nur ein Konto kann Eigentümer einer Pipeline sein.
+ **Verbindungskonto** — Ein Konto, das eine Verbindung zu einer gemeinsam genutzten Pipeline herstellt und diese verwendet. Mehrere Konten können eine Verbindung zu derselben Pipeline herstellen.

Um die gemeinsame VPCs Nutzung von OpenSearch Ingestion-Pipelines zu konfigurieren AWS-Konten, führen Sie die folgenden Aufgaben aus, wie hier beschrieben:
+ (Besitzer der Pipeline) [Gewähren Sie Verbindungskonten Zugriff auf eine Pipeline](#cross-account-pipelines-setting-up-grant-access)
+ (Konto wird verbunden) [Erstellen Sie eine Pipeline-Endpunktverbindung für jede verbindende VPC](#cross-account-pipelines-setting-up-create-pipeline-endpoints)

## Bevor Sie beginnen
<a name="cross-account-pipelines-before-you-begin"></a>

Bevor Sie die Konfiguration VPCs für die gemeinsame Nutzung OpenSearch von Ingestion-Pipelines konfigurieren AWS-Konten, führen Sie die folgenden Aufgaben aus:


****  

| Aufgabe | Details | 
| --- | --- | 
|  Erstellen Sie eine oder mehrere Ingestion-Pipelines OpenSearch   |  Stellen Sie die Mindestanzahl an OpenSearch Recheneinheiten (OSUs) auf 2 oder höher ein. Weitere Informationen finden Sie unter [Amazon OpenSearch Ingestion-Pipelines erstellen](creating-pipeline.md). Informationen zum Aktualisieren einer Pipeline finden Sie unter[Aktualisierung der Amazon OpenSearch Ingestion-Pipelines](update-pipeline.md).  | 
|  Erstellen Sie eine oder mehrere VPCs für OpenSearch Ingestion  |  Um die kontoübergreifende Pipeline-Freigabe zu aktivieren, müssen alle an der Pipeline beteiligten VPC und die Pipeline-Endpoints mit den folgenden DNS-Werten konfiguriert werden:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/cross-account-pipelines.html) Weitere Infomationen finden Sie unter [DNS-Attribute für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html) im *Amazon VPC-Benutzerhandbuch*.  | 

## Gewähren Sie Verbindungskonten Zugriff auf eine Pipeline
<a name="cross-account-pipelines-setting-up-grant-access"></a>

Die Verfahren in diesem Abschnitt beschreiben, wie Sie die OpenSearch Servicekonsole verwenden und den kontenübergreifenden AWS CLI Pipeline-Zugriff einrichten, indem Sie eine Ressourcenrichtlinie erstellen. Eine *Ressourcenrichtlinie* ermöglicht es einem Pipeline-Besitzer, andere Konten anzugeben, die auf eine Pipeline zugreifen können. Nach der Erstellung existieren Pipeline-Richtlinien so lange, wie die Pipeline existiert oder bis die Richtlinie gelöscht wird.

**Anmerkung**  
[Ressourcenrichtlinien ersetzen nicht die standardmäßige Autorisierung OpenSearch von Ingestions mithilfe von IAM-Berechtigungen.](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/creating-pipeline.html#create-pipeline-permissions) Ressourcenrichtlinien sind ein zusätzlicher Autorisierungsmechanismus, um den kontoübergreifenden Pipeline-Zugriff zu ermöglichen.

**Topics**
+ [Gewähren Sie Verbindungskonten Zugriff auf eine Pipeline (Konsole)](#cross-account-pipelines-setting-up-grant-access-console)
+ [Verbindungskonten Zugriff auf eine Pipeline gewähren (CLI)](#cross-account-pipelines-setting-up-grant-access-cli)

### Gewähren Sie Verbindungskonten Zugriff auf eine Pipeline (Konsole)
<a name="cross-account-pipelines-setting-up-grant-access-console"></a>

Gehen Sie wie folgt vor, um verbindenden Konten mithilfe der Amazon OpenSearch Service-Konsole Zugriff auf eine Pipeline zu gewähren.

**Um eine Pipeline-Endpunktverbindung herzustellen**

1. **Erweitern Sie in der Amazon OpenSearch Service-Konsole im Navigationsbereich die Option **Ingestion** und wählen Sie dann Pipelines aus.**

1. Wählen Sie im Abschnitt **Pipelines** den Namen einer Pipeline aus, der Sie Zugriff für ein Verbindungskonto gewähren möchten.

1. Wählen Sie die **Registerkarte VPC-Endpoints**.

1. **Wählen Sie im Abschnitt **Autorisierte Principals die** Option Konto autorisieren aus.**

1. **Geben Sie im Feld **AWS-Konto ID** die 12-stellige Konto-ID ein und wählen Sie dann Autorisieren aus.**

### Verbindungskonten Zugriff auf eine Pipeline gewähren (CLI)
<a name="cross-account-pipelines-setting-up-grant-access-cli"></a>

Gehen Sie wie folgt vor, um Verbindungskonten Zugriff auf eine Pipeline zu gewähren, indem Sie die verwenden AWS CLI.

**So gewähren Sie Konten, die eine Verbindung herstellen, Zugriff auf die Pipeline**

1. Aktualisieren Sie auf die neueste Version von AWS CLI (Version 2.0). Weitere Informationen finden Sie unter [Installieren oder Aktualisierung auf die neueste Version der AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).

1. Öffnen Sie die CLI im Konto und AWS-Region mit der Pipeline, die Sie teilen möchten.

1. Führen Sie den folgenden Befehl aus, um eine Ressourcenrichtlinie für die Pipeline zu erstellen. Diese Richtlinie erteilt die `osis:CreatePipelineEndpoint` Genehmigung für die Pipeline. Die Richtlinie enthält einen Parameter, in dem Sie angeben können AWS-Konto IDs , ob Sie zulassen möchten.
**Anmerkung**  
Im folgenden Befehl müssen Sie die Kurzform der Konto-ID verwenden und nur die zwölfstellige Konto-ID angeben. Die Verwendung eines ARN funktioniert nicht. Sie müssen auch den Amazon-Ressourcennamen (ARN) der Pipeline im CLI-Parameter für `resource-arn` und in der Richtlinie JSON unter angeben`Resource`, wie gezeigt.

   ```
   aws --region region osis put-resource-policy \
     --resource-arn arn:aws:osis:region:pipeline-owner-account-ID:pipeline/pipeline-name
     --policy 'IAM-policy'
   ```

   Verwenden Sie eine Richtlinie wie die folgende für *IAM-policy*

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
     {
     "Sid": "AllowAccess",
     "Effect": "Allow",
     "Principal": {
     "AWS": [
     "111122223333",
     "444455556666"
     ]
     },
     "Action": 
     "osis:CreatePipelineEndpoint",
     "Resource": "arn:aws:osis:us-east-1:123456789012:pipeline/pipeline-name"
     }
     ]
    }
   ```

------

## Erstellen Sie eine Pipeline-Endpunktverbindung für jede verbindende VPC
<a name="cross-account-pipelines-setting-up-create-pipeline-endpoints"></a>

Nachdem der Pipeline-Besitzer mithilfe des vorherigen Verfahrens Zugriff auf eine Pipeline in seiner VPC gewährt hat, erstellt ein Benutzer des Verbindungskontos einen Pipeline-Endpunkt in seiner VPC. Dieser Abschnitt enthält Verfahren zum Erstellen von Endpunkten mithilfe der OpenSearch Servicekonsole und der. AWS CLI Wenn Sie einen Endpunkt erstellen, führt OpenSearch Ingestion die folgenden Aktionen aus:
+ Erstellt die [AWSServiceRoleForAmazonOpenSearchIngestionService](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/slr-osis.html)dienstverknüpfte Rolle in Ihrem Konto, falls sie noch nicht vorhanden ist. Diese Rolle gibt dem Benutzer im Verbindungskonto die Berechtigung, die [CreatePipelineEndpoint](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_osis_CreatePipelineEndpoint.html)API-Aktion aufzurufen.
+ Erstellt den Pipeline-Endpunkt.
+ Konfiguriert den Pipeline-Endpunkt so, dass er Daten aus der gemeinsam genutzten Pipeline in der VPC des Pipeline-Besitzers aufnimmt.

**Topics**
+ [Erstellen einer Pipeline-Endpunktverbindung (Konsole)](#cross-account-pipelines-setting-up-create-pipeline-endpoints-console)
+ [Eine Pipeline-Endpunktverbindung (CLI) erstellen](#cross-account-pipelines-setting-up-create-pipeline-endpoints-cli)

### Erstellen einer Pipeline-Endpunktverbindung (Konsole)
<a name="cross-account-pipelines-setting-up-create-pipeline-endpoints-console"></a>

Gehen Sie wie folgt vor, um mithilfe der OpenSearch Servicekonsole eine Pipeline-Endpunktverbindung herzustellen.

**So erstellen Sie eine Pipeline-Endpunktverbindung**

1. Erweitern Sie in der Amazon OpenSearch Service-Konsole im Navigationsbereich die Option **Ingestion** und wählen Sie dann **VPC-Endpoints** aus.

1. **Wählen Sie auf der Seite **VPC-Endpoints** die Option Create aus.**

1. Wählen Sie für den **Standort der Pipeline** eine Option aus. Wenn Sie **Girokonto** wählen, wählen Sie die Pipeline aus der Liste aus. Wenn Sie **Kontoübergreifend** wählen, geben Sie den Pipeline-ARN in das Feld ein. Der Pipeline-Besitzer muss Zugriff auf die Pipeline gewährt haben, wie unter beschrieben[Gewähren Sie Verbindungskonten Zugriff auf eine Pipeline](#cross-account-pipelines-setting-up-grant-access). 

1. Wählen Sie im Abschnitt **VPC-Einstellungen** für **VPC** eine VPC aus der Liste aus.

1. Wählen Sie im Feld **Subnets (Subnetze)** ein Subnetz aus.

1. Wählen Sie für **Sicherheitsgruppen** eine Gruppe aus.

1. Wählen Sie **Endpunkt erstellen** aus.

Warten Sie auf den Status des Endpunkts, zu dem Sie den Übergang erstellt haben`ACTIVE`. Sobald die Pipeline fertig ist`ACTIVE`, sehen Sie ein neues Feld mit dem Namen`ingestEndpointUrl`. Verwenden Sie diesen Endpunkt, um über einen Client wie FluentBit auf die Pipeline zuzugreifen und Daten aufzunehmen. Weitere Hinweise zur Verwendung FluentBit zum Ingestieren von Daten finden Sie unter. [Verwenden einer OpenSearch Ingestion-Pipeline mit Fluent Bit](configure-client-fluentbit.md)

**Anmerkung**  
Das `ingestEndpointUrl` ist dieselbe URL für alle Konten, die eine Verbindung herstellen.

### Eine Pipeline-Endpunktverbindung (CLI) erstellen
<a name="cross-account-pipelines-setting-up-create-pipeline-endpoints-cli"></a>

Gehen Sie wie folgt vor, um eine Pipeline-Endpunktverbindung mithilfe von zu erstellen. AWS CLI

**Um eine Pipeline-Endpunktverbindung zu erstellen**

1. Falls Sie dies noch nicht getan haben, aktualisieren Sie auf die neueste Version von AWS CLI (Version 2.0). Weitere Informationen finden Sie unter [Installieren oder Aktualisierung auf die neueste Version der AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).

1. Öffnen Sie die CLI im Verbindungskonto in der AWS-Region mit der gemeinsam genutzten Pipeline.

1. Führen Sie den folgenden Befehl aus, um einen Pipeline-Endpunkt zu erstellen.
**Anmerkung**  
Sie müssen mindestens ein Subnetz und eine Sicherheitsgruppe für die VPC des Verbindungskontos angeben. Die Sicherheitsgruppe muss Port 443 enthalten und Clients beim Verbindungskonto VPC unterstützen.

   ```
   aws osis --region region create-pipeline-endpoint \
     --pipeline-arn arn:aws:osis:region:connecting-account-ID:pipeline/shared-pipeline-name
     --vpc-options SecurityGroupIds={sg-security-group-ID-1,sg-security-group-ID-2},SubnetIds=subnet-subnet-ID
   ```

1. Führen Sie den folgenden Befehl aus, um Endpunkte in der Region aufzulisten, die im vorherigen Befehl angegeben wurde:

   ```
   aws osis --region region list-pipeline-endpoints
   ```

Warten Sie auf den Status des Endpunkts, zu dem Sie den Übergang erstellt haben. `ACTIVE` Sobald die Pipeline fertig ist`ACTIVE`, sehen Sie ein neues Feld mit dem Namen`ingestEndpointUrl`. Verwenden Sie diesen Endpunkt, um über einen Client wie FluentBit auf die Pipeline zuzugreifen und Daten aufzunehmen. Weitere Hinweise zur Verwendung FluentBit zum Ingestieren von Daten finden Sie unter. [Verwenden einer OpenSearch Ingestion-Pipeline mit Fluent Bit](configure-client-fluentbit.md)

**Anmerkung**  
Das `ingestEndpointUrl` ist dieselbe URL für alle Konten, die eine Verbindung herstellen.

## Pipeline-Endpunkte werden entfernt
<a name="cross-account-pipelines-remove"></a>

Wenn Sie keinen Zugriff mehr auf eine gemeinsam genutzte Pipeline gewähren möchten, können Sie einen Pipeline-Endpunkt mit einer der folgenden Methoden entfernen:
+ Löschen Sie den Pipeline-Endpunkt (Verbindungskonto).
+ Widerrufen Sie den Pipeline-Endpunkt (Pipeline-Besitzer).

Gehen Sie wie folgt vor, um einen Pipeline-Endpunkt in einem Verbindungskonto zu löschen.

**So löschen Sie einen Pipeline-Endpunkt (Verbindungskonto)**

1. Öffnen Sie die CLI im Verbindungskonto in der AWS-Region mit der gemeinsam genutzten Pipeline.

1. Führen Sie den folgenden Befehl aus, um die Pipeline-Endpunkte in der Region aufzulisten:

   ```
   aws osis --region region list-pipeline-endpoints
   ```

   Notieren Sie sich die Pipeline-ID, die Sie löschen möchten.

1. Führen Sie den folgenden Befehl aus, um den Pipeline-Endpunkt zu löschen:

   ```
   aws osis --region region delete-pipeline-endpoint \
     --endpoint-id 'ID'
   ```

Verwenden Sie als Pipeline-Besitzer der gemeinsam genutzten Pipeline das folgende Verfahren, um einen Pipeline-Endpunkt zu sperren.

**Um einen Pipeline-Endpunkt zu sperren (Pipeline-Besitzer)**

1. Öffnen Sie die CLI im Verbindungskonto in der AWS-Region mit der gemeinsam genutzten Pipeline.

1. Führen Sie den folgenden Befehl aus, um die Pipeline-Endpunktverbindungen in der Region aufzulisten:

   ```
   aws osis --region region list-pipeline-endpoint-connections
   ```

   Notieren Sie sich die Pipeline-ID, die Sie löschen möchten.

1. Führen Sie den folgenden Befehl aus, um den Pipeline-Endpunkt zu löschen:

   ```
   aws osis --region region revoke-pipeline-endpoint-connections \
     --pipeline-arn pipeline-arn --endpoint-ids ID
   ```

   Der Befehl unterstützt die Angabe nur einer Endpunkt-ID.