Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menyiapkan peran dan pengguna di Amazon OpenSearch Ingestion
Amazon OpenSearch Ingestion menggunakan berbagai model izin dan peran IAM untuk memungkinkan aplikasi sumber menulis ke saluran pipa, dan untuk memungkinkan saluran pipa menulis ke sink. Sebelum Anda dapat mulai menelan data, Anda perlu membuat satu atau beberapa peran IAM dengan izin tertentu berdasarkan kasus penggunaan Anda.
Minimal, peran berikut diperlukan untuk menyiapkan pipa yang berhasil.
| Nama | Deskripsi |
| --- | --- |
| [**Peran pipa**](#pipeline-security-sink) | Peran pipeline memberikan izin yang diperlukan untuk pipeline untuk membaca dari sumber dan menulis ke domain atau sink koleksi. Anda dapat membuat peran pipeline secara manual, atau Anda dapat meminta OpenSearch Ingestion membuatnya untuk Anda. |
| [**Peran konsumsi**](#pipeline-security-same-account) | Peran konsumsi berisi `osis:Ingest` izin untuk sumber daya pipa. Izin ini memungkinkan sumber berbasis push untuk menyerap data ke dalam pipeline. |
Gambar berikut menunjukkan penyiapan pipeline tipikal, di mana sumber data seperti Amazon S3 atau Fluent Bit menulis ke pipeline di akun yang berbeda. Dalam hal ini, klien perlu mengambil peran konsumsi untuk mengakses pipa. Untuk informasi selengkapnya, lihat [Konsumsi lintas akun](#pipeline-security-different-account).
![\[Cross-account data ingestion pipeline showing client application, roles, and OpenSearch sink.\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/images/pipeline-security.png)
Untuk panduan pengaturan sederhana, lihat[Tutorial: Menelan data ke dalam domain menggunakan Amazon OpenSearch Ingestion](osis-get-started.md).
**Topik**
+ [Peran pipa](#pipeline-security-sink)
+ [Peran konsumsi](#pipeline-security-same-account)
+ [Konsumsi lintas akun](#pipeline-security-different-account)
## Peran pipa
Pipa membutuhkan izin tertentu untuk membaca dari sumbernya dan menulis ke wastafelnya. Izin ini bergantung pada aplikasi klien atau Layanan AWS yang menulis ke pipeline, dan apakah sink adalah domain OpenSearch Layanan, koleksi OpenSearch Tanpa Server, atau Amazon S3. Selain itu, pipeline mungkin memerlukan izin untuk *menarik* data secara fisik dari aplikasi sumber (jika sumbernya adalah plugin berbasis tarik), dan izin untuk menulis ke antrian huruf mati S3, jika diaktifkan.
Saat membuat pipeline, Anda memiliki opsi untuk menentukan peran IAM yang sudah ada yang dibuat secara manual, atau meminta OpenSearch Ingestion secara otomatis membuat peran pipeline berdasarkan sumber dan sink yang Anda pilih. Gambar berikut menunjukkan cara menentukan peran pipeline di Konsol Manajemen AWS.
![\[Pipeline role selection interface with options to create new or use existing IAM role.\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/images/pipeline-role.png)
**Topics**
+ [Mengotomatiskan pembuatan peran pipa](#pipeline-role-auto-create)
+ [Membuat peran pipeline secara manual](#pipeline-role-manual-create)
### Mengotomatiskan pembuatan peran pipa
Anda dapat memilih agar OpenSearch Ingestion membuat peran pipeline untuk Anda. Ini secara otomatis mengidentifikasi izin mana yang diperlukan peran berdasarkan sumber dan sink yang dikonfigurasi. Ini menciptakan peran IAM dengan awalan`OpenSearchIngestion-`, dan dengan akhiran yang Anda masukkan. Misalnya, jika Anda memasukkan `PipelineRole` sebagai akhiran, OpenSearch Ingestion akan membuat peran bernama. `OpenSearchIngestion-PipelineRole`
Membuat peran pipeline secara otomatis menyederhanakan proses penyiapan dan mengurangi kemungkinan kesalahan konfigurasi. Dengan mengotomatiskan pembuatan peran, Anda dapat menghindari penetapan izin secara manual, memastikan bahwa kebijakan yang benar diterapkan tanpa risiko kesalahan konfigurasi keamanan. Hal ini juga menghemat waktu dan meningkatkan kepatuhan keamanan dengan menerapkan praktik terbaik, sekaligus memastikan konsistensi di beberapa penerapan pipeline.
Anda hanya dapat meminta OpenSearch Ingestion secara otomatis membuat peran pipeline di. Konsol Manajemen AWS Jika Anda menggunakan AWS CLI, API OpenSearch Ingestion, atau salah satunya SDKs, Anda harus menentukan peran pipeline yang dibuat secara manual.
Agar OpenSearch Ingestion membuat peran untuk Anda, pilih **Buat dan gunakan peran layanan baru**.
**penting**
Anda masih perlu memodifikasi kebijakan akses domain atau koleksi secara manual untuk memberikan akses ke peran pipeline. Untuk domain yang menggunakan kontrol akses berbutir halus, Anda juga harus memetakan peran pipeline ke peran backend. Anda dapat melakukan langkah-langkah ini sebelum atau setelah Anda membuat pipeline.
Untuk petunjuk, lihat topik berikut:
[Konfigurasikan akses data untuk domain](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/pipeline-domain-access.html#pipeline-access-domain)
[Konfigurasikan data dan akses jaringan untuk koleksi](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/pipeline-domain-access.html#pipeline-collection-acces)
### Membuat peran pipeline secara manual
Anda mungkin lebih suka membuat peran pipeline secara manual jika Anda memerlukan kontrol lebih besar atas izin untuk memenuhi persyaratan keamanan atau kepatuhan tertentu. Pembuatan manual memungkinkan Anda menyesuaikan peran agar sesuai dengan infrastruktur atau strategi manajemen akses yang ada. Anda juga dapat memilih pengaturan manual untuk mengintegrasikan peran dengan yang lain Layanan AWS atau memastikannya selaras dengan kebutuhan operasional unik Anda.
Untuk memilih peran pipeline yang dibuat secara manual, pilih **Gunakan peran IAM yang ada dan pilih peran** yang ada. Peran harus memiliki semua izin yang diperlukan untuk menerima data dari sumber yang dipilih dan menulis ke wastafel yang dipilih. Bagian berikut menguraikan cara membuat peran pipeline secara manual.
**Topics**
+ [Izin untuk membaca dari sumber](#pipeline-security--source)
+ [Izin untuk menulis ke wastafel domain](#pipeline-security-domain-sink)
+ [Izin untuk menulis ke wastafel koleksi](#pipeline-security--collection-sink)
+ [Izin untuk menulis ke Amazon S3 atau antrian surat mati](#pipeline-security-dlq)
#### Izin untuk membaca dari sumber
Pipeline OpenSearch Ingestion memerlukan izin untuk membaca dan menerima data dari sumber yang ditentukan. Misalnya, untuk sumber Amazon DynamoDB, diperlukan izin seperti dan. `dynamodb:DescribeTable` `dynamodb:DescribeStream` Untuk contoh kebijakan akses peran pipeline untuk sumber umum, seperti Amazon S3, Fluent Bit, dan OpenTelemetry Collector, lihat. [Mengintegrasikan saluran Amazon OpenSearch Ingestion dengan layanan dan aplikasi lain](configure-client.md)
#### Izin untuk menulis ke wastafel domain
Pipeline OpenSearch Ingestion memerlukan izin untuk menulis ke domain OpenSearch Layanan yang dikonfigurasi sebagai wastafelnya. Izin ini mencakup kemampuan untuk mendeskripsikan domain dan mengirim permintaan HTTP ke sana. Izin ini sama untuk domain publik dan VPC. Untuk petunjuk membuat peran pipeline dan menentukannya dalam kebijakan akses domain, lihat [Mengizinkan pipeline mengakses domain](pipeline-domain-access.md).
#### Izin untuk menulis ke wastafel koleksi
Pipeline OpenSearch Ingestion memerlukan izin untuk menulis ke koleksi OpenSearch Tanpa Server yang dikonfigurasi sebagai wastafelnya. Izin ini mencakup kemampuan untuk mendeskripsikan koleksi dan mengirim permintaan HTTP ke dalamnya.
Pertama, pastikan kebijakan akses peran pipeline Anda memberikan izin yang diperlukan. Kemudian, sertakan peran ini dalam kebijakan akses data dan berikan izin untuk membuat indeks, memperbarui indeks, mendeskripsikan indeks, dan menulis dokumen dalam koleksi. Untuk petunjuk untuk menyelesaikan setiap langkah ini, lihat [Mengizinkan saluran pipa mengakses koleksi](pipeline-collection-access.md).
#### Izin untuk menulis ke Amazon S3 atau antrian surat mati
Jika Anda menentukan Amazon S3 sebagai tujuan sink untuk pipeline Anda, atau jika Anda mengaktifkan [antrian huruf mati](https://opensearch.org/docs/latest/data-prepper/pipelines/dlq/) (DLQ), peran pipeline harus memungkinkannya mengakses bucket S3 yang Anda tentukan sebagai tujuan.
Lampirkan kebijakan izin terpisah ke peran pipeline yang menyediakan akses DLQ. Minimal, peran harus diberikan `S3:PutObject` tindakan pada sumber daya bucket:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "WriteToS3DLQ",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::my-dlq-bucket/*"
}
]
}
```
------
## Peran konsumsi
Peran konsumsi adalah peran IAM yang memungkinkan layanan eksternal berinteraksi dengan aman dan mengirim data ke pipa Ingestion. OpenSearch Untuk sumber berbasis push, seperti Amazon Security Lake, peran ini harus memberikan izin untuk mendorong data ke dalam pipeline, termasuk. `osis:Ingest` Untuk sumber berbasis tarik, seperti Amazon S3, peran harus OpenSearch mengaktifkan Ingestion untuk mengasumsikan dan mengakses data dengan izin yang diperlukan.
**Topics**
+ [Peran konsumsi untuk sumber berbasis push](#ingestion-role-push-based)
+ [Peran konsumsi untuk sumber berbasis tarik](#ingestion-role-pull-based)
+ [Konsumsi lintas akun](#pipeline-security-different-account)
### Peran konsumsi untuk sumber berbasis push
Untuk sumber berbasis push, data dikirim atau didorong ke pipeline konsumsi dari layanan lain, seperti Amazon Security Lake atau Amazon DynamoDB. Dalam skenario ini, peran konsumsi membutuhkan, setidaknya, `osis:Ingest` izin untuk berinteraksi dengan pipa.
Kebijakan akses IAM berikut menunjukkan cara memberikan izin ini ke peran konsumsi:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"osis:Ingest"
],
"Resource": "arn:aws:osis:us-east-1:111122223333:pipeline/pipeline-name/*"
}
]
}
```
------
### Peran konsumsi untuk sumber berbasis tarik
Untuk sumber berbasis tarik, pipeline OpenSearch Ingestion secara aktif menarik atau mengambil data dari sumber eksternal, seperti Amazon S3. Dalam hal ini, pipeline harus mengambil peran pipa IAM yang memberikan izin yang diperlukan untuk mengakses sumber data. *Dalam skenario ini, *peran konsumsi identik dengan peran* pipeline.*
Peran harus mencakup hubungan kepercayaan yang memungkinkan OpenSearch Ingestion untuk mengasumsikan itu, dan izin khusus untuk sumber data. Untuk informasi selengkapnya, lihat [Izin untuk membaca dari sumber](#pipeline-security--source).
### Konsumsi lintas akun
Anda mungkin perlu memasukkan data ke dalam pipeline dari yang berbeda Akun AWS, seperti akun aplikasi. Untuk mengonfigurasi konsumsi lintas akun, tentukan peran konsumsi dalam akun yang sama dengan pipeline dan buat hubungan kepercayaan antara peran konsumsi dan akun aplikasi:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::444455556666:root"
},
"Action": "sts:AssumeRole"
}]
}
```
------
Kemudian, konfigurasikan aplikasi Anda untuk mengambil peran konsumsi. Akun aplikasi harus memberikan [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)izin peran aplikasi untuk peran konsumsi di akun pipeline.
Untuk langkah-langkah rinci dan contoh kebijakan IAM, lihat[Menyediakan akses konsumsi lintas akun](configure-client.md#configure-client-cross-account).
# Memberikan akses saluran pipa Amazon OpenSearch Ingestion ke domain
Pipeline Amazon OpenSearch Ingestion memerlukan izin untuk menulis ke domain OpenSearch Layanan yang dikonfigurasi sebagai wastafelnya. Untuk menyediakan akses, Anda mengonfigurasi peran AWS Identity and Access Management (IAM) dengan kebijakan izin terbatas yang membatasi akses ke domain tempat pipeline mengirim data. Misalnya, Anda mungkin ingin membatasi pipeline konsumsi hanya pada domain dan indeks yang diperlukan untuk mendukung kasus penggunaannya.
**penting**
Anda dapat memilih untuk membuat peran pipeline secara manual, atau Anda dapat meminta OpenSearch Ingestion membuatnya untuk Anda selama pembuatan pipeline. Jika Anda memilih pembuatan peran otomatis, OpenSearch Ingestion menambahkan semua izin yang diperlukan ke kebijakan akses peran pipeline berdasarkan sumber dan sink yang Anda pilih. Ini menciptakan peran pipeline di IAM dengan awalan `OpenSearchIngestion-` dan akhiran yang Anda masukkan. Untuk informasi selengkapnya, lihat [Peran pipa](pipeline-security-overview.md#pipeline-security-sink).
Jika OpenSearch Ingestion membuat peran pipeline untuk Anda, Anda masih perlu menyertakan peran tersebut dalam kebijakan akses domain dan memetakannya ke peran backend (jika domain menggunakan kontrol akses berbutir halus), baik sebelum atau setelah Anda membuat pipeline. Lihat langkah 2 untuk instruksi.
**Topics**
+ [Langkah 1: Buat peran pipeline](#pipeline-access-configure)
+ [Langkah 2: Konfigurasikan akses data untuk domain](#pipeline-access-domain)
## Langkah 1: Buat peran pipeline
Peran pipeline harus memiliki kebijakan izin terlampir yang memungkinkannya mengirim data ke sink domain. Itu juga harus memiliki hubungan kepercayaan yang memungkinkan OpenSearch Ingestion untuk mengambil peran. Untuk petunjuk tentang cara melampirkan kebijakan ke peran, lihat [Menambahkan izin identitas IAM di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console) Pengguna *IAM*.
Kebijakan contoh berikut menunjukkan [hak istimewa paling sedikit](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) yang dapat Anda berikan dalam peran pipeline agar dapat menulis ke satu domain:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "es:DescribeDomain",
"Resource": "arn:aws:es:*:111122223333:domain/*"
},
{
"Effect": "Allow",
"Action": "es:ESHttp*",
"Resource": "arn:aws:es:*:111122223333:domain/domain-name/*"
}
]
}
```
------
Jika Anda berencana untuk menggunakan kembali peran untuk menulis ke beberapa domain, Anda dapat membuat kebijakan lebih luas dengan mengganti nama domain dengan karakter wildcard (). `*`
Peran tersebut harus memiliki [hubungan kepercayaan](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy) berikut, yang memungkinkan OpenSearch Ingestion untuk mengambil peran pipeline:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"osis-pipelines.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
## Langkah 2: Konfigurasikan akses data untuk domain
Agar pipeline dapat menulis data ke domain, domain harus memiliki [kebijakan akses tingkat domain yang](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource) memungkinkan peran pipeline untuk mengaksesnya.
Contoh kebijakan akses domain berikut memungkinkan peran pipeline bernama `pipeline-role` untuk menulis data ke domain bernama`ingestion-domain`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/pipeline-role"
},
"Action": [
"es:DescribeDomain",
"es:ESHttp*"
],
"Resource": "arn:aws:es:us-east-1:111122223333:domain/domain-name/*"
}
]
}
```
------
### Petakan peran pipeline (hanya untuk domain yang menggunakan kontrol akses berbutir halus)
Jika domain Anda menggunakan [kontrol akses berbutir halus](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac.html) untuk autentikasi, ada langkah-langkah tambahan yang perlu Anda ambil untuk menyediakan akses pipeline Anda ke domain. Langkah-langkahnya berbeda tergantung pada konfigurasi domain Anda:
+ **Skenario 1: Peran master dan peran pipeline yang berbeda** — Jika Anda menggunakan Nama Sumber Daya Amazon (ARN) IAM sebagai pengguna master dan *itu* berbeda dengan peran pipeline, Anda perlu memetakan peran pipeline ke OpenSearch `all_access` peran backend. Ini menambahkan peran pipeline sebagai pengguna master tambahan. Untuk informasi selengkapnya, lihat [Pengguna master tambahan](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac.html#fgac-more-masters).
+ **Skenario 2: Menguasai pengguna dalam database pengguna internal** — Jika domain Anda menggunakan pengguna master di database pengguna internal dan otentikasi dasar HTTP untuk OpenSearch Dasbor, Anda tidak dapat meneruskan nama pengguna dan kata sandi utama langsung ke konfigurasi pipeline. Sebagai gantinya, petakan peran pipeline ke peran OpenSearch `all_access` backend. Ini menambahkan peran pipeline sebagai pengguna master tambahan. Untuk informasi selengkapnya, lihat [Pengguna master tambahan](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac.html#fgac-more-masters).
+ **Skenario 3: Peran master dan peran pipeline yang sama (tidak umum)** - Jika Anda menggunakan ARN IAM sebagai pengguna master, dan itu adalah ARN yang sama yang Anda gunakan sebagai peran pipeline, Anda tidak perlu mengambil tindakan lebih lanjut. Pipeline memiliki izin yang diperlukan untuk menulis ke domain. Skenario ini jarang terjadi karena sebagian besar lingkungan menggunakan peran administrator atau peran lain sebagai peran utama.
Gambar berikut menunjukkan cara memetakan peran pipeline ke peran backend:
![\[Backend roles section showing an AWSIAM role ARN for a pipeline role with a Remove option.\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/images/ingestion-fgac.png)
# Memberikan akses saluran pipa Amazon OpenSearch Ingestion ke koleksi
Pipeline Amazon OpenSearch Ingestion dapat menulis ke koleksi publik OpenSearch Tanpa Server atau koleksi VPC. Untuk menyediakan akses ke koleksi, Anda mengonfigurasi peran pipeline AWS Identity and Access Management (IAM) dengan kebijakan izin yang memberikan akses ke koleksi. Pipeline mengasumsikan peran ini untuk menandatangani permintaan ke sink koleksi OpenSearch Tanpa Server.
**penting**
Anda dapat memilih untuk membuat peran pipeline secara manual, atau Anda dapat meminta OpenSearch Ingestion membuatnya untuk Anda selama pembuatan pipeline. Jika Anda memilih pembuatan peran otomatis, OpenSearch Ingestion menambahkan semua izin yang diperlukan ke kebijakan akses peran pipeline berdasarkan sumber dan sink yang Anda pilih. Ini menciptakan peran pipeline di IAM dengan awalan `OpenSearchIngestion-` dan akhiran yang Anda masukkan. Untuk informasi selengkapnya, lihat [Peran pipa](pipeline-security-overview.md#pipeline-security-sink).
Jika Anda meminta OpenSearch Ingestion membuat peran pipeline untuk Anda, Anda masih perlu menyertakan peran tersebut dalam kebijakan akses data koleksi, baik sebelum atau setelah Anda membuat pipeline. Lihat langkah 2 untuk instruksi.
Selama pembuatan pipeline, OpenSearch Ingestion menciptakan AWS PrivateLink koneksi antara pipeline dan koleksi Tanpa OpenSearch Server. Semua lalu lintas dari pipeline melewati titik akhir VPC ini dan diarahkan ke koleksi. Untuk mencapai koleksi, titik akhir harus diberikan akses ke koleksi melalui kebijakan akses jaringan.
![\[OpenSearch Ingestion pipeline connecting to OpenSearch Serverless collection via PrivateLink VPC endpoint.\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/images/osis-aoss-permissions.png)
**Topics**
+ [Langkah 1: Buat peran pipeline](#pipeline-collection-access-configure)
+ [Langkah 2: Konfigurasikan data dan akses jaringan untuk koleksi](#pipeline-access-collection)
## Langkah 1: Buat peran pipeline
Peran pipeline harus memiliki kebijakan izin terlampir yang memungkinkannya mengirim data ke wastafel pengumpulan. Itu juga harus memiliki hubungan kepercayaan yang memungkinkan OpenSearch Ingestion untuk mengambil peran. Untuk petunjuk tentang cara melampirkan kebijakan ke peran, lihat [Menambahkan izin identitas IAM di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console) Pengguna *IAM*.
Kebijakan contoh berikut menunjukkan [hak istimewa paling sedikit](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) yang dapat Anda berikan dalam kebijakan akses peran pipeline agar dapat ditulis ke koleksi:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"aoss:APIAccessAll",
"aoss:BatchGetCollection",
"aoss:CreateSecurityPolicy",
"aoss:GetSecurityPolicy",
"aoss:UpdateSecurityPolicy"
],
"Resource": "*"
}
]
}
```
------
Peran tersebut harus memiliki [hubungan kepercayaan](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy) berikut, yang memungkinkan OpenSearch Ingestion untuk menganggapnya:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "osis-pipelines.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## Langkah 2: Konfigurasikan data dan akses jaringan untuk koleksi
Buat koleksi OpenSearch Tanpa Server dengan pengaturan berikut. Untuk instruksi untuk membuat koleksi, lihat[Membuat koleksi](serverless-create.md).
### Kebijakan akses data
Buat [kebijakan akses data](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html) untuk koleksi yang memberikan izin yang diperlukan ke peran pipeline. Contoh:
```
[
{
"Rules": [
{
"Resource": [
"index/collection-name/*"
],
"Permission": [
"aoss:CreateIndex",
"aoss:UpdateIndex",
"aoss:DescribeIndex",
"aoss:WriteDocument"
],
"ResourceType": "index"
}
],
"Principal": [
"arn:aws:iam::account-id:role/pipeline-role"
],
"Description": "Pipeline role access"
}
]
```
**catatan**
Dalam `Principal` elemen, tentukan Nama Sumber Daya Amazon (ARN) dari peran pipeline.
### Kebijakan akses jaringan
Setiap koleksi yang Anda buat di OpenSearch Tanpa Server memiliki setidaknya satu kebijakan akses jaringan yang terkait dengannya. Kebijakan akses jaringan menentukan apakah koleksi dapat diakses melalui internet dari jaringan publik, atau apakah harus diakses secara pribadi. Untuk informasi selengkapnya tentang kebijakan jaringan, lihat[Akses jaringan untuk Amazon Tanpa OpenSearch Server](serverless-network.md).
Dalam kebijakan akses jaringan, Anda hanya dapat menentukan titik akhir VPC yang OpenSearch dikelola Tanpa Server. Untuk informasi selengkapnya, lihat [Akses pesawat data melalui AWS PrivateLink](serverless-vpc.md). Namun, agar pipeline dapat menulis ke koleksi, kebijakan juga harus memberikan akses ke titik akhir VPC yang secara otomatis dibuat oleh OpenSearch Ingestion antara pipeline dan koleksi. Oleh karena itu, jika Anda memilih koleksi OpenSearch Tanpa Server sebagai sink tujuan untuk pipeline, Anda harus memasukkan nama kebijakan jaringan terkait di bidang **Nama kebijakan jaringan**.
Selama pembuatan pipa, OpenSearch Ingestion memeriksa keberadaan kebijakan jaringan yang ditentukan. Jika tidak ada, OpenSearch Ingestion menciptakannya. Jika memang ada, OpenSearch Ingestion memperbaruinya dengan menambahkan aturan baru ke dalamnya. Aturan memberikan akses ke titik akhir VPC yang menghubungkan pipeline dan koleksi.
Contoh:
```
{
"Rules":[
{
"Resource":[
"collection/my-collection"
],
"ResourceType":"collection"
}
],
"SourceVPCEs":[
"vpce-0c510712627e27269" # The ID of the VPC endpoint that OpenSearch Ingestion creates between the pipeline and collection
],
"Description":"Created by Data Prepper"
}
```
Di konsol, aturan apa pun yang ditambahkan oleh OpenSearch Ingestion ke kebijakan jaringan Anda diberi nama **Dibuat oleh Penyedia Data**:
![\[Configuration details for OpenSearch endpoint access, including VPC endpoint and resources.\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/images/osis-aoss-network.png)
**catatan**
Secara umum, aturan yang menentukan akses publik untuk koleksi mengesampingkan aturan yang menentukan akses pribadi. Oleh karena itu, jika kebijakan sudah memiliki akses *publik* yang dikonfigurasi, aturan baru yang ditambahkan OpenSearch Ingestion ini sebenarnya tidak mengubah perilaku kebijakan. Untuk informasi selengkapnya, lihat [Prioritas kebijakan](serverless-network.md#serverless-network-precedence).
Jika Anda menghentikan atau menghapus pipeline, OpenSearch Ingestion menghapus titik akhir VPC antara pipeline dan koleksi. Ini juga memodifikasi kebijakan jaringan untuk menghapus titik akhir VPC dari daftar titik akhir yang diizinkan. Jika Anda memulai ulang pipeline, itu membuat ulang titik akhir VPC dan memperbarui ulang kebijakan jaringan dengan ID titik akhir.