本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Amazon OpenSearch Ingestion 和接口终端节点 API ()AWS PrivateLink
您可以通过创建接口 VPC 终端节点在您的 VPC 和 OpenSearch Ingestion API 终端节点之间建立*私有*连接。接口端点由 [AWS PrivateLink](https://aws.amazon.com/privatelink) 提供支持。
AWS PrivateLink 使您无需互联网网关、NAT 设备、VPN 连接或 Direct Connect 连接即可私密访问 In OpenSearch gestion API 操作。您的 VPC 中的资源不需要公有 IP 地址即可与 OpenSearch Ingestion API 终端节点通信以创建、修改或删除管道。您的 VPC 和 OpenSearch Ingestion 之间的流量不会离开亚马逊网络。
**注意**
本主题介绍用于访问 OpenSearch Ingestion *API* 的 VPC 终端节点,它允许您从 VPC 内部管理管道(创建、更新、删除)。这与*为管道本身*配置 VPC 访问权限不同,后者控制如何将数据从 VPC 内的来源提取到管道中。有关为管道配置 VPC 访问权限的信息,请参阅[为 Amazon OpenSearch Ingestion 管道配置 VPC 访问权限](pipeline-security.md)。
每个接口终端节点均由子网中的一个或多个弹性网络接口表示。有关弹性网络接口的更多信息,请参阅*《Amazon EC2 用户指南》*中的[弹性网络接口](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)。
有关 VPC 端点的更多信息,请参阅《Amazon VPC 用户指南》**中的[接口 VPC 端点 (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)。有关 OpenSearch 摄取 API 操作的更多信息,请参阅 Ing [OpenSearch estion API 参考](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_Operations_Amazon_OpenSearch_Ingestion.html)。
## VPC 终端节点注意事项
在为接 OpenSearch 入 API 终端节点设置接口 VPC 终端节点之前,请务必查看 Amazon *VPC 用户*指南中的[接口终端节点属性和限制](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations)。
所有与管理 OpenSearch 摄取资源相关的 In OpenSearch gestion API 操作均可通过您的 VPC 使用。 AWS PrivateLink
接 OpenSearch 入 API 终端节点支持 VPC 终端节点策略。默认情况下,允许通过终端节点对 OpenSearch Ingestion API 操作进行完全访问。有关更多信息,请参阅《Amazon VPC User Guide》**中的 [Controlling access to services with VPC endpoints](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。
## 可用性
OpenSearch Ingestion API 目前支持所有 OpenSearch 接收区域的 VPC 终端节点。
目前,不支持 FIPS 端点。
## 为 OpenSearch Ingestion API 创建接口 VPC 终端节点
您可以使用 Amazon VPC 控制台或 AWS Command Line Interface ()AWS CLI为 OpenSearch Ingestion API 创建 VPC 终端节点。有关更多信息,请参阅《Amazon VPC User Guide》**中的 [Creating an interface endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)。
使用服务名称为 OpenSearch Ingestion API 创建 VPC 终端节点。`com.amazonaws.region.osis`
例如,如果您为终端节点启用私有 DNS,则可以使用该 AWS 区域的默认 DNS 名称使用 VPC 终端节点向 OpenSearch Ingestion 发出 API 请求。`osis.us-east-1.amazonaws.com`
有关更多信息,请参阅《Amazon VPC 用户指南》**中的[通过接口端点访问服务](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint)。
## 为接 OpenSearch 入 API 创建 VPC 终端节点策略
您可以将终端节点策略附加到控制接入 API 访问权限的 VPC 终端节点 OpenSearch 。该策略指定以下信息:
+ 可执行操作的主体。
+ 可执行的操作。
+ 可对其执行操作的资源。
有关更多信息,请参阅《Amazon VPC 用户指南》**中的[使用 VPC 端点控制对服务的访问](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。
**示例:接 OpenSearch 入 API 操作的 VPC 终端节点策略**
以下是 OpenSearch Ingestion API 的终端节点策略示例。当连接到终端节点时,此策略向所有委托人授予所有资源上列出的 OpenSearch 摄取 API 操作的访问权限。
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"osis:CreatePipeline",
"osis:UpdatePipeline",
"osis:DeletePipeline"
],
"Resource":"*"
}
]
}
```
**示例:拒绝来自指定 AWS 账户的所有访问的 VPC 终端节点策略**
以下 VPC 终端节点策略拒绝 AWS 账户使用该终端节点访问`123456789012`所有资源。此策略允许来自其他账户的所有操作。
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
},
{
"Action": "*",
"Effect": "Deny",
"Resource": "*",
"Principal": { "AWS": [ "123456789012" ] }
}
]
}
```