本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon OpenSearch 擷取和介面端點 API (AWS PrivateLink)
您可以建立介面 VPC 端點,在 VPC 和 OpenSearch Ingestion API *端點*之間建立私有連線。界面端點是採用 [AWS PrivateLink](https://aws.amazon.com/privatelink) 技術。
AWS PrivateLink 可讓您在沒有網際網路閘道、NAT 裝置、VPN 連接或 Direct Connect 連線的情況下,私下存取 OpenSearch Ingestion API 操作。VPC 中的資源不需要公有 IP 地址即可與 OpenSearch Ingestion API 端點通訊,即可建立、修改或刪除管道。VPC 與 OpenSearch Ingestion 之間的流量不會離開 Amazon 網路。
**注意**
本主題涵蓋用於存取 OpenSearch Ingestion *API* 的 VPC 端點,可讓您從 VPC 內管理管道 (建立、更新、刪除)。這與*為管道本身*設定 VPC 存取不同,這會控制資料如何從 VPC 內的來源擷取到管道。如需設定管道 VPC 存取的詳細資訊,請參閱 [設定 Amazon OpenSearch Ingestion 管道的 VPC 存取](pipeline-security.md)。
每個界面端點都是由您子網路中的一或多個彈性網路界面表示。如需彈性網路界面的詳細資訊,請參閱 *Amazon EC2 使用者指南*中的[彈性網路界面](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)。
如需 VPC 端點的詳細資訊,請參閱《*Amazon* [VPC 使用者指南》中的界面 VPC 端點 (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)。如需 OpenSearch Ingestion API 操作的詳細資訊,請參閱 [OpenSearch Ingestion API 參考](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_Operations_Amazon_OpenSearch_Ingestion.html)。
## VPC 端點的考量事項
為 OpenSearch Ingestion API 端點設定介面 VPC 端點之前,請務必檢閱《*Amazon VPC 使用者指南*》中的[介面端點屬性和限制](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations)。
所有與管理 OpenSearch Ingestion 資源相關的 OpenSearch Ingestion API 操作都可以從您的 VPC 使用 AWS PrivateLink。
OpenSearch Ingestion API 端點支援 VPC 端點政策。根據預設,允許透過端點完整存取 OpenSearch Ingestion API 操作。如需詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[使用 VPC 端點控制對服務的存取](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。
## 可用性
OpenSearch Ingestion API 目前在所有 OpenSearch Ingestion 區域中支援 VPC 端點。
目前不支援 FIPS 端點。
## 為 OpenSearch Ingestion API 建立介面 VPC 端點
您可以使用 Amazon VPC 主控台或 AWS Command Line Interface () 為 OpenSearch Ingestion API 建立 VPC 端點AWS CLI。如需詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[建立介面端點](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)。
使用服務名稱 為 OpenSearch Ingestion API 建立 VPC 端點`com.amazonaws.region.osis`。
如果您為端點啟用私有 DNS,則可以使用 AWS 區域的預設 DNS 名稱向 OpenSearch Ingestion 提出 API 請求,例如 `osis.us-east-1.amazonaws.com`。
如需詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[透過介面端點存取服務](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint)。
## 為 OpenSearch Ingestion API 建立 VPC 端點政策
您可以將端點政策連接至 VPC 端點,以控制對 OpenSearch Ingestion API 的存取。此政策會指定下列資訊:
+ 可執行動作的主體。
+ 可執行的動作。
+ 可供執行動作的資源。
如需詳細資訊,請參閱 *Amazon VPC 使用者指南*中的[使用 VPC 端點控制對服務的存取](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。
**範例:OpenSearch Ingestion API 動作的 VPC 端點政策**
以下是 OpenSearch Ingestion API 的端點政策範例。連接到端點時,此政策會授予所有資源上所有主體對所列 OpenSearch Ingestion API 動作的存取權。
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"osis:CreatePipeline",
"osis:UpdatePipeline",
"osis:DeletePipeline"
],
"Resource":"*"
}
]
}
```
**範例:拒絕來自指定 AWS 帳戶的所有存取的 VPC 端點政策**
下列 VPC 端點政策拒絕 AWS 使用端點對 資源`123456789012`的所有存取。此政策允許來自其他帳戶的所有動作。
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
},
{
"Action": "*",
"Effect": "Deny",
"Resource": "*",
"Principal": { "AWS": [ "123456789012" ] }
}
]
}
```