本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 授予 Amazon OpenSearch Ingestion 管道對集合的存取權
Amazon OpenSearch Ingestion 管道可以寫入 OpenSearch Serverless 公有集合或 VPC 集合。若要提供集合的存取權,您可以使用授予集合存取權的許可政策來設定 AWS Identity and Access Management (IAM) 管道角色。管道會擔任此角色,以簽署 OpenSearch Serverless 集合目的地的請求。
**重要**
您可以選擇手動建立管道角色,也可以讓 OpenSearch Ingestion 在管道建立期間為您建立。如果您選擇自動建立角色,OpenSearch Ingestion 會根據您選擇的來源和目的地,將所有必要的許可新增至管道角色存取政策。它會在 IAM 中以您輸入的字首`OpenSearchIngestion-`和尾碼建立管道角色。如需詳細資訊,請參閱[管道角色](pipeline-security-overview.md#pipeline-security-sink)。
如果您讓 OpenSearch Ingestion 為您建立管道角色,則在建立管道之前或之後,您仍需要在集合的資料存取政策中包含該角色。如需說明,請參閱步驟 2。
在管道建立期間,OpenSearch Ingestion 會在管道與 OpenSearch Serverless 集合之間建立 AWS PrivateLink 連線。來自管道的所有流量都會經過此 VPC 端點,並路由至集合。若要存取集合,必須透過網路存取政策授予端點對集合的存取權。
![\[OpenSearch Ingestion pipeline connecting to OpenSearch Serverless collection via PrivateLink VPC endpoint.\]](http://docs.aws.amazon.com/zh_tw/opensearch-service/latest/developerguide/images/osis-aoss-permissions.png)
**Topics**
+ [步驟 1:建立管道角色](#pipeline-collection-access-configure)
+ [步驟 2:設定集合的資料和網路存取](#pipeline-access-collection)
## 步驟 1:建立管道角色
管道角色必須具有連接的許可政策,允許其將資料傳送至集合目的地。它還必須具有信任關係,允許 OpenSearch Ingestion 擔任該角色。如需如何將政策連接至角色的指示,請參閱《[IAM 使用者指南》中的新增 IAM 身分許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)。 **
下列範例政策示範您可以在管道角色存取政策中提供的[最小權限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege),供它寫入集合:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"aoss:APIAccessAll",
"aoss:BatchGetCollection",
"aoss:CreateSecurityPolicy",
"aoss:GetSecurityPolicy",
"aoss:UpdateSecurityPolicy"
],
"Resource": "*"
}
]
}
```
------
角色必須具有下列[信任關係](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy),允許 OpenSearch Ingestion 擔任該角色:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "osis-pipelines.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## 步驟 2:設定集合的資料和網路存取
使用下列設定建立 OpenSearch Serverless 集合。如需建立集合的指示,請參閱 [建立集合](serverless-create.md)。
### 資料存取政策
為 集合建立[資料存取政策](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html),以授予管道角色所需的許可。例如:
```
[
{
"Rules": [
{
"Resource": [
"index/collection-name/*"
],
"Permission": [
"aoss:CreateIndex",
"aoss:UpdateIndex",
"aoss:DescribeIndex",
"aoss:WriteDocument"
],
"ResourceType": "index"
}
],
"Principal": [
"arn:aws:iam::account-id:role/pipeline-role"
],
"Description": "Pipeline role access"
}
]
```
**注意**
在 `Principal`元素中,指定管道角色的 Amazon Resource Name (ARN)。
### 網路存取政策
您在 OpenSearch Serverless 中建立的每個集合至少有一個與其相關聯的網路存取政策。網路存取政策會判斷是否可透過網際網路從公有網路存取集合,或是否必須私下存取集合。如需網路政策的詳細資訊,請參閱 [Amazon OpenSearch Serverless 的網路存取](serverless-network.md)。
在網路存取政策中,您只能指定 OpenSearch Serverless 受管 VPC 端點。如需詳細資訊,請參閱[透過 的資料平面存取 AWS PrivateLink](serverless-vpc.md)。不過,為了讓管道寫入集合,政策也必須授予對 OpenSearch Ingestion 在管道與集合之間自動建立的 VPC 端點的存取權。因此,如果您選擇 OpenSearch Serverless 集合做為管道的目的地目的地目的地,則必須在網路政策名稱欄位中輸入相關聯的**網路政策名稱**。
在管道建立期間,OpenSearch Ingestion 會檢查指定網路政策是否存在。如果不存在,OpenSearch Ingestion 會建立它。如果它確實存在,OpenSearch Ingestion 會透過新增規則來更新它。此規則會授予連線管道和集合的 VPC 端點存取權。
例如:
```
{
"Rules":[
{
"Resource":[
"collection/my-collection"
],
"ResourceType":"collection"
}
],
"SourceVPCEs":[
"vpce-0c510712627e27269" # The ID of the VPC endpoint that OpenSearch Ingestion creates between the pipeline and collection
],
"Description":"Created by Data Prepper"
}
```
在 主控台中,OpenSearch Ingestion 新增至網路政策的任何規則都名為 **Created by Data Prepper**:
![\[Configuration details for OpenSearch endpoint access, including VPC endpoint and resources.\]](http://docs.aws.amazon.com/zh_tw/opensearch-service/latest/developerguide/images/osis-aoss-network.png)
**注意**
一般而言,指定集合公有存取權的規則會覆寫指定私有存取權的規則。因此,如果政策已設定*公開*存取,則 OpenSearch Ingestion 新增的這個新規則實際上不會變更政策的行為。如需詳細資訊,請參閱[政策優先順序](serverless-network.md#serverless-network-precedence)。
如果您停止或刪除管道,OpenSearch Ingestion 會刪除管道與集合之間的 VPC 端點。它也會修改網路政策,從允許的端點清單中移除 VPC 端點。如果您重新啟動管道,它會重新建立 VPC 端點,並使用端點 ID 重新更新網路政策。