¿Cómo puedo transmitir datos de los registros de CloudWatch a un clúster de Amazon OpenSearch Service basado en VPC en una cuenta diferente?

4 minutos de lectura
0

Estoy intentando transmitir datos de los registros de Amazon CloudWatch a un clúster de Amazon OpenSearch Service mediante una nube privada virtual (VPC) en otra cuenta. Sin embargo, recibo el mensaje de error «Introduzca un terminal de Amazon OpenSearch Service válido».

Descripción breve

Para transmitir datos de registro de CloudWatch a un clúster de OpenSearch Service en otra cuenta, lleve a cabo los siguientes pasos:

1.    Configure los registros de CloudWatch en la cuenta A.

2.    Configure AWS Lambda en la cuenta A.

3.    Configure el intercambio de pares entre cuentas de Amazon Virtual Private Cloud (Amazon VPC).

Resolución

Configurar los registros de CloudWatch en la cuenta A

1.    Abra la consola de registros de CloudWatch en la cuenta A y seleccione su grupo de registros.

2.    Elija Acciones.

3.    Elija el filtro Crear suscripción de OpenSearch.

4.    Para la opción Seleccionar cuenta, seleccione Esta cuenta.

5.    Para la lista desplegable de clústeres de OpenSearch Service, elija un clúster existente para la cuenta A.

6.    Elija el Lambda IAM Execution Role (Rol de ejecución de IAM de Lambda) que tenga permisos para hacer llamadas al clúster de OpenSearch Service seleccionado.

7.    Adjunte la política AWSLAmbdaVPCAccessExecutionRole a su rol.

8.    En Configurar el formato de registro y los filtros, seleccione su Formato de registro y el Patrón de filtro de suscripción.

9.    Seleccione Siguiente.

10.    Introduzca el nombre del Filtro de suscripción y seleccione Iniciar transmisión. Para obtener más información sobre la transmisión, consulte los datos de registro de Streaming CloudWatch en Amazon OpenSearch Service.

Configurar Lambda en la cuenta A

1.    En la cuenta A, abra la consola de Lambda.

2.    Seleccione la función de Lambda que creó para transmitir el registro.

3.    En el código de la función, actualice la variable de punto final del clúster de OpenSearch Service en la cuenta B. Esta actualización permite que la función Lambda envíe datos al dominio de OpenSearch Service en la cuenta B.

4.    Elija Configuración.

5.    Elija VPC.

6.    En VPC, seleccione Editar.

7.    Seleccione su VPC, subredes y grupos de seguridad.

Nota: Esta selección garantiza que la función Lambda se ejecute dentro de una VPC y utiliza el enrutamiento de la VPC para enviar datos al dominio de OpenSearch Service. Para obtener más información sobre las configuraciones de Amazon Virtual Private Cloud (Amazon VPC), consulte Configurar una función Lambda para acceder a los recursos de una VPC.

8.    Seleccione Guardar.

Configurar el intercambio de VPC entre cuentas

1.    Abra la consola de Amazon VPC en las cuentas A y B.

Nota: Asegúrese de que su VPC no tenga bloques de CIDR superpuestos.

2.    Cree una sesión de interconexión de VPC entre las dos VPC personalizadas (Lambda y OpenSearch Service). Esta sesión de interconexión de VPC permite a Lambda enviar datos a su dominio de OpenSearch Service. Para obtener más información sobre las conexiones de interconexión de VPC, consulte Crear una conexión de intercambio de VPC.

3.    Actualice la tabla de rutas para ambas VPC. Para obtener más información sobre las tablas de enrutamiento, consulte Actualizar las tablas de enrutamiento para una conexión entre pares de VPC.

4.    En la cuenta A, vaya a Grupos de seguridad.

5.    Seleccione el grupo de seguridad asignado a la subred donde está configurada Lambda.

Nota: En este caso, «grupo de seguridad» hace referencia a una ACL de red de subred.

6.    Agregue la regla de entrada para permitir el tráfico desde las subredes de OpenSearch Service.

7.    En la cuenta B, seleccione el grupo de seguridad asignado a la subred donde está configurado OpenSearch Service.

8.    Agregue la regla de entrada para permitir el tráfico desde las subredes de Lambda.

9.    En la cuenta B, abra la consola de OpenSearch Service.

10.    Elija Acciones.

11.    Elija modificar la política de acceso y, a continuación, añada la siguiente política:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {

    "AWS": "arn:aws:iam::<AWS Account A>:role/<Lambda Execution Role>"
      },
      "Action": "es:*",
      "Resource": "arn:aws:es:us-east-1: ::<AWS
    Account B>:domain/<OpenSearch Domain Name>/*"
    }
  ]
}

Esta política permite a OpenSearch Service realizar llamadas desde el rol de ejecución de la función Lambda.

12.    Compruebe la métrica de Recuento de errores y tasa de éxito en la consola de Lambda. Esta métrica verifica si los registros se han entregado correctamente a OpenSearch Service.

13.    Compruebe la métrica de la Tasa de indexación en OpenSearch Service para confirmar si se enviaron los datos. Los registros de CloudWatch ahora se transmiten a ambas cuentas de su Amazon VPC.

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 2 años