Como faço para transmitir dados do CloudWatch Logs para um cluster do Amazon OpenSearch Service no VPC em uma conta diferente?

4 minuto de leitura
0

Estou tentando transmitir dados do Amazon CloudWatch Logs para um cluster do Amazon OpenSearch Service usando uma nuvem privada virtual (VPC) em uma outra conta. No entanto, recebo uma mensagem de erro "Enter a valid Amazon OpenSearch Service Endpoint" (Insira um endpoint válido do Amazon OpenSearch Service).

Breve descrição

Para transmitir dados do CloudWatch Logs para um cluster do OpenSearch Service em outra conta, execute as seguintes etapas:

1.    Configure o CloudWatch Logs na Conta A.

2.    Configure o AWS Lambda na Conta A.

3.    Configure o emparelhamento da Amazon Virtual Private Cloud (Amazon VPC) entre contas.

Solução

Configurar o CloudWatch Logs na Conta A

1.    Abra o console do CloudWatch Logs na Conta A e selecione o seu grupo de logs.

2.    Escolha Actions (Ações).

3.    Escolha o filtro Create OpenSearch subscription (Criar assinatura do OpenSearch).

4.    Para a opção Select Account (Selecionar conta), selecione This account (Esta conta).

5.    Na lista suspensa de clusters do OpenSearch Service, escolha um cluster existente para a Conta A.

6.    Escolha o perfil de execução do Lambda IAM que tem permissões para fazer chamadas para o cluster selecionado do OpenSearch Service.

7.    Anexe a política AWSLambdaVPCAccessExecutionRole à sua função.

8.    Em Configure log format and filters (Configurar formato de registro e filtros), selecione seu Log Format (Formato de log) e o Subscription Filter Pattern (Padrão de filtro da assinatura).

9.    Escolha Next (Avançar).

10.    Insira o nome do Filtro de assinatura e escolha Start Streaming (Iniciar transmissão). Para obter mais informações sobre a transmissão, consulte Streaming de dados do CloudWatch Logs para o Amazon OpenSearch Service.

Configurar o Lambda na Conta A

1.    Na Conta A, abra o console do Lambda.

2.    Selecione a função do Lambda que você criou para transmitir o log.

3.    No código da função, atualize a variável de endpoint do cluster do OpenSearch Service na Conta B. Essa atualização permite que a função do Lambda envie dados para o domínio do OpenSearch Service na Conta B.

4.    Escolha Configuration (Configuração).

5.    Escolha VPC.

6.    Em VPC, escolha Edit (Editar).

7.    Selecione sua VPC, sub-redes e grupos de segurança.

Observação: essa seleção garante que a função do Lambda seja executada dentro de uma VPC, usando o roteamento VPC para enviar dados de volta ao domínio do OpenSearch Service. Para obter mais informações sobre as configurações da Amazon Virtual Private Cloud (Amazon VPC), consulte Configurar uma função do Lambda para acessar recursos em uma VPC.

8.    Escolha Save (Salvar).

Configurar o emparelhamento de VPC entre contas

1.    Abra o console Amazon VPC na Conta A e na Conta B.

Observação: certifique-se de que a sua VPC não tenha blocos CIDR sobrepostos.

2.    Crie uma sessão de emparelhamento de VPC entre as duas VPCs personalizadas (Lambda e OpenSearch Service). Essa sessão de emparelhamento de VPC permite que Lambda envie dados para o seu domínio do OpenSearch Service. Para obter mais informações sobre conexões de emparelhamento VPC, consulte Criar uma conexão de emparelhamento VPC.

3.    Atualize a tabela de rotas para ambas as VPCs. Para obter mais informações sobre tabelas de rotas, consulte Atualizar suas tabelas de rotas para uma conexão de emparelhamento VPC.

4.    Na Conta A, acesse Security Groups (Grupos de segurança).

5.    Selecione o grupo de segurança atribuído à sub-rede em que o Lambda está configurado.

Observação: nesse caso, “grupo de segurança” se refere a uma rede ACL da sub-rede.

6.    Adicione a regra de entrada para permitir o tráfego das sub-redes do OpenSearch Service.

7.    Na Conta B, selecione o grupo de segurança atribuído à sub-rede em que o OpenSearch Service está configurado.

8.    Adicione a regra de entrada para permitir o tráfego das sub-redes do Lambda.

9.    Na Conta B, abra o console do OpenSearch Service.

10.    Escolha Actions (Ações).

11.    Escolha modify access policy (modificar política de acesso) e anexe a seguinte política:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {

    "AWS": "arn:aws:iam::<AWS Account A>:role/<Lambda Execution Role>"
      },
      "Action": "es:*",
      "Resource": "arn:aws:es:us-east-1: ::<AWS
    Account B>:domain/<OpenSearch Domain Name>/*"
    }
  ]
}

Essa política permite que o OpenSearch Service faça chamadas a partir da função de execução da função do Lambda.

12.    Verifique a métrica de contagem de erros e margem de sucesso no console do Lambda. Essa métrica verifica se os registros foram entregues com êxito ao OpenSearch Service.

13.    Verifique a métrica de taxa de indexação no OpenSearch Service para confirmar o envio dos dados. O CloudWatch Logs agora passa em ambas as contas em seu Amazon VPC.

AWS OFICIAL
AWS OFICIALAtualizada há 2 anos