Autorisieren von Verbindungen zu Amazon Service OpenSearch - Amazon Quick Suite
Verwenden einer VPC-VerbindungBerechtigungen OpenSearch verwenden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Autorisieren von Verbindungen zu Amazon Service OpenSearch

 Gilt für: Enterprise Edition 
   Zielgruppe: Systemadministratoren 

Bevor Sie es OpenSearch in einem Amazon Quick Sight-Datensatz verwenden können, muss der Quick Suite-Administrator in Zusammenarbeit mit einer Person, die Zugriff auf die OpenSearch Konsole hat, einige Aufgaben erledigen.

Identifizieren Sie zunächst jede OpenSearch Domain, zu der Sie eine Verbindung herstellen möchten. Sammeln Sie dann die folgenden Informationen für jede Domain:

  • Der Name der OpenSearch Domain.

  • Die von dieser Domain verwendete OpenSearch Version.

  • Der Amazon-Ressourcenname (ARN) der OpenSearch Domain.

  • Der HTTPS-Endpunkt.

  • Die OpenSearch Dashboard-URL, wenn Sie Dashboards verwenden. Sie können die Dashboard-URL extrapolieren, indem Sie „/dashboards/“ an einen Endpunkt anhängen.

  • Wenn die Domain über einen VPC-Endpunkt verfügt, sammeln Sie alle zugehörigen Informationen auf der Registerkarte VPC der OpenSearch Servicekonsole:

    • Die VPC-ID

    • Die VPC-Sicherheitsgruppen

    • Die assoziierte IAM-Rolle oder Rollen

    • Die assoziierten Availability Zones

    • Die assoziierten Subnetze

  • Wenn die Domain einen regulären Endpunkt hat (keinen VPC-Endpunkt), beachten Sie, dass sie das öffentliche Netzwerk verwendet.

  • Die Startzeit für den täglichen automatisierten Snapshot (falls Ihre Benutzer das wissen möchten).

Bevor Sie fortfahren, aktiviert der Amazon Quick Suite-Administrator autorisierte Verbindungen von Amazon Quick Suite zu OpenSearch Service. Dieser Vorgang ist für jeden AWS Service erforderlich, zu dem Sie von Amazon Quick Suite aus eine Verbindung herstellen. Sie müssen dies AWS-Konto für jeden AWS Service, den Sie als Datenquelle verwenden, nur einmal tun.

Für OpenSearch Service fügt der Autorisierungsprozess die AWS verwaltete Richtlinie AWSQuickSightOpenSearchPolicy zu Ihrer hinzu AWS-Konto.

Wichtig

Stellen Sie sicher, dass die IAM-Richtlinie für Ihre OpenSearch Domain nicht mit den Berechtigungen in in AWSQuickSightOpenSearchPolicy kollidiert. Sie finden die Domänenzugriffsrichtlinie in der OpenSearch Servicekonsole. Weitere Informationen finden Sie unter Konfiguration von Zugriffsrichtlinien im Amazon OpenSearch Service Developer Guide.

Um Verbindungen von Amazon Quick Suite zu OpenSearch Service ein- oder auszuschalten

  1. Wählen Sie in Amazon Quick Suite Administrator und Amazon Quick Suite verwalten aus.

  2. Wählen Sie Sicherheit & Berechtigungen, Hinzufügen oder Entfernen aus.

  3. Um Verbindungen zu aktivieren, aktivieren Sie das Kontrollkästchen Amazon OpenSearch Service.

    Um Verbindungen zu deaktivieren, deaktivieren Sie das Amazon OpenSearch Service-Kontrollkästchen.

  4. Wählen Sie Aktualisieren, um Ihre Auswahl zu bestätigen.

Verwenden Sie bei Bedarf die folgenden Themen, um eine OpenSearch VPC-Verbindung und Zugriffsberechtigungen für Amazon Quick Suite zu konfigurieren. OpenSearch

Verwenden einer VPC-Verbindung

In einigen Fällen befindet sich Ihre OpenSearch Domain in einer Virtual Private Cloud (VPC), die auf dem Amazon VPC-Service basiert. Falls ja, stellen Sie sicher, dass Amazon Quick Suite bereits mit der VPC-ID verbunden ist, die die OpenSearch Domain verwendet. Sie können eine bestehende VPC-Verbindung wiederverwenden. Wenn Sie nicht sicher sind, ob es funktioniert, können Sie es testen. Weitere Informationen finden Sie unter Testen der Verbindung zu Ihrer Amazon VPC-Datenquelle.

Wenn in Amazon Quick Suite für die VPC, die Sie verwenden möchten, noch keine Verbindung definiert ist, können Sie eine erstellen. Bei dieser Aufgabe handelt es sich um einen mehrstufigen Prozess, den Sie abschließen müssen, bevor Sie fortfahren können. Informationen zum Hinzufügen von Amazon Quick Suite zu einer VPC und zum Hinzufügen einer Verbindung von Amazon Quick Suite zur VPC finden Sie unter Verbindung zu einer Amazon VPC mit Amazon Quick Suite herstellen.

Berechtigungen OpenSearch verwenden

Nachdem Sie Amazon Quick Suite für die Verbindung mit OpenSearch Service konfiguriert haben, müssen Sie möglicherweise Berechtigungen in aktivieren OpenSearch. Für diesen Teil des Einrichtungsprozesses können Sie den Link OpenSearch Dashboards für jede OpenSearch Domain verwenden. Anhand der folgenden Liste können Sie ermitteln, welche Berechtigungen Sie benötigen:

  1. Konfigurieren Sie Berechtigungen für Domains, die eine differenzierte Zugriffskontrolle verwenden, in Form einer Rolle. Dieser Vorgang ähnelt der Verwendung von Richtlinien mit eingeschränktem Geltungsbereich in Amazon Quick Suite.

  2. Fügen Sie für jede Domain, für die Sie eine Rolle erstellen, eine Rollenzuordnung hinzu.

Weitere Informationen finden Sie unter .

Wenn für Ihre OpenSearch Domain eine detaillierte Zugriffskontrolle aktiviert ist, müssen einige Berechtigungen konfiguriert werden, damit auf die Domain von Amazon Quick Suite aus zugegriffen werden kann. Führen Sie diese Schritte für jede Domain aus, die Sie verwenden möchten.

Das folgende Verfahren verwendet OpenSearch Dashboards, ein Open-Source-Tool, das mit funktioniert. OpenSearch Den Link zu Dashboards finden Sie im Domain-Dashboard in der Servicekonsole. OpenSearch

So fügen Sie einer Domain Berechtigungen hinzu, um den Zugriff von Amazon Quick Suite aus zu ermöglichen

  1. Öffnen Sie die OpenSearch Dashboards für die OpenSearch Domain, mit der Sie arbeiten möchten. Der URL ist opensearch-domain-endpoint/dashboards/.

  2. Wählen Sie im Navigationsbereich Sicherheit aus.

    Wenn Sie den Navigationsbereich nicht sehen, öffnen Sie ihn mit dem Menüsymbol oben links. Um das Menü geöffnet zu lassen, wählen Sie Dock-Navigation unten links.

  3. Wählen Sie Roles (Rollen), Create role (Rolle erstellen) aus.

  4. Benennen Sie die Rolle quicksight_role.

    Sie können einen anderen Namen wählen, aber wir empfehlen diesen, da wir ihn in unserer Dokumentation verwenden und er daher einfacher zu unterstützen ist.

  5. Fügen Sie unter Cluster-Berechtigungen die folgenden Berechtigungen hinzu:

    • cluster:monitor/main

    • cluster:monitor/health

    • cluster:monitor/state

    • indices:data/read/scroll

    • indices:data/read/scroll/clear,

  6. Wählen Sie Indexberechtigungen hinzufügen und geben Sie dann * für das Indexmuster an.

  7. Fügen Sie für Cluster-Berechtigungen die folgenden Berechtigungen hinzu:

    • indices:admin/get

    • indices:admin/mappings/get

    • indices:admin/mappings/fields/get*

    • indices:data/read/search*

    • indices:monitor/settings/get

  8. Wählen Sie Erstellen aus.

  9. Wiederholen Sie dieses Verfahren für jede OpenSearch Domain, die Sie verwenden möchten.

Verwenden Sie das folgende Verfahren, um eine Rollenzuordnung für die Berechtigungen hinzuzufügen, die Sie im vorherigen Verfahren hinzugefügt haben. Möglicherweise finden Sie es effizienter, die Berechtigungen und die Rollenzuordnung als Teil eines einzigen Vorgangs hinzuzufügen. Diese Anweisungen sind aus Gründen der Übersichtlichkeit getrennt.

So erstellen Sie eine Rollenzuordnung für die von Ihnen hinzugefügte IAM-Rolle

  1. Öffnen Sie die OpenSearch Dashboards für die OpenSearch Domain, mit der Sie arbeiten möchten. Der URL ist opensearch-domain-endpoint/dashboards/.

  2. Wählen Sie im Navigationsbereich Sicherheit aus.

  3. Suchen Sie in der Liste nach quicksight_role und öffnen Sie sie.

  4. Wählen Sie auf der Registerkarte Zugeordnete Benutzer die Option Zuordnungen verwalten.

  5. Geben Sie im Abschnitt Backend-Rollen den ARN der AWS-verwalteten IAM-Rolle für Amazon Quick Suite ein. Im Folgenden sehen Sie ein Beispiel.

    arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0

  6. Wählen Sie Zuordnen aus.

  7. Wiederholen Sie dieses Verfahren für jede OpenSearch Domain, die Sie verwenden möchten.