Introducción a la interfaz de usuario de OpenSearch en Amazon OpenSearch Service
En Amazon OpenSearch Service, una aplicación es una instancia de la interfaz de usuario de OpenSearch (OpenSearch UI). Cada aplicación se puede asociar a varios orígenes de datos y un solo origen se puede asociar a varias aplicaciones. Puede crear varias aplicaciones para distintos administradores mediante diferentes opciones de autenticación compatibles.
Utilice la información de este tema como guía durante el proceso de creación de una aplicación de OpenSearch UI mediante la Consola de administración de AWS o la AWS CLI.
Temas
Permisos necesarios para crear aplicaciones de Amazon OpenSearch Service
Antes de crear una aplicación, compruebe que se le han concedido los permisos necesarios para la tarea. Si es necesario, póngase en contacto con un administrador de cuentas para obtener ayuda.
Permisos generales
Para trabajar con aplicaciones en OpenSearch Service, necesita los permisos que se muestran en la siguiente política. Los permisos sirven para los siguientes propósitos:
-
Los cinco permisos
es:*Applicationson necesarios para crear y administrar una aplicación. -
Los tres permisos
es:*Tagsson necesarios para agregar, enumerar y eliminar etiquetas de la aplicación. -
Los permisos
aoss:BatchGetCollection,es:DescribeDomainyes:GetDirectQueryDataSourceson necesarios para asociar los orígenes de datos. -
Los permisos
aoss:APIAccessAll,es:ESHttp*y 4opensearch:*DirectQuery*son necesarios para acceder a los orígenes de datos. -
iam:CreateServiceLinkedRoleproporciona permiso a Amazon OpenSearch Service para crear un rol vinculado al servicio (SLR) en su cuenta. Esta función se utiliza y permite que la aplicación de interfaz de usuario OpenSearch publique las métricas de Amazon CloudWatch en su cuenta. Para obtener más información, consulte Permisos en el tema Uso de roles vinculados al servicio para crear dominios de VPC y orígenes de datos de consulta directa.
Permisos para crear una aplicación que utilice la autenticación del Centro de identidades de IAM (opcional)
De forma predeterminada, las aplicaciones del panel de control se autentican mediante AWS Identity and Access Management (IAM) para administrar los permisos de los usuarios de los recursos AWS. Sin embargo, puede optar por ofrecer una experiencia de inicio de sesión único mediante el Centro de identidades de IAM, que le permite utilizar sus proveedores de identidad actuales para iniciar sesión en las aplicaciones de OpenSearch UI. En este caso, seleccionará la opción Autenticación con el Centro de identidades de IAM en el procedimiento que aparece más adelante en este tema y, a continuación, concederá a los usuarios del Centro de identidades de IAM los permisos necesarios para acceder a la aplicación de OpenSearch UI.
Para crear una aplicación que utilice la autenticación del Centro de identidades de IAM, necesitará los siguientes permisos. Reemplace los valores de marcador de posición con su información. Si es necesario, póngase en contacto con un administrador de cuentas para obtener ayuda.
Creación de una aplicación de OpenSearch UI
Cree una aplicación que especifique el nombre de la aplicación, el método de autenticación y los administradores mediante uno de los siguientes procedimientos.
Creación de una aplicación de OpenSearch UI que utilice la autenticación de IAM en la consola
Para crear una aplicación de OpenSearch UI que utilice la autenticación de IAM en la consola
-
Inicie sesión en la consola de Amazon OpenSearch Service en https://console.aws.amazon.com/aos/home
. -
En el panel de navegación de la izquierda, seleccione OpenSearch UI (Dashboards).
-
Elija Creación de aplicación.
-
En Nombre de la aplicación, especifique un nombre para su aplicación.
-
No active la casilla de verificación Autenticación con el Centro de identidades de IAM. Para obtener información sobre cómo crear una aplicación con autenticación mediante AWS IAM Identity Center, consulte Creación de una aplicación de OpenSearch UI que utilice la autenticación de AWS IAM Identity Center en la consola más adelante en este tema.
-
(Opcional) Se lo agrega automáticamente como administrador de la aplicación que está creando. En el área de administración de admin de la aplicación OpenSearch, puede conceder permisos de administrador a otros usuarios.
nota
El rol de administrador de la aplicación de OpenSearch UI otorga permisos para editar y eliminar una aplicación de OpenSearch UI. Los administradores de aplicaciones también pueden crear, editar y eliminar espacios de trabajo en una aplicación de OpenSearch UI.
Para conceder permisos de administrador a otros usuarios, elija una de las siguientes opciones:
-
Otorgue el permiso de administrador a usuarios específicos: en el campo de admin de la aplicación OpenSearch, en la lista emergente Propiedades, seleccione usuarios de IAM o
usuarios de AWS IAM Identity Center y, a continuación, elija los usuarios individuales a los que va a conceder los permisos de administrador.
-
Otorgue permisos de administrador a todos los usuarios: todos los usuarios de su organización o cuenta tienen permisos de administrador.
-
-
(Opcional) En el área Etiquetas, aplique a la pila uno o varios pares de nombre-valor de claves de etiqueta.
Las etiquetas son metadatos opcionales que usted asigna a un recurso. Las etiquetas permiten clasificar los recursos de diversas maneras, por ejemplo, según la finalidad, el propietario o el entorno.
-
Elija Crear.
Creación de una aplicación de OpenSearch UI que utilice la autenticación de AWS IAM Identity Center en la consola
Para crear una aplicación de OpenSearch UI que utilice la autenticación de AWS IAM Identity Center, debe tener los permisos de IAM descritos anteriormente en este tema en Permisos para crear una aplicación que utilice la autenticación del Centro de identidades de IAM (opcional).
Para crear una aplicación de OpenSearch UI que utilice la autenticación de AWS IAM Identity Center en la consola
-
Inicie sesión en la consola de Amazon OpenSearch Service en https://console.aws.amazon.com/aos/home
. -
En el panel de navegación de la izquierda, seleccione OpenSearch UI (Dashboards).
-
Elija Creación de aplicación.
-
En Nombre de la aplicación, especifique un nombre para su aplicación.
-
(Opcional) Para habilitar el inicio de sesión único en su organización o cuenta, haga lo siguiente:
-
Seleccione la casilla Autenticación con el Centro de identidades de IAM, como se muestra en la siguiente imagen:
-
Realice una de las siguientes acciones:
-
En la lista Rol de IAM para la aplicación del Centro de identidades de IAM, elija un rol de IAM existente que proporcione los permisos necesarios para que el Centro de identidades de IAM acceda a OpenSearch UI y a los orígenes de datos asociados. Consulte las políticas en el siguiente punto para ver los permisos que debe tener el rol.
-
Creación de un rol de IAM con los permisos necesarios. Utilice los siguientes procedimientos de la Guía del usuario de IAM con las opciones especificadas para crear un nuevo rol y con la política de permisos y la política de confianza necesarias.
-
Procedimiento: Creación de políticas de IAM (consola)
Siguiendo los pasos de este procedimiento, pegue la siguiente política en el campo JSON del editor de políticas:
-
Procedimiento: Cree un rol mediante políticas de confianza personalizadas
Siguiendo los pasos de este procedimiento, reemplace el marcador de posición JSON del cuadro Política de confianza personalizada con lo siguiente:
sugerencia
Si va a agregar la política de confianza a un rol existente, agregue la política en la pestaña Relación de confianza del rol.
-
-
-
Si ya se ha creado una instancia del Centro de identidades de IAM en su organización o cuenta, la consola informa de que Amazon OpenSearch Dashboards ya está conectado a una instancia de organización del Centro de identidades de IAM, como se muestra en la siguiente imagen.
Si el Centro de Identidad de IAM aún no está disponible en su organización o cuenta, usted o un administrador con los permisos necesarios pueden crear una instancia de organización o de cuenta. El área Conectar Amazon OpenSearch Dashboards al Centro de identidades de IAM ofrece opciones para ambos, como se muestra en la siguiente imagen:
En este caso, puede crear una instancia de cuenta en el Centro de Identidad de IAM para realizar pruebas o solicitar que un administrador cree una instancia de organización en el Centro de Identidad de IAM. Para obtener más información, consulte los siguientes temas en la Guía del usuario de AWS IAM Identity Center:
nota
Por el momento, las aplicaciones de OpenSearch UI solo se pueden crear en la misma Región de AWS que la instancia de Centro de identidades de IAM de su organización. Para obtener información sobre cómo acceder a los orígenes de datos en esa región después de crear la aplicación, consulte Acceso a datos entre regiones y entre cuentas con búsqueda entre clústeres.
-
-
(Opcional) Se lo agrega automáticamente como administrador de la aplicación que está creando. En el área de administración de admin de la aplicación OpenSearch, puede conceder permisos de administrador a otros usuarios, como se muestra en la siguiente imagen:
nota
El rol de administrador de la aplicación de OpenSearch UI otorga permisos para editar y eliminar una aplicación de OpenSearch UI. Los administradores de aplicaciones también pueden crear, editar y eliminar espacios de trabajo en una aplicación de OpenSearch UI.
Para conceder permisos de administrador a otros usuarios, elija una de las siguientes opciones:
-
Otorgue el permiso de administrador a usuarios específicos: en el campo de admin de la aplicación OpenSearch, en la lista emergente Propiedades, seleccione usuarios de IAM o
usuarios de AWS IAM Identity Center y, a continuación, elija los usuarios individuales a los que va a conceder los permisos de administrador.
-
Otorgue permisos de administrador a todos los usuarios: todos los usuarios de su organización o cuenta tienen permisos de administrador.
-
-
(Opcional) En el área Etiquetas, aplique a la pila uno o varios pares de nombre-valor de claves de etiqueta.
Las etiquetas son metadatos opcionales que usted asigna a un recurso. Las etiquetas permiten clasificar los recursos de diversas maneras, por ejemplo, según la finalidad, el propietario o el entorno.
-
Elija Crear.
Creación de una aplicación de OpenSearch UI que utilice la autenticación de AWS IAM Identity Center mediante la AWS CLI
Para crear una aplicación de OpenSearch UI que utilice la autenticación AWS IAM Identity Center mediante la AWS CLI, utilice el comando create-application con las siguientes opciones:
-
--name: nombre de la aplicación. -
--iam-identity-center-options: (opcional) la instancia del Centro de identidades de IAM y el rol de IAM que OpenSearch utilizará para la autenticación y el control de acceso.
Reemplace los valores de marcador de posición con su información.
aws opensearch create-application \ --nameapplication-name\ --iam-identity-center-options " { \"enabled\":true, \"iamIdentityCenterInstanceArn\":\"arn:aws:sso:::instance/sso-instance\", \"iamRoleForIdentityCenterApplicationArn\":\"arn:aws:iam::account-id:role/role-name\" } "
Administrar los administradores de aplicaciones
Un administrador de aplicaciones de OpenSearch UI es un rol definido con permiso para editar y eliminar una aplicación de OpenSearch UI.
De forma predeterminada, como creador de una aplicación de OpenSearch UI, usted es el primer administrador de la aplicación de OpenSearch UI.
Administración de los administradores de OpenSearch UI mediante la consola
Puede agregar administradores adicionales a una aplicación de OpenSearch UI en la Consola de administración de AWS, ya sea durante el flujo de trabajo de creación de la aplicación o en la página Editar una vez creada la aplicación.
El rol de administrador de la aplicación de OpenSearch UI otorga permisos para editar y eliminar una aplicación de OpenSearch UI. Los administradores de aplicaciones también pueden crear, editar y eliminar espacios de trabajo en una aplicación de OpenSearch UI.
En la página de detalles de la aplicación, puede buscar el nombre de recurso de Amazon (ARN) de una entidad principal de IAM o el nombre de un usuario del Centro de Identidad de IAM.
Para administrar a los administradores de OpenSearch UI mediante la consola
-
Inicie sesión en la consola de Amazon OpenSearch Service en https://console.aws.amazon.com/aos/home
. -
En el panel de navegación de la izquierda, seleccione OpenSearch UI (Dashboards).
-
En el área de aplicaciones de OpenSearch, elija el nombre de una aplicación existente.
-
Elija Editar
-
Para conceder permisos de administrador a otros usuarios, elija una de las siguientes opciones:
-
Otorgue el permiso de administrador a usuarios específicos: en el campo de admin de la aplicación OpenSearch, en la lista emergente Propiedades, seleccione usuarios de IAM o
usuarios de AWS IAM Identity Center y, a continuación, elija los usuarios individuales a los que va a conceder los permisos de administrador.
-
Otorgue permisos de administrador a todos los usuarios: todos los usuarios de su organización o cuenta tienen permisos de administrador.
-
-
Elija Actualizar.
Puede eliminar administradores adicionales, pero cada aplicación de OpenSearch UI debe tener al menos un administrador.
Administración de los administradores de OpenSearch UI mediante la AWS CLI
Puede crear y actualizar los administradores de aplicaciones de OpenSearch UI mediante la AWS CLI.
Creación de administradores de OpenSearch UI mediante la AWS CLI
Los siguientes son ejemplos de cómo agregar entidades principales de IAM y usuarios de Centro de identidades de IAM como administradores al crear una aplicación de OpenSearch UI.
Ejemplo 1: Crear una aplicación de OpenSearch UI que agregue un usuario de IAM como administrador
Ejecute el siguiente comando para crear una aplicación de OpenSearch Search que agregue un usuario de IAM como administrador. Reemplace los valores de marcador de posición con su información.
aws opensearch create-application \ --nameapplication-name\ --app-configs " { \"key\":\"opensearchDashboards.dashboardAdmin.users\", \"value\":\"arn:aws:iam::account-id:user/user-id\" } "
Ejemplo 2: Crear una aplicación de OpenSearch UI que habilite Centro de identidades de IAM y agregue un ID de usuario de Centro de identidades de IAM como administrador de la aplicación de OpenSearch UI
Ejecute el siguiente comando para crear una aplicación de OpenSearch UI que habilite Centro de identidades de IAM y agregue un ID de usuario de Centro de identidades de IAM como administrador de la aplicación de OpenSearch UI. Reemplace los valores de marcador de posición con su información.
key especifica el elemento de configuración que se va a establecer, como el rol de administrador de la aplicación de OpenSearch UI. Los valores válidos son opensearchDashboards.dashboardAdmin.users y opensearchDashboards.dashboardAdmin.groups.
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx representa el valor asignado a la clave, como el nombre de recurso de Amazon (ARN) de un usuario de IAM.
aws opensearch create-application \ --name myapplication \ --iam-identity-center-options " { \"enabled\":true, \"iamIdentityCenterInstanceArn\":\"arn:aws:sso:::instance/ssoins-instance-id\", \"iamRoleForIdentityCenterApplicationArn\":\"arn:aws:iam::account-id:role/role-name\" } " \ --app-configs " { \"key\":\"opensearchDashboards.dashboardAdmin.users\", \"value\":\"xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx\" } "
Actualización de administradores de OpenSearch UI mediante la AWS CLI
A continuación se muestran ejemplos de cómo actualizar las entidades principales de IAM y los usuarios del Centro de Identidad de IAM asignados como administradores de una aplicación OpenSearch existente.
Ejemplo 1: Agregar un usuario de IAM como administrador de una aplicación de OpenSearch existente
Ejecute el siguiente comando para actualizar una aplicación de OpenSearch UI y agregar un usuario de IAM como administrador. Reemplace los valores de marcador de posición con su información.
aws opensearch update-application \ --id myapplication \ --app-configs " { \"key\":\"opensearchDashboards.dashboardAdmin.users\", \"value\":\"arn:aws:iam::account-id:user/user-id\" } "
Ejemplo 2: Actualizar una aplicación de OpenSearch UI para agregar un ID de usuario de Centro de identidades de IAM como administrador de la aplicación de OpenSearch UI
Ejecute el siguiente comando para actualizar una aplicación de OpenSearch UI y agregar un ID de usuario de Centro de identidades de IAM como administrador de la aplicación de OpenSearch UI. Reemplace los valores de marcador de posición con su información.
key especifica el elemento de configuración que se va a establecer, como el rol de administrador de la aplicación de OpenSearch UI. Los valores válidos son opensearchDashboards.dashboardAdmin.users y opensearchDashboards.dashboardAdmin.groups.
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx representa el valor asignado a la clave, como el nombre de recurso de Amazon (ARN) de un usuario de IAM.
aws opensearch update-application \ --id myapplication \ --app-configs " { \"key\":\"opensearchDashboards.dashboardAdmin.users\", \"value\":\"xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx\" } "
