Creación de una integración de fuente de datos de Amazon S3 en OpenSearch Service - OpenSearch Servicio Amazon
Requisitos previosProcedimientoSiguientes pasosAsigne la función AWS Glue Data CatalogRecursos adicionales

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de una integración de fuente de datos de Amazon S3 en OpenSearch Service

Puede crear una nueva fuente de datos de consulta directa de Amazon S3 para OpenSearch Service a través de la API Consola de administración de AWS o la API. Cada nueva fuente de datos la utiliza AWS Glue Data Catalog para administrar las tablas que representan los buckets de Amazon S3.

Requisitos previos

Antes de comenzar, asegúrese de que ha revisado la siguiente documentación:

Antes de poder crear una fuente de datos, debe disponer de los siguientes recursos: Cuenta de AWS

  • Un OpenSearch dominio con la versión 2.13 o posterior. Esta es la base para configurar la integración de consultas directas. Para obtener instrucciones acerca de cómo configurarlo, consulte Creación de dominios OpenSearch de servicio.

  • Uno o varios buckets de S3. Deberá especificar los buckets que contienen los datos que desea consultar y un bucket en el cual almacenar los puntos de control de las consultas. Para obtener instrucciones acerca de cómo crear un bucket de S3, consulte Crear un bucket en la Guía del usuario de Amazon S3.

  • (Opcional) Una o más AWS Glue tablas.La consulta de datos en Amazon S3 requiere que tenga tablas configuradas en AWS Glue Data Catalog para que apunten a los datos de S3. Debe crear las tablas con OpenSearch Query Workbench. Las tablas de Hive existentes no son compatibles.

    Si es la primera vez que configura un origen de datos de Amazon S3, debe crear un origen de datos de administrador para configurar todas las tablas de AWS Glue Data Catalog . Puede hacerlo instalando OpenSearch out-of-the-box integraciones o utilizando OpenSearch Query Workbench para crear tablas SQL personalizadas para casos de uso avanzados. Para ver ejemplos sobre la creación de tablas para registros de VPC y AWS WAF, consulte la documentación sobre GitHub VPC y. CloudTrail CloudTrailAWS WAF Tras crear las tablas, puede crear nuevos orígenes de datos de Amazon S3 y restringir el acceso a tablas limitadas.

  • (Opcional) Un rol de IAM creado manualmente. Puede usar este rol para administrar el acceso al origen de datos. Como alternativa, puede hacer que OpenSearch Service le cree un rol automáticamente con los permisos necesarios. Si decide utilizar un rol de IAM creado manualmente, siga las instrucciones que se indican en Permisos necesarios para los roles de IAM creados manualmente.

Procedimiento

Puede configurar una fuente de datos de consulta directa en un dominio con la API de OpenSearch servicio Consola de administración de AWS o con la API.

  1. Dirígete a la consola OpenSearch de Amazon Service enhttps://console.aws.amazon.com/aos/.

  2. En el panel de navegación izquierdo, seleccione Dominios.

  3. Seleccione el dominio para el que desea configurar un nuevo origen de datos. Se abrirá la página de detalles del dominio.

  4. Seleccione la pestaña Conexiones que aparece debajo de los detalles generales del dominio y busque la sección Consulta directa.

  5. Seleccione Configurar origen de datos.

  6. Escriba un nombre y una descripción opcional para el nuevo origen de datos.

  7. Elija Amazon S3 con AWS Glue Data Catalog.

  8. En Configuración del permiso de acceso de IAM, elija cómo administrar el acceso.

    1. Si desea crear automáticamente un rol para este origen de datos, siga estos pasos:

      1. Seleccione Crear un nuevo rol.

      2. Ingrese un nombre para el rol de IAM.

      3. Seleccione uno o más buckets de S3 que contengan datos que desee consultar.

      4. Seleccione un bucket de S3 de puntos de control en el cual almacenar los puntos de control de las consultas.

      5. Seleccione una o más AWS Glue bases de datos o tablas para definir qué datos se pueden consultar. Si aún no se han creado las tablas, proporcione acceso a la base de datos predeterminada.

    2. Si desea utilizar un rol existente que usted administra, siga estos pasos:

      1. Seleccione Usar un rol existente.

      2. Seleccione un rol existente en el menú desplegable.

    nota

    Cuando utilice su propio rol, debe asegurarse de que tiene todos los permisos requeridos. Para ello, adjunte las políticas necesarias desde la consola de IAM. Para obtener más información, consulte el ejemplo de política en Permisos necesarios para los roles de IAM creados manualmente.

  9. Elija Configurar. Esto abre la pantalla de detalles de la fuente de datos con una URL del OpenSearch panel de control. Puede navegar hasta esta URL para completar los siguientes pasos.

Utilice la operación de la AddDataSourceAPI para crear una nueva fuente de datos en su dominio.

POST https://es.region.amazonaws.com/2021-01-01/opensearch/domain/domain-name/dataSource

{
   "DataSourceType": {
        "S3GlueDataCatalog": {
            "RoleArn": "arn:aws:iam::account-id:role/role-name"
        }
    }
   "Description": "data-source-description",
   "Name": "my-data-source"
}

Siguientes pasos

Visite los OpenSearch paneles

Después de crear una fuente de datos, OpenSearch Service le proporciona un enlace a los OpenSearch paneles de control. Puede usarlo para configurar el control de acceso, definir tablas, instalar out-of-the-box integraciones y consultar sus datos.

Para obtener más información, consulte Configuración y consulta de una fuente de datos de S3 en los paneles OpenSearch.

Asigne la función AWS Glue Data Catalog

Si ha habilitado un control de acceso detallado después de crear una fuente de datos, debe asignar a los usuarios que no sean administradores a una función de IAM con AWS Glue Data Catalog acceso para poder ejecutar consultas directas. Para crear manualmente un rol glue_access de backend que pueda asignar al rol de IAM, siga estos pasos:

nota

Los índices se utilizan para cualquier consulta realizada en el origen de datos. Un usuario con acceso de lectura al índice de solicitudes de un origen de datos determinado puede leer todas las consultas realizadas en ese origen de datos. Un usuario con acceso de lectura al índice de resultados puede leer los resultados de todas las consultas realizadas en ese origen de datos.

  1. En el menú principal de los OpenSearch paneles, seleccione Seguridad, Funciones y Crear funciones.

  2. Asigne el rol glue_access.

  3. En Permisos de clúster, seleccione indices:data/write/bulk*, indices:data/read/scroll, indices:data/read/scroll/clear.

  4. En Índice, introduzca los siguientes índices a los que quiere conceder acceso al usuario con el rol:

    • .query_execution_request_<name of data source>

    • query_execution_result_<name of data source>

    • .async-query-scheduler

    • flint_*

  5. En Permisos de índice, seleccione indices_all.

  6. Seleccione Crear.

  7. Seleccione Usuarios asignados, Administrar mapeo.

  8. En Roles de backend, agregue el ARN del rol de AWS Glue que necesita permiso para llamar a su dominio.

    arn:aws:iam::account-id:role/role-name

  9. Seleccione Asignar y confirme que el rol aparece en Usuarios asignados.

Para obtener más información sobre la asignación de roles, consulte Mapear roles a usuarios.

Recursos adicionales

Permisos necesarios para los roles de IAM creados manualmente

Al crear un origen de datos para su dominio, elige un rol de IAM para administrar el acceso a sus datos. Tiene dos opciones:

  1. Crear un nuevo rol de IAM automáticamente

  2. Utilizar un rol de IAM creado manualmente

Si utiliza un rol creado manualmente, debe asociar los permisos correctos al rol. Los permisos deben permitir el acceso a la fuente de datos específica y permitir que OpenSearch Service asuma la función. Esto es necesario para que el OpenSearch Servicio pueda acceder a sus datos e interactuar con ellos de forma segura.

El siguiente ejemplo de política muestra los permisos con privilegios mínimos necesarios para crear y administrar un origen de datos. Si tiene permisos más generales, como s3:* o la política de AdminstratorAccess, estos engloban los permisos con privilegios mínimos de la política de ejemplo.

En el siguiente ejemplo de política, placeholder text sustitúyalo por su propia información.

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Sid":"HttpActionsForOpenSearchDomain",
         "Effect":"Allow",
         "Action":"es:ESHttp*",
"Resource":"arn:aws:es:us-east-1:111122223333:domain/example.com/*"
      },
      {
         "Sid":"AmazonOpenSearchS3GlueDirectQueryReadAllS3Buckets",
         "Effect":"Allow",
         "Action":[
            "s3:GetObject",
            "s3:GetObjectVersion",
            "s3:ListBucket"
         ],
         "Condition":{
            "StringEquals":{
               "aws:ResourceAccount":"111122223333"
            }
         },
         "Resource":"*"
      },
      {
         "Sid":"AmazonOpenSearchDirectQueryGlueCreateAccess",
         "Effect":"Allow",
         "Action":[
            "glue:CreateDatabase",
            "glue:CreatePartition",
            "glue:CreateTable",
            "glue:BatchCreatePartition"
         ],
         "Resource":"*"
      },
      {
         "Sid":"AmazonOpenSearchS3GlueDirectQueryModifyAllGlueResources",
         "Effect":"Allow",
         "Action":[
            "glue:DeleteDatabase",
            "glue:DeletePartition",
            "glue:DeleteTable",
            "glue:GetDatabase",
            "glue:GetDatabases",
            "glue:GetPartition",
            "glue:GetPartitions",
            "glue:GetTable",
            "glue:GetTableVersions",
            "glue:GetTables",
            "glue:UpdateDatabase",
            "glue:UpdatePartition",
            "glue:UpdateTable",
            "glue:BatchGetPartition",
            "glue:BatchDeletePartition",
            "glue:BatchDeleteTable"
         ],
         "Resource":[
            "arn:aws:glue:us-east-1:111122223333:table/*",
            "arn:aws:glue:us-east-1:111122223333:database/*",
            "arn:aws:glue:us-east-1:111122223333:catalog",
            "arn:aws:es:us-east-1:111122223333:domain/domain_name"
         ],
         "Condition":{
            "StringEquals":{
               "aws:ResourceAccount":"111122223333"
            }
         }
      },
      {
         "Sid":"ReadAndWriteActionsForS3CheckpointBucket",
         "Effect":"Allow",
         "Action":[
            "s3:ListMultipartUploadParts",
            "s3:DeleteObject",
            "s3:GetObject",
            "s3:PutObject",
            "s3:GetBucketLocation",
            "s3:ListBucket"
         ],
         "Condition":{
            "StringEquals":{
               "aws:ResourceAccount":"111122223333"
            }
         },
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
         ]
      }
   ]
}

Para admitir buckets de Amazon S3 en diferentes cuentas, tendrá que incluir una condición en la política de Amazon S3 y agregar la cuenta adecuada.

En el siguiente ejemplo de estado, placeholder text sustitúyalo por su propia información.

"Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "{{accountId}}"
                }

El rol debe tener la siguiente política de confianza, que especifica el ID de destino.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement":[
       {
          "Effect":"Allow",
          "Principal":{
             "Service": "directquery.opensearchservice.amazonaws.com"
          },
          "Action":"sts:AssumeRole"
       }
     ]
}

Para obtener instrucciones sobre cómo crear los roles, consulte Creación de un rol mediante políticas de confianza personalizadas.

Si tiene activado el control de acceso detallado en el OpenSearch Servicio, se creará automáticamente un nuevo rol de control de acceso OpenSearch detallado para su fuente de datos. El nombre del nuevo rol de control de acceso detallado será AWS OpenSearchDirectQuery <name of data source>.

De forma predeterminada, el rol solo tiene acceso a los índices de orígenes de datos de consulta directa. Si bien puede configurar el rol para limitar o conceder el acceso a su origen de datos, se recomienda no ajustar el acceso de este rol. Si elimina el origen de datos, se eliminará este rol. Esto eliminará el acceso de los demás usuarios si están asignados al rol.