Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Langkah 1: Buat integrasi dengan OpenSearch Layanan
Langkah pertama adalah membuat integrasi dengan OpenSearch Layanan, yang perlu Anda lakukan hanya sekali. Membuat integrasi akan membuat sumber daya berikut di akun Anda.
+ **[Koleksi deret OpenSearch Service waktu](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-collections.html)** tanpa ketersediaan tinggi.
Koleksi adalah sekumpulan *indeks OpenSearch * Layanan yang bekerja sama untuk mendukung beban kerja.
+ **Dua kebijakan keamanan** untuk koleksi. Satu mendefinisikan jenis enkripsi, yang baik dengan kunci yang dikelola pelanggan atau AWS KMS kunci yang dimiliki layanan. Kebijakan lain mendefinisikan akses jaringan, memungkinkan aplikasi OpenSearch Layanan untuk mengakses koleksi. Untuk informasi selengkapnya, lihat [Enkripsi data saat istirahat untuk OpenSearch Layanan Amazon](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html).
+ **[Kebijakan akses data OpenSearch Layanan](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html)** yang menentukan siapa yang dapat mengakses data dalam koleksi.
+ **[Sumber data kueri langsung OpenSearch Layanan](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/direct-query-s3.html)** dengan CloudWatch Log didefinisikan sebagai sumber.
+ **[Aplikasi OpenSearch Layanan](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/application.html)** dengan nama`aws-analytics`. Aplikasi akan dikonfigurasi untuk memungkinkan pembuatan ruang kerja. Jika aplikasi bernama `aws-analytics` sudah ada, itu akan diperbarui untuk menambahkan koleksi ini sebagai sumber data.
+ **[Ruang kerja OpenSearch Layanan yang](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/application.html)** akan meng-host dasbor dan memungkinkan semua orang yang telah diberikan akses untuk membaca dari ruang kerja.
**Topics**
+ [Izin yang diperlukan](#OpenSearch-Dashboards-Perms)
+ [Buat integrasi](#OpenSearch-Dashboards-Procedure)
## Izin yang diperlukan
Untuk membuat integrasi, Anda harus masuk ke akun yang memiliki kebijakan IAM **CloudWatchOpenSearchDashboardsFullAccess**terkelola atau izin yang setara, ditampilkan di sini. Anda juga harus memiliki izin ini untuk menghapus integrasi, membuat, mengedit, dan menghapus dasbor, dan menyegarkan dasbor secara manual.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "CloudWatchOpenSearchDashboardsIntegration",
"Effect": "Allow",
"Action": [
"logs:ListIntegrations",
"logs:GetIntegration",
"logs:DeleteIntegration",
"logs:PutIntegration",
"logs:DescribeLogGroups",
"opensearch:ApplicationAccessAll",
"iam:ListRoles",
"iam:ListUsers"
],
"Resource": "*"
},
{
"Sid": "CloudWatchLogsOpensearchReadAPIs",
"Effect": "Allow",
"Action": [
"aoss:BatchGetCollection",
"aoss:BatchGetLifecyclePolicy",
"es:ListApplications"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsOpensearchCreateServiceLinkedAccess",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "opensearchservice.amazonaws.com",
"aws:CalledViaFirst": "logs.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsObservabilityCreateServiceLinkedAccess",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/observability.aoss.amazonaws.com/AWSServiceRoleForAmazonOpenSearchServerless",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "observability.aoss.amazonaws.com",
"aws:CalledViaFirst": "logs.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsCollectionRequestAccess",
"Effect": "Allow",
"Action": [
"aoss:CreateCollection"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:RequestTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "CloudWatchOpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsApplicationRequestAccess",
"Effect": "Allow",
"Action": [
"es:CreateApplication"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:RequestTag/OpenSearchIntegration": [
"Dashboards"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "OpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsCollectionResourceAccess",
"Effect": "Allow",
"Action": [
"aoss:DeleteCollection"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:ResourceTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
}
}
},
{
"Sid": "CloudWatchLogsApplicationResourceAccess",
"Effect": "Allow",
"Action": [
"es:UpdateApplication",
"es:GetApplication"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:ResourceTag/OpenSearchIntegration": [
"Dashboards"
]
}
}
},
{
"Sid": "CloudWatchLogsCollectionPolicyAccess",
"Effect": "Allow",
"Action": [
"aoss:CreateSecurityPolicy",
"aoss:CreateAccessPolicy",
"aoss:DeleteAccessPolicy",
"aoss:DeleteSecurityPolicy",
"aoss:GetAccessPolicy",
"aoss:GetSecurityPolicy"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aoss:collection": "cloudwatch-logs-*",
"aws:CalledViaFirst": "logs.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsAPIAccessAll",
"Effect": "Allow",
"Action": [
"aoss:APIAccessAll"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aoss:collection": "cloudwatch-logs-*"
}
}
},
{
"Sid": "CloudWatchLogsIndexPolicyAccess",
"Effect": "Allow",
"Action": [
"aoss:CreateAccessPolicy",
"aoss:DeleteAccessPolicy",
"aoss:GetAccessPolicy",
"aoss:CreateLifecyclePolicy",
"aoss:DeleteLifecyclePolicy"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aoss:index": "cloudwatch-logs-*",
"aws:CalledViaFirst": "logs.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsDQSRequestQueryAccess",
"Effect": "Allow",
"Action": [
"es:AddDirectQueryDataSource"
],
"Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:RequestTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "CloudWatchOpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsStartDirectQueryAccess",
"Effect": "Allow",
"Action": [
"opensearch:StartDirectQuery",
"opensearch:GetDirectQuery"
],
"Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*"
},
{
"Sid": "CloudWatchLogsDQSResourceQueryAccess",
"Effect": "Allow",
"Action": [
"es:GetDirectQueryDataSource",
"es:DeleteDirectQueryDataSource"
],
"Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:ResourceTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
}
}
},
{
"Sid": "CloudWatchLogsPassRoleAccess",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:PassedToService": "directquery.opensearchservice.amazonaws.com",
"aws:CalledViaFirst": "logs.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsAossTagsAccess",
"Effect": "Allow",
"Action": [
"aoss:TagResource"
],
"Resource": "arn:aws:aoss:*:*:collection/*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:ResourceTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "CloudWatchOpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsEsApplicationTagsAccess",
"Effect": "Allow",
"Action": [
"es:AddTags"
],
"Resource": "arn:aws:opensearch:*:*:application/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/OpenSearchIntegration": [
"Dashboards"
],
"aws:CalledViaFirst": "logs.amazonaws.com"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "OpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsEsDataSourceTagsAccess",
"Effect": "Allow",
"Action": [
"es:AddTags"
],
"Resource": "arn:aws:opensearch:*:*:datasource/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
],
"aws:CalledViaFirst": "logs.amazonaws.com"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "CloudWatchOpenSearchIntegration"
}
}
}
]
}
```
------
## Buat integrasi
Gunakan langkah-langkah ini untuk membuat integrasi.
**Untuk mengintegrasikan CloudWatch Log dengan Amazon OpenSearch Service**
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Di panel navigasi kiri, pilih **Wawasan Log** dan kemudian pilih tab **Analisis dengan OpenSearch**.
1. Pilih **Buat integrasi**.
1. Untuk **nama Integrasi**, masukkan nama untuk integrasi.
1. **(Opsional) Untuk mengenkripsi data yang ditulis ke OpenSearch Service Serverless, masukkan ARN kunci yang ingin Anda gunakan dalam ARN AWS KMS kunci KMS.** Untuk informasi selengkapnya, lihat [Enkripsi saat istirahat](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-encryption.html) di Panduan Pengembang OpenSearch Layanan Amazon.
1. Untuk **penyimpanan data**, masukkan jumlah waktu yang Anda inginkan agar indeks data OpenSearch Layanan dipertahankan. Ini juga menentukan periode waktu maksimum di mana Anda dapat melihat data di dasbor. Memilih periode retensi data yang lebih lama akan menimbulkan biaya pencarian dan pengindeksan tambahan. Untuk informasi selengkapnya, lihat [OpenSearch Harga Tanpa Server Layanan](https://aws.amazon.com/opensearch-service/pricing/).
Periode retensi maksimum adalah 30 hari.
Panjang retensi data juga akan digunakan untuk membuat kebijakan siklus hidup pengumpulan OpenSearch Layanan.
1. Untuk **peran IAM untuk menulis ke OpenSearch koleksi**, buat peran IAM baru atau pilih peran IAM yang ada yang akan digunakan untuk menulis ke koleksi Layanan. OpenSearch
Membuat peran baru adalah metode paling sederhana, dan peran akan dibuat dengan izin yang diperlukan.
**catatan**
Jika Anda membuat peran, itu akan memiliki izin untuk membaca dari semua grup log di akun.
Jika Anda ingin memilih peran yang ada, itu harus memiliki izin yang tercantum di[Izin yang dibutuhkan integrasi](OpenSearch-Dashboards-CreateRole.md). Atau, Anda dapat memilih **Gunakan peran yang ada** dan kemudian di bagian **Verifikasi izin akses dari peran yang dipilih**, Anda dapat memilih **Buat peran**. Dengan cara ini Anda dapat menggunakan izin yang tercantum [Izin yang dibutuhkan integrasi](OpenSearch-Dashboards-CreateRole.md) sebagai templat dan memodifikasinya. Misalnya, jika Anda ingin menentukan kontrol butir yang lebih baik dari grup log.
1. Untuk **peran IAM dan pengguna yang dapat melihat dasbor**, Anda memilih cara Anda ingin memberikan akses ke peran IAM dan pengguna IAM untuk akses dasbor log penjual otomatis:
+ Untuk membatasi akses dasbor ke beberapa pengguna saja, pilih **Pilih peran IAM dan pengguna yang dapat melihat dasbor** dan kemudian di kotak teks cari dan pilih peran IAM dan pengguna IAM yang ingin Anda berikan akses.
+ Untuk memberikan akses dasbor ke semua pengguna, pilih **Izinkan semua peran dan pengguna di akun ini untuk melihat dasbor**.
**penting**
Memilih peran atau pengguna, atau memilih semua pengguna, hanya menambahkannya ke [kebijakan akses data](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html) yang diperlukan untuk mengakses koleksi OpenSearch Layanan yang menyimpan data dasbor. **Agar mereka dapat melihat dasbor log penjual otomatis, Anda juga harus memberikan peran tersebut dan pengguna kebijakan IAM [CloudWatchOpenSearchDashboardAccess](iam-identity-based-access-control-cwl.md#managed-policies-cwl-CloudWatchOpenSearchDashboardAccess) terkelola.**
1. Pilih **Buat integrasi**
Membuat integrasi akan memakan waktu beberapa menit.