Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Fase 1: Creare l'integrazione con Service OpenSearch
Il primo passo è creare l'integrazione con OpenSearch Service, che devi eseguire una sola volta. La creazione dell'integrazione creerà le seguenti risorse nel tuo account.
+ **[Una raccolta OpenSearch Service di serie temporali](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-collections.html)** senza elevata disponibilità.
Una raccolta è un insieme di *indici* di OpenSearch servizio che interagiscono per supportare un carico di lavoro.
+ **Due politiche di sicurezza per la raccolta**. Una definisce il tipo di crittografia, che può essere con una AWS KMS chiave gestita dal cliente o una chiave di proprietà del servizio. L'altra politica definisce l'accesso alla rete, consentendo all'applicazione OpenSearch Service di accedere alla raccolta. Per ulteriori informazioni, consulta [Encryption of data at rest for Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html).
+ **[Una politica di accesso ai dati del OpenSearch Servizio](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html)** che definisce chi può accedere ai dati della raccolta.
+ **[Un'origine dati OpenSearch Service Direct Query](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/direct-query-s3.html)** con CloudWatch Logs definiti come origine.
+ **[Un'applicazione OpenSearch di servizio](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/application.html)** con il nome`aws-analytics`. L'applicazione verrà configurata per consentire la creazione di uno spazio di lavoro. Se esiste `aws-analytics` già un'applicazione denominata, verrà aggiornata per aggiungere questa raccolta come fonte di dati.
+ **[Un'area OpenSearch di lavoro di servizio](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/application.html)** che ospiterà le dashboard e consentirà a tutti coloro a cui è stato concesso l'accesso di leggere dall'area di lavoro.
**Topics**
+ [Autorizzazioni richieste](#OpenSearch-Dashboards-Perms)
+ [Crea l'integrazione](#OpenSearch-Dashboards-Procedure)
## Autorizzazioni richieste
Per creare l'integrazione, devi accedere a un account con la policy IAM **CloudWatchOpenSearchDashboardsFullAccess**gestita o autorizzazioni equivalenti, mostrate qui. È inoltre necessario disporre di queste autorizzazioni per eliminare l'integrazione, creare, modificare ed eliminare i dashboard e aggiornare la dashboard manualmente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "CloudWatchOpenSearchDashboardsIntegration",
"Effect": "Allow",
"Action": [
"logs:ListIntegrations",
"logs:GetIntegration",
"logs:DeleteIntegration",
"logs:PutIntegration",
"logs:DescribeLogGroups",
"opensearch:ApplicationAccessAll",
"iam:ListRoles",
"iam:ListUsers"
],
"Resource": "*"
},
{
"Sid": "CloudWatchLogsOpensearchReadAPIs",
"Effect": "Allow",
"Action": [
"aoss:BatchGetCollection",
"aoss:BatchGetLifecyclePolicy",
"es:ListApplications"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsOpensearchCreateServiceLinkedAccess",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "opensearchservice.amazonaws.com",
"aws:CalledViaFirst": "logs.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsObservabilityCreateServiceLinkedAccess",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/observability.aoss.amazonaws.com/AWSServiceRoleForAmazonOpenSearchServerless",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "observability.aoss.amazonaws.com",
"aws:CalledViaFirst": "logs.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsCollectionRequestAccess",
"Effect": "Allow",
"Action": [
"aoss:CreateCollection"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:RequestTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "CloudWatchOpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsApplicationRequestAccess",
"Effect": "Allow",
"Action": [
"es:CreateApplication"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:RequestTag/OpenSearchIntegration": [
"Dashboards"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "OpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsCollectionResourceAccess",
"Effect": "Allow",
"Action": [
"aoss:DeleteCollection"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:ResourceTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
}
}
},
{
"Sid": "CloudWatchLogsApplicationResourceAccess",
"Effect": "Allow",
"Action": [
"es:UpdateApplication",
"es:GetApplication"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:ResourceTag/OpenSearchIntegration": [
"Dashboards"
]
}
}
},
{
"Sid": "CloudWatchLogsCollectionPolicyAccess",
"Effect": "Allow",
"Action": [
"aoss:CreateSecurityPolicy",
"aoss:CreateAccessPolicy",
"aoss:DeleteAccessPolicy",
"aoss:DeleteSecurityPolicy",
"aoss:GetAccessPolicy",
"aoss:GetSecurityPolicy"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aoss:collection": "cloudwatch-logs-*",
"aws:CalledViaFirst": "logs.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsAPIAccessAll",
"Effect": "Allow",
"Action": [
"aoss:APIAccessAll"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aoss:collection": "cloudwatch-logs-*"
}
}
},
{
"Sid": "CloudWatchLogsIndexPolicyAccess",
"Effect": "Allow",
"Action": [
"aoss:CreateAccessPolicy",
"aoss:DeleteAccessPolicy",
"aoss:GetAccessPolicy",
"aoss:CreateLifecyclePolicy",
"aoss:DeleteLifecyclePolicy"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aoss:index": "cloudwatch-logs-*",
"aws:CalledViaFirst": "logs.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsDQSRequestQueryAccess",
"Effect": "Allow",
"Action": [
"es:AddDirectQueryDataSource"
],
"Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:RequestTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "CloudWatchOpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsStartDirectQueryAccess",
"Effect": "Allow",
"Action": [
"opensearch:StartDirectQuery",
"opensearch:GetDirectQuery"
],
"Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*"
},
{
"Sid": "CloudWatchLogsDQSResourceQueryAccess",
"Effect": "Allow",
"Action": [
"es:GetDirectQueryDataSource",
"es:DeleteDirectQueryDataSource"
],
"Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:ResourceTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
}
}
},
{
"Sid": "CloudWatchLogsPassRoleAccess",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:PassedToService": "directquery.opensearchservice.amazonaws.com",
"aws:CalledViaFirst": "logs.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsAossTagsAccess",
"Effect": "Allow",
"Action": [
"aoss:TagResource"
],
"Resource": "arn:aws:aoss:*:*:collection/*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:ResourceTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "CloudWatchOpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsEsApplicationTagsAccess",
"Effect": "Allow",
"Action": [
"es:AddTags"
],
"Resource": "arn:aws:opensearch:*:*:application/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/OpenSearchIntegration": [
"Dashboards"
],
"aws:CalledViaFirst": "logs.amazonaws.com"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "OpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsEsDataSourceTagsAccess",
"Effect": "Allow",
"Action": [
"es:AddTags"
],
"Resource": "arn:aws:opensearch:*:*:datasource/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
],
"aws:CalledViaFirst": "logs.amazonaws.com"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "CloudWatchOpenSearchIntegration"
}
}
}
]
}
```
------
## Crea l'integrazione
Usa questi passaggi per creare l'integrazione.
**Per integrare CloudWatch Logs con Amazon OpenSearch Service**
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel riquadro di navigazione a sinistra, scegli **Logs Insights**, quindi scegli la OpenSearch scheda **Analizza con**.
1. Scegli **Crea integrazione**.
1. In **Nome dell'integrazione**, inserisci un nome per l'integrazione.
1. **(Facoltativo) Per crittografare i dati scritti su OpenSearch Service Serverless, inserisci l'ARN della AWS KMS chiave che desideri utilizzare nella chiave KMS ARN.** Per ulteriori informazioni, consulta [Encryption at rest](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-encryption.html) nella Amazon OpenSearch Service Developer Guide.
1. Per la **conservazione dei dati**, inserisci il periodo di tempo per cui desideri che gli indici dei dati del OpenSearch Servizio vengano conservati. Questo definisce anche il periodo di tempo massimo per il quale è possibile visualizzare i dati nei dashboard. La scelta di un periodo di conservazione dei dati più lungo comporterà costi di ricerca e indicizzazione aggiuntivi. [Per ulteriori informazioni, consulta OpenSearch Service Serverless Pricing.](https://aws.amazon.com/opensearch-service/pricing/)
Il periodo di conservazione massimo è di 30 giorni.
La durata di conservazione dei dati verrà utilizzata anche per creare la politica del ciclo di vita della raccolta dei OpenSearch servizi.
1. Per il **ruolo IAM per la scrittura nella OpenSearch raccolta**, crea un nuovo ruolo IAM o seleziona un ruolo IAM esistente da utilizzare per scrivere nella raccolta OpenSearch Service.
La creazione di un nuovo ruolo è il metodo più semplice e il ruolo verrà creato con le autorizzazioni necessarie.
**Nota**
Se crei un ruolo, avrà le autorizzazioni per la lettura da tutti i gruppi di log dell'account.
Se desideri selezionare un ruolo esistente, dovrebbe avere le autorizzazioni elencate in. [Autorizzazioni necessarie per l'integrazione](OpenSearch-Dashboards-CreateRole.md) In alternativa, puoi scegliere **Usa un ruolo esistente** e quindi nella sezione **Verifica le autorizzazioni di accesso del ruolo selezionato** puoi scegliere **Crea** ruolo. In questo modo puoi utilizzare le autorizzazioni elencate [Autorizzazioni necessarie per l'integrazione](OpenSearch-Dashboards-CreateRole.md) come modello e modificarle. Ad esempio, se si desidera specificare un controllo più preciso dei gruppi di log.
1. Per **i ruoli e gli utenti IAM che possono visualizzare i dashboard**, devi selezionare come concedere l'accesso ai ruoli IAM e agli utenti IAM per l'accesso al dashboard dei registri venduti:
+ Per limitare l'accesso alla dashboard solo ad alcuni utenti, scegli **Seleziona i ruoli IAM e gli utenti che possono visualizzare le dashboard**, quindi nella casella di testo cerca e seleziona i ruoli IAM e gli utenti IAM a cui desideri concedere l'accesso.
+ Per concedere l'accesso alla dashboard a tutti gli utenti, scegli **Consenti a tutti i ruoli e agli utenti di questo account di visualizzare le dashboard**.
**Importante**
La selezione dei ruoli o degli utenti, o la selezione di tutti gli utenti, li aggiunge solo alla [politica di accesso ai dati](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html) necessaria per accedere alla raccolta di OpenSearch servizi che memorizza i dati del dashboard. **Per consentire loro di visualizzare i dashboard dei log forniti, devi inoltre concedere a tali ruoli e utenti la policy IAM [CloudWatchOpenSearchDashboardAccess](iam-identity-based-access-control-cwl.md#managed-policies-cwl-CloudWatchOpenSearchDashboardAccess) gestita.**
1. **Scegli Crea integrazione**
La creazione dell'integrazione richiederà alcuni minuti.