Permissões obrigatórias Crie a integração

Etapa 1: criar a integração com o OpenSearch serviço

A primeira etapa é criar a integração com o OpenSearch Service, que você precisa fazer apenas uma vez. Fazer a integração criará os seguintes recursos na sua conta.

Uma coleção de séries OpenSearch Service temporais sem alta disponibilidade.

Uma coleção é um conjunto de índices de OpenSearch serviços que trabalham juntos para dar suporte a uma carga de trabalho.
Duas políticas de segurança para a coleção. Um define o tipo de criptografia, que é com uma AWS KMS chave gerenciada pelo cliente ou com uma chave de propriedade do serviço. A outra política define o acesso à rede, permitindo que o aplicativo de OpenSearch serviço acesse a coleção. Para obter mais informações, consulte Criptografia de dados em repouso para o Amazon OpenSearch Service.
Uma política de acesso aos dados do OpenSearch Serviço que define quem pode acessar os dados na coleção.
Uma fonte de dados de consulta direta do OpenSearch Service com CloudWatch Logs definidos como a fonte.
Um aplicativo OpenSearch de serviço com o nomeaws-analytics. O aplicativo será configurado para permitir a criação de um espaço de trabalho. Se já existir um aplicativo chamado aws-analytics, ele será atualizado para adicionar essa coleção como fonte de dados.
Uma área de trabalho de OpenSearch serviço que hospedará os painéis e permitirá que todos que tenham acesso leiam a partir da área de trabalho.

Permissões obrigatórias

Para criar a integração, você precisa estar conectado a uma conta que tenha a política CloudWatchOpenSearchDashboardsFullAccessgerenciada do IAM ou permissões equivalentes, mostradas aqui. Você também deve ter essas permissões para excluir a integração, criar, editar e excluir painéis e atualizar o painel manualmente.

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Sid": "CloudWatchOpenSearchDashboardsIntegration",
            "Effect": "Allow",
            "Action": [
                "logs:ListIntegrations",
                "logs:GetIntegration",
                "logs:DeleteIntegration",
                "logs:PutIntegration",
                "logs:DescribeLogGroups",
                "opensearch:ApplicationAccessAll",
                "iam:ListRoles",
                "iam:ListUsers"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CloudWatchLogsOpensearchReadAPIs",
            "Effect": "Allow",
            "Action": [
                "aoss:BatchGetCollection",
                "aoss:BatchGetLifecyclePolicy",
                "es:ListApplications"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaFirst": "logs.amazonaws.com"
                }
            }
        },
        {
            "Sid": "CloudWatchLogsOpensearchCreateServiceLinkedAccess",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "opensearchservice.amazonaws.com",
                    "aws:CalledViaFirst": "logs.amazonaws.com"
                }
            }
        },
        {
            "Sid": "CloudWatchLogsObservabilityCreateServiceLinkedAccess",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/observability.aoss.amazonaws.com/AWSServiceRoleForAmazonOpenSearchServerless",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "observability.aoss.amazonaws.com",
                    "aws:CalledViaFirst": "logs.amazonaws.com"
                }
            }
        },
        {
            "Sid": "CloudWatchLogsCollectionRequestAccess",
            "Effect": "Allow",
            "Action": [
                "aoss:CreateCollection"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaFirst": "logs.amazonaws.com",
                    "aws:RequestTag/CloudWatchOpenSearchIntegration": [
                        "Dashboards"
                    ]
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "CloudWatchOpenSearchIntegration"
                }
            }
        },
        {
            "Sid": "CloudWatchLogsApplicationRequestAccess",
            "Effect": "Allow",
            "Action": [
                "es:CreateApplication"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaFirst": "logs.amazonaws.com",
                    "aws:RequestTag/OpenSearchIntegration": [
                        "Dashboards"
                    ]
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "OpenSearchIntegration"
                }
            }
        },
        {
            "Sid": "CloudWatchLogsCollectionResourceAccess",
            "Effect": "Allow",
            "Action": [
                "aoss:DeleteCollection"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaFirst": "logs.amazonaws.com",
                    "aws:ResourceTag/CloudWatchOpenSearchIntegration": [
                        "Dashboards"
                    ]
                }
            }
        },
        {
            "Sid": "CloudWatchLogsApplicationResourceAccess",
            "Effect": "Allow",
            "Action": [
                "es:UpdateApplication",
                "es:GetApplication"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaFirst": "logs.amazonaws.com",
                    "aws:ResourceTag/OpenSearchIntegration": [
                        "Dashboards"
                    ]
                }
            }
        },
        {
            "Sid": "CloudWatchLogsCollectionPolicyAccess",
            "Effect": "Allow",
            "Action": [
                "aoss:CreateSecurityPolicy",
                "aoss:CreateAccessPolicy",
                "aoss:DeleteAccessPolicy",
                "aoss:DeleteSecurityPolicy",
                "aoss:GetAccessPolicy",
                "aoss:GetSecurityPolicy"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aoss:collection": "cloudwatch-logs-*",
                    "aws:CalledViaFirst": "logs.amazonaws.com"
                }
            }
        },
        {
            "Sid": "CloudWatchLogsAPIAccessAll",
            "Effect": "Allow",
            "Action": [
                "aoss:APIAccessAll"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aoss:collection": "cloudwatch-logs-*"
                }
            }
        },
        {
            "Sid": "CloudWatchLogsIndexPolicyAccess",
            "Effect": "Allow",
            "Action": [
                "aoss:CreateAccessPolicy",
                "aoss:DeleteAccessPolicy",
                "aoss:GetAccessPolicy",
                "aoss:CreateLifecyclePolicy",
                "aoss:DeleteLifecyclePolicy"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aoss:index": "cloudwatch-logs-*",
                    "aws:CalledViaFirst": "logs.amazonaws.com"
                }
            }
        },
        {
            "Sid": "CloudWatchLogsDQSRequestQueryAccess",
            "Effect": "Allow",
            "Action": [
                "es:AddDirectQueryDataSource"
            ],
            "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaFirst": "logs.amazonaws.com",
                    "aws:RequestTag/CloudWatchOpenSearchIntegration": [
                        "Dashboards"
                    ]
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "CloudWatchOpenSearchIntegration"
                }
            }
        },
        {
            "Sid": "CloudWatchLogsStartDirectQueryAccess",
            "Effect": "Allow",
            "Action": [
                "opensearch:StartDirectQuery",
                "opensearch:GetDirectQuery"
            ],
            "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*"
        },
        {
            "Sid": "CloudWatchLogsDQSResourceQueryAccess",
            "Effect": "Allow",
            "Action": [
                "es:GetDirectQueryDataSource",
                "es:DeleteDirectQueryDataSource"
            ],
            "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaFirst": "logs.amazonaws.com",
                    "aws:ResourceTag/CloudWatchOpenSearchIntegration": [
                        "Dashboards"
                    ]
                }
            }
        },
        {
            "Sid": "CloudWatchLogsPassRoleAccess",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "directquery.opensearchservice.amazonaws.com",
                    "aws:CalledViaFirst": "logs.amazonaws.com"
                }
            }
        },
        {
            "Sid": "CloudWatchLogsAossTagsAccess",
            "Effect": "Allow",
            "Action": [
                "aoss:TagResource"
            ],
            "Resource": "arn:aws:aoss:*:*:collection/*",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaFirst": "logs.amazonaws.com",
                    "aws:ResourceTag/CloudWatchOpenSearchIntegration": [
                        "Dashboards"
                    ]
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "CloudWatchOpenSearchIntegration"
                }
            }
        },
        {
            "Sid": "CloudWatchLogsEsApplicationTagsAccess",
            "Effect": "Allow",
            "Action": [
                "es:AddTags"
            ],
            "Resource": "arn:aws:opensearch:*:*:application/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/OpenSearchIntegration": [
                        "Dashboards"
                    ],
                    "aws:CalledViaFirst": "logs.amazonaws.com"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "OpenSearchIntegration"
                }
            }
        },
        {
            "Sid": "CloudWatchLogsEsDataSourceTagsAccess",
            "Effect": "Allow",
            "Action": [
                "es:AddTags"
            ],
            "Resource": "arn:aws:opensearch:*:*:datasource/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/CloudWatchOpenSearchIntegration": [
                        "Dashboards"
                    ],
                    "aws:CalledViaFirst": "logs.amazonaws.com"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "CloudWatchOpenSearchIntegration"
                }
            }
        }
    ]
}

Crie a integração

Use essas etapas para criar a integração.

Para integrar o CloudWatch Logs com Amazon OpenSearch Service

Abra o CloudWatch console em https://console.aws.amazon.com/cloudwatch/.
No painel de navegação esquerdo, escolha Logs Insights e, em seguida, escolha a OpenSearch guia Analisar com.
Selecione Habilitar integração.
Em Nome da integração, insira um nome para a integração.
(Opcional) Para criptografar os dados gravados no OpenSearch Service Serverless, insira o ARN da AWS KMS chave que você deseja usar no ARN da chave KMS. Para obter mais informações, consulte Criptografia em repouso no Amazon OpenSearch Service Developer Guide.
Em Retenção de dados, insira por quanto tempo você deseja que os índices OpenSearch de dados do serviço sejam retidos. Isso também define o período máximo em que é possível visualizar os dados nos painéis. A escolha de um período de retenção de dados mais longo incorrerá em custos adicionais de pesquisa e indexação. Para obter mais informações, consulte OpenSearch Service Serverless Pricing.

O período máximo de retenção é de 30 dias.

A duração da retenção de dados também será usada para criar a política de ciclo de vida da coleta de OpenSearch serviços.
Para a função do IAM para gravação na OpenSearch coleção, crie uma nova função do IAM ou selecione uma função do IAM existente a ser usada para gravar na coleção OpenSearch de serviços.

Criar um novo perfil é o método mais simples, e ele será criado com as permissões necessárias.

nota
Se você criar um perfil, ele terá permissões para ler todos os grupos de logs na conta.

Se você quiser selecionar um perfil existente, ele deverá ter as permissões listadas em Permissões que a integração precisa. Como alternativa, você pode escolher Utilizar um perfil existente e, na seção Verificar permissões de acesso do perfil selecionado, você pode escolher Criar perfil. Dessa forma, você pode usar as permissões listadas em Permissões que a integração precisa como modelo e modificá-las. Por exemplo, se você quiser especificar um controle mais refinado de grupos de logs.
Para perfis do IAM e usuários que podem visualizar painéis, você seleciona como deseja conceder acesso aos perfis e usuários do IAM para acessarem o painel de logs fornecidos:
- Para limitar o acesso ao painel a apenas alguns usuários, escolha Selecionar perfis do IAM e usuários que podem visualizar os painéis e, na caixa de texto, pesquise e selecione os perfis e usuários do IAM aos quais você deseja conceder acesso.
- Para conceder acesso ao painel a todos os usuários, escolha Permitir que todos os perfis e usuários desta conta visualizem os painéis.
  
  Importante
  Selecionar funções ou usuários, ou escolher todos os usuários, apenas os adiciona à política de acesso a dados necessária para acessar a coleção OpenSearch de serviços que armazena os dados do painel. Para que eles possam visualizar os painéis de logs fornecidos, você também deve conceder a esses perfis e usuários a política CloudWatchOpenSearchDashboardAccess gerenciada do IAM.
Selecione Criar integração.

A criação da integração demora alguns minutos.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Analise com o Amazon OpenSearch Service

Etapa 2: criar painéis de logs fornecidos

Etapa 1: criar a integração com o OpenSearch serviço

Tópicos

Permissões obrigatórias

Crie a integração

Para integrar o CloudWatch Logs com Amazon OpenSearch Service

nota

Importante