As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Etapa 1: criar a integração com o OpenSearch serviço
A primeira etapa é criar a integração com o OpenSearch Service, que você precisa fazer apenas uma vez. A criação da integração criará os seguintes recursos em sua conta.
-
Uma coleção de séries OpenSearch Service temporais sem alta disponibilidade.
Uma coleção é um conjunto de índices de OpenSearch serviços que trabalham juntos para suportar uma carga de trabalho.
-
Duas políticas de segurança para a coleção. Um define o tipo de criptografia, que é com uma AWS KMS chave gerenciada pelo cliente ou com uma chave de propriedade do serviço. A outra política define o acesso à rede, permitindo que o aplicativo de OpenSearch serviço acesse a coleção. Para obter mais informações, consulte Criptografia de dados em repouso para o Amazon OpenSearch Service.
-
Uma política de acesso aos dados do OpenSearch Serviço que define quem pode acessar os dados na coleção.
-
Uma fonte de dados de consulta direta do OpenSearch Service com CloudWatch Logs definidos como a fonte.
-
Um aplicativo OpenSearch de serviço com o nome
aws-analytics. O aplicativo será configurado para permitir a criação de um espaço de trabalho. Se um aplicativo chamadoaws-analyticsjá existir, ele será atualizado para adicionar essa coleção como fonte de dados. -
Uma área de trabalho de OpenSearch serviço que hospedará os painéis e permitirá que todos que tenham acesso leiam a partir da área de trabalho.
Permissões obrigatórias
Para criar a integração, você deve estar conectado a uma conta que tenha a política CloudWatchOpenSearchDashboardsFullAccessgerenciada do IAM ou permissões equivalentes, mostradas aqui. Você também deve ter essas permissões para excluir a integração, criar, editar e excluir painéis e atualizar o painel manualmente.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "CloudWatchOpenSearchDashboardsIntegration", "Effect": "Allow", "Action": [ "logs:ListIntegrations", "logs:GetIntegration", "logs:DeleteIntegration", "logs:PutIntegration", "logs:DescribeLogGroups", "opensearch:ApplicationAccessAll", "iam:ListRoles", "iam:ListUsers" ], "Resource": "*" }, { "Sid": "CloudWatchLogsOpensearchReadAPIs", "Effect": "Allow", "Action": [ "aoss:BatchGetCollection", "aoss:BatchGetLifecyclePolicy", "es:ListApplications" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsOpensearchCreateServiceLinkedAccess", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService", "Condition": { "StringEquals": { "iam:AWSServiceName": "opensearchservice.amazonaws.com", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsObservabilityCreateServiceLinkedAccess", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/observability.aoss.amazonaws.com/AWSServiceRoleForAmazonOpenSearchServerless", "Condition": { "StringEquals": { "iam:AWSServiceName": "observability.aoss.amazonaws.com", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsCollectionRequestAccess", "Effect": "Allow", "Action": [ "aoss:CreateCollection" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:RequestTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsApplicationRequestAccess", "Effect": "Allow", "Action": [ "es:CreateApplication" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:RequestTag/OpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "OpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsCollectionResourceAccess", "Effect": "Allow", "Action": [ "aoss:DeleteCollection" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsApplicationResourceAccess", "Effect": "Allow", "Action": [ "es:UpdateApplication", "es:GetApplication" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/OpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsCollectionPolicyAccess", "Effect": "Allow", "Action": [ "aoss:CreateSecurityPolicy", "aoss:CreateAccessPolicy", "aoss:DeleteAccessPolicy", "aoss:DeleteSecurityPolicy", "aoss:GetAccessPolicy", "aoss:GetSecurityPolicy" ], "Resource": "*", "Condition": { "StringLike": { "aoss:collection": "cloudwatch-logs-*", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsAPIAccessAll", "Effect": "Allow", "Action": [ "aoss:APIAccessAll" ], "Resource": "*", "Condition": { "StringLike": { "aoss:collection": "cloudwatch-logs-*" } } }, { "Sid": "CloudWatchLogsIndexPolicyAccess", "Effect": "Allow", "Action": [ "aoss:CreateAccessPolicy", "aoss:DeleteAccessPolicy", "aoss:GetAccessPolicy", "aoss:CreateLifecyclePolicy", "aoss:DeleteLifecyclePolicy" ], "Resource": "*", "Condition": { "StringLike": { "aoss:index": "cloudwatch-logs-*", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsDQSRequestQueryAccess", "Effect": "Allow", "Action": [ "es:AddDirectQueryDataSource" ], "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:RequestTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsStartDirectQueryAccess", "Effect": "Allow", "Action": [ "opensearch:StartDirectQuery", "opensearch:GetDirectQuery" ], "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*" }, { "Sid": "CloudWatchLogsDQSResourceQueryAccess", "Effect": "Allow", "Action": [ "es:GetDirectQueryDataSource", "es:DeleteDirectQueryDataSource" ], "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsPassRoleAccess", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:PassedToService": "directquery.opensearchservice.amazonaws.com", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsAossTagsAccess", "Effect": "Allow", "Action": [ "aoss:TagResource" ], "Resource": "arn:aws:aoss:*:*:collection/*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsEsApplicationTagsAccess", "Effect": "Allow", "Action": [ "es:AddTags" ], "Resource": "arn:aws:opensearch:*:*:application/*", "Condition": { "StringEquals": { "aws:ResourceTag/OpenSearchIntegration": [ "Dashboards" ], "aws:CalledViaFirst": "logs.amazonaws.com" }, "ForAllValues:StringEquals": { "aws:TagKeys": "OpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsEsDataSourceTagsAccess", "Effect": "Allow", "Action": [ "es:AddTags" ], "Resource": "arn:aws:opensearch:*:*:datasource/*", "Condition": { "StringEquals": { "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ], "aws:CalledViaFirst": "logs.amazonaws.com" }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } } ] }
Crie a integração
Use essas etapas para criar a integração.
Para integrar o CloudWatch Logs com Amazon OpenSearch Service
Abra o CloudWatch console em https://console.aws.amazon.com/cloudwatch/
. -
No painel de navegação esquerdo, escolha Logs Insights e, em seguida, escolha a OpenSearch guia Analisar com.
-
Selecione Habilitar integração.
-
Em Nome da integração, insira um nome para a integração.
-
(Opcional) Para criptografar os dados gravados no OpenSearch Service Serverless, insira o ARN da AWS KMS chave que você deseja usar no ARN da chave KMS. Para obter mais informações, consulte Criptografia em repouso no Amazon OpenSearch Service Developer Guide.
-
Em Retenção de dados, insira por quanto tempo você deseja que os índices OpenSearch de dados do serviço sejam retidos. Isso também define o período máximo durante o qual você pode visualizar os dados nos painéis. A escolha de um período de retenção de dados mais longo incorrerá em custos adicionais de pesquisa e indexação. Para obter mais informações, consulte OpenSearch Service Serverless
Pricing. O período máximo de retenção é de 30 dias.
A duração da retenção de dados também será usada para criar a política de ciclo de vida da coleta de OpenSearch serviços.
-
Para a função do IAM para gravação na OpenSearch coleção, crie uma nova função do IAM ou selecione uma função do IAM existente a ser usada para gravar na coleção OpenSearch de serviços.
Criar uma nova função é o método mais simples, e a função será criada com as permissões necessárias.
nota
Se você criar uma função, ela terá permissões para ler todos os grupos de registros na conta.
Se você quiser selecionar uma função existente, ela deverá ter as permissões listadas emPermissões que a integração precisa. Como alternativa, você pode escolher Usar uma função existente e, na seção Verificar permissões de acesso da função selecionada, você pode escolher Criar função. Dessa forma, você pode usar as permissões listadas Permissões que a integração precisa como modelo e modificá-las. Por exemplo, se você quiser especificar um controle mais refinado de grupos de registros.
-
Para funções do IAM e usuários que podem visualizar painéis, você seleciona como deseja conceder acesso às funções do IAM e aos usuários do IAM para acesso ao painel de registros vendidos:
-
Para limitar o acesso ao painel a apenas alguns usuários, escolha Selecionar funções do IAM e usuários que podem visualizar os painéis e, na caixa de texto, pesquise e selecione as funções do IAM e os usuários do IAM aos quais você deseja conceder acesso.
-
Para conceder acesso ao painel a todos os usuários, escolha Permitir que todas as funções e usuários desta conta visualizem os painéis.
Importante
Selecionar funções ou usuários, ou escolher todos os usuários, apenas os adiciona à política de acesso a dados necessária para acessar a coleção OpenSearch de serviços que armazena os dados do painel. Para que eles possam visualizar os painéis de registros vendidos, você também deve conceder a essas funções e usuários a política CloudWatchOpenSearchDashboardAccess gerenciada do IAM.
-
-
Escolha Criar integração
A criação da integração levará alguns minutos.
