As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Etapa 1: criar a integração com o OpenSearch serviço
A primeira etapa é criar a integração com o OpenSearch Service, que você precisa fazer apenas uma vez. Fazer a integração criará os seguintes recursos na sua conta.
+ **[Uma coleção de séries OpenSearch Service temporais](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-collections.html)** sem alta disponibilidade.
Uma coleção é um conjunto de *índices* de OpenSearch serviços que trabalham juntos para dar suporte a uma carga de trabalho.
+ **Duas políticas de segurança** para a coleção. Um define o tipo de criptografia, que é com uma AWS KMS chave gerenciada pelo cliente ou com uma chave de propriedade do serviço. A outra política define o acesso à rede, permitindo que o aplicativo de OpenSearch serviço acesse a coleção. Para obter mais informações, consulte [Criptografia de dados em repouso para o Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html).
+ **[Uma política de acesso aos dados do OpenSearch Serviço](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html)** que define quem pode acessar os dados na coleção.
+ **[Uma fonte de dados de consulta direta do OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/direct-query-s3.html)** com CloudWatch Logs definidos como a fonte.
+ **[Um aplicativo OpenSearch de serviço](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/application.html)** com o nome`aws-analytics`. O aplicativo será configurado para permitir a criação de um espaço de trabalho. Se já existir um aplicativo chamado `aws-analytics`, ele será atualizado para adicionar essa coleção como fonte de dados.
+ **[Uma área de trabalho de OpenSearch serviço](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/application.html)** que hospedará os painéis e permitirá que todos que tenham acesso leiam a partir da área de trabalho.
**Topics**
+ [Permissões obrigatórias](#OpenSearch-Dashboards-Perms)
+ [Crie a integração](#OpenSearch-Dashboards-Procedure)
## Permissões obrigatórias
Para criar a integração, você deve estar conectado a uma conta que tenha a política **CloudWatchOpenSearchDashboardsFullAccess**gerenciada do IAM ou permissões equivalentes, mostradas aqui. Você também deve ter essas permissões para excluir a integração, criar, editar e excluir painéis e atualizar o painel manualmente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "CloudWatchOpenSearchDashboardsIntegration",
"Effect": "Allow",
"Action": [
"logs:ListIntegrations",
"logs:GetIntegration",
"logs:DeleteIntegration",
"logs:PutIntegration",
"logs:DescribeLogGroups",
"opensearch:ApplicationAccessAll",
"iam:ListRoles",
"iam:ListUsers"
],
"Resource": "*"
},
{
"Sid": "CloudWatchLogsOpensearchReadAPIs",
"Effect": "Allow",
"Action": [
"aoss:BatchGetCollection",
"aoss:BatchGetLifecyclePolicy",
"es:ListApplications"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsOpensearchCreateServiceLinkedAccess",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "opensearchservice.amazonaws.com",
"aws:CalledViaFirst": "logs.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsObservabilityCreateServiceLinkedAccess",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/observability.aoss.amazonaws.com/AWSServiceRoleForAmazonOpenSearchServerless",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "observability.aoss.amazonaws.com",
"aws:CalledViaFirst": "logs.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsCollectionRequestAccess",
"Effect": "Allow",
"Action": [
"aoss:CreateCollection"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:RequestTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "CloudWatchOpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsApplicationRequestAccess",
"Effect": "Allow",
"Action": [
"es:CreateApplication"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:RequestTag/OpenSearchIntegration": [
"Dashboards"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "OpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsCollectionResourceAccess",
"Effect": "Allow",
"Action": [
"aoss:DeleteCollection"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:ResourceTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
}
}
},
{
"Sid": "CloudWatchLogsApplicationResourceAccess",
"Effect": "Allow",
"Action": [
"es:UpdateApplication",
"es:GetApplication"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:ResourceTag/OpenSearchIntegration": [
"Dashboards"
]
}
}
},
{
"Sid": "CloudWatchLogsCollectionPolicyAccess",
"Effect": "Allow",
"Action": [
"aoss:CreateSecurityPolicy",
"aoss:CreateAccessPolicy",
"aoss:DeleteAccessPolicy",
"aoss:DeleteSecurityPolicy",
"aoss:GetAccessPolicy",
"aoss:GetSecurityPolicy"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aoss:collection": "cloudwatch-logs-*",
"aws:CalledViaFirst": "logs.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsAPIAccessAll",
"Effect": "Allow",
"Action": [
"aoss:APIAccessAll"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aoss:collection": "cloudwatch-logs-*"
}
}
},
{
"Sid": "CloudWatchLogsIndexPolicyAccess",
"Effect": "Allow",
"Action": [
"aoss:CreateAccessPolicy",
"aoss:DeleteAccessPolicy",
"aoss:GetAccessPolicy",
"aoss:CreateLifecyclePolicy",
"aoss:DeleteLifecyclePolicy"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aoss:index": "cloudwatch-logs-*",
"aws:CalledViaFirst": "logs.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsDQSRequestQueryAccess",
"Effect": "Allow",
"Action": [
"es:AddDirectQueryDataSource"
],
"Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:RequestTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "CloudWatchOpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsStartDirectQueryAccess",
"Effect": "Allow",
"Action": [
"opensearch:StartDirectQuery",
"opensearch:GetDirectQuery"
],
"Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*"
},
{
"Sid": "CloudWatchLogsDQSResourceQueryAccess",
"Effect": "Allow",
"Action": [
"es:GetDirectQueryDataSource",
"es:DeleteDirectQueryDataSource"
],
"Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:ResourceTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
}
}
},
{
"Sid": "CloudWatchLogsPassRoleAccess",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:PassedToService": "directquery.opensearchservice.amazonaws.com",
"aws:CalledViaFirst": "logs.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsAossTagsAccess",
"Effect": "Allow",
"Action": [
"aoss:TagResource"
],
"Resource": "arn:aws:aoss:*:*:collection/*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:ResourceTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "CloudWatchOpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsEsApplicationTagsAccess",
"Effect": "Allow",
"Action": [
"es:AddTags"
],
"Resource": "arn:aws:opensearch:*:*:application/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/OpenSearchIntegration": [
"Dashboards"
],
"aws:CalledViaFirst": "logs.amazonaws.com"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "OpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsEsDataSourceTagsAccess",
"Effect": "Allow",
"Action": [
"es:AddTags"
],
"Resource": "arn:aws:opensearch:*:*:datasource/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
],
"aws:CalledViaFirst": "logs.amazonaws.com"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "CloudWatchOpenSearchIntegration"
}
}
}
]
}
```
------
## Crie a integração
Use essas etapas para criar a integração.
**Para integrar o CloudWatch Logs com Amazon OpenSearch Service**
1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação esquerdo, escolha **Logs Insights** e, em seguida, escolha a OpenSearch guia **Analisar com**.
1. Selecione **Habilitar integração**.
1. Em **Nome da integração**, insira um nome para a integração.
1. **(Opcional) Para criptografar os dados gravados no OpenSearch Service Serverless, insira o ARN da AWS KMS chave que você deseja usar no ARN da chave KMS.** Para obter mais informações, consulte [Criptografia em repouso](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-encryption.html) no Amazon OpenSearch Service Developer Guide.
1. Em **Retenção de dados**, insira por quanto tempo você deseja que os índices OpenSearch de dados do serviço sejam retidos. Isso também define o período máximo em que é possível visualizar os dados nos painéis. A escolha de um período de retenção de dados mais longo incorrerá em custos adicionais de pesquisa e indexação. Para obter mais informações, consulte [OpenSearch Service Serverless](https://aws.amazon.com/opensearch-service/pricing/) Pricing.
O período máximo de retenção é de 30 dias.
A duração da retenção de dados também será usada para criar a política de ciclo de vida da coleta de OpenSearch serviços.
1. Para a **função do IAM para gravação na OpenSearch coleção**, crie uma nova função do IAM ou selecione uma função do IAM existente a ser usada para gravar na coleção OpenSearch de serviços.
Criar um novo perfil é o método mais simples, e ele será criado com as permissões necessárias.
**nota**
Se você criar um perfil, ele terá permissões para ler todos os grupos de logs na conta.
Se você quiser selecionar um perfil existente, ele deverá ter as permissões listadas em [Permissões que a integração precisa](OpenSearch-Dashboards-CreateRole.md). Como alternativa, você pode escolher **Utilizar um perfil existente** e, na seção **Verificar permissões de acesso do perfil selecionado**, você pode escolher **Criar perfil**. Dessa forma, você pode usar as permissões listadas em [Permissões que a integração precisa](OpenSearch-Dashboards-CreateRole.md) como modelo e modificá-las. Por exemplo, se você quiser especificar um controle mais refinado de grupos de logs.
1. Para **perfis do IAM e usuários que podem visualizar painéis**, você seleciona como deseja conceder acesso aos perfis e usuários do IAM para acessarem o painel de logs fornecidos:
+ Para limitar o acesso ao painel a apenas alguns usuários, escolha **Selecionar perfis do IAM e usuários que podem visualizar os painéis** e, na caixa de texto, pesquise e selecione os perfis e usuários do IAM aos quais você deseja conceder acesso.
+ Para conceder acesso ao painel a todos os usuários, escolha **Permitir que todos os perfis e usuários desta conta visualizem os painéis**.
**Importante**
Selecionar funções ou usuários, ou escolher todos os usuários, apenas os adiciona à [política de acesso a dados](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html) necessária para acessar a coleção OpenSearch de serviços que armazena os dados do painel. **Para que eles possam visualizar os painéis de logs fornecidos, você também deve conceder a esses perfis e usuários a política [CloudWatchOpenSearchDashboardAccess](iam-identity-based-access-control-cwl.md#managed-policies-cwl-CloudWatchOpenSearchDashboardAccess) gerenciada do IAM.**
1. Selecione **Criar integração**.
A criação da integração demora alguns minutos.