Introdução à interface de usuário do OpenSearch no Amazon OpenSearch Service
No Amazon OpenSearch Service, uma aplicação é uma instância da interface de usuário do OpenSearch (OpenSearch UI). Cada aplicação pode ser associado a várias fontes de dados, e uma única fonte pode ser associada a vários aplicações. Você pode criar várias aplicações para diferentes administradores usando diferentes opções de autenticação compatíveis.
Use as informações deste tópico para guiá-lo pelo processo de criação de uma aplicação da OpenSearch UI usando o Console de gerenciamento da AWS ou a AWS CLI.
Tópicos
Permissões necessárias para criar aplicações do Amazon OpenSearch Service
Antes de criar uma aplicação, verifique se você recebeu as permissões necessárias para a tarefa. Entre em contato com um administrador da conta para obter ajuda, se necessário.
Permissões gerais
Para trabalhar com aplicações no OpenSearch Service, você precisa das permissões mostradas na política a seguir. As permissões atendem às seguintes finalidades:
-
As cinco permissões de
es:*Applicationsão necessárias para criar e gerenciar uma aplicação. -
As três permissões de
es:*Tagssão necessárias para adicionar, listar e remover tags da aplicação. -
As permissões de
aoss:BatchGetCollection,es:DescribeDomainees:GetDirectQueryDataSourcesão necessárias para associar fontes de dados. -
As permissões
opensearch:*DirectQuery*aoss:APIAccessAll,es:ESHttp*e 4 são necessárias para associar fontes de dados. -
O
iam:CreateServiceLinkedRolefornece permissão ao Amazon OpenSearch Service para criar um perfil vinculado ao serviço (SLR) em sua conta. Esse perfil é usado e possibilita que a aplicação da OpenSearch UI publique métricas do Amazon CloudWatch em sua conta. Para obter mais informações, consulte Permissões no tópico Uso de perfis vinculados ao serviço para criar domínios de VPC e fontes de dados de consulta direta.
Permissões para criar uma aplicação que usa a autenticação do IAM Identity Center (opcional)
Por padrão, os aplicações de painel são autenticados usando o AWS Identity and Access Management (IAM) para gerenciar permissões para usuários de recursos da AWS. Porém, você pode escolher fornecer uma experiência de login único com o IAM Identity Center, que permite usar seus provedores de identidades existentes para fazer login nas aplicações da OpenSearch UI. Nesse caso, você selecionará a opção Autenticação com o IAM Identity Center no procedimento mais adiante neste tópico e concederá aos usuários do IAM Identity Center as permissões necessárias para acessar a aplicação da OpenSearch UI.
Para criar uma aplicação que use a autenticação do IAM Identity Center, você precisará das permissões a seguir. Substitua os valores de espaço reservado por suas próprias informações. Entre em contato com um administrador da conta para obter ajuda, se necessário.
Criar uma aplicação da OpenSearch UI
Crie uma aplicação que especifique o nome da aplicação, o método de autenticação e os administradores usando um dos procedimentos a seguir.
Tópicos
Criar uma aplicação da OpenSearch UI que use a autenticação do IAM no console
Para criar uma aplicação da OpenSearch UI que use a autenticação do IAM no console
-
Faça login no console do Amazon OpenSearch Service em https://console.aws.amazon.com/aos/home
. -
No OpenSearch Dashboards, abra o menu de navegação à esquerda e escolha OpenSearch UI (Dashboards).
-
Selecione Criar aplicativo.
-
Em Nome da aplicação, insira um nome para a aplicação.
-
Não marque a caixa de seleção Autenticação com o IAM Identity Center. Para obter informações sobre a criação de uma aplicação com autenticação por meio do AWS IAM Identity Center, consulte Criar uma aplicação da OpenSearch UI que use a autenticação do AWS IAM Identity Center no console mais adiante neste tópico.
-
(Opcional) Você é automaticamente adicionado como administrador da aplicação sendo criada. Na área Gerenciamento de administradores de aplicação do OpenSearch, você pode conceder permissões de administrador a outros usuários.
nota
O perfil de administrador da aplicação da OpenSearch UI concede permissões para editar e excluir uma aplicação da OpenSearch UI. Os administradores da aplicação também podem criar, editar e excluir espaços de trabalho em uma aplicação da OpenSearch UI.
Para conceder permissões de administrador a outros usuários, selecione uma das opções a seguir:
-
Conceder permissão de administrador a usuários específicos: no campo Administradores de aplicação do OpenSearch, na lista pop-up Propriedades, selecione Usuários do IAM ou
usuários do AWS IAM Identity Center e depois escolha os usuários individuais aos quais conceder permissões de administrador.
-
Conceder permissão de administrador a todos os usuários: todos os usuários da sua organização ou conta recebem permissões de administrador.
-
-
(Opcional) Na área Tags, aplique um ou mais pares nome/valor de chave de tag na aplicação.
Tags são metadados opcionais que você atribui a um recurso. As tags permitem categorizar um recurso de diferentes formas, como por finalidade, proprietário ou ambiente.
-
Escolha Criar.
Criar uma aplicação da OpenSearch UI que use a autenticação do AWS IAM Identity Center no console
Para criar uma aplicação da OpenSearch UI que use autenticação do AWS IAM Identity Center, você deve ter as permissões do IAM descritas anteriormente neste tópico em Permissões para criar uma aplicação que usa a autenticação do IAM Identity Center (opcional).
Para criar uma aplicação da OpenSearch UI que use a autenticação do AWS IAM Identity Center no console
-
Faça login no console do Amazon OpenSearch Service em https://console.aws.amazon.com/aos/home
. -
No OpenSearch Dashboards, abra o menu de navegação à esquerda e escolha OpenSearch UI (Dashboards).
-
Selecione Criar aplicativo.
-
Em Nome da aplicação, insira um nome para a aplicação.
-
(Opcional) Para habilitar o login único para a sua organização ou conta, faça o seguinte:
-
Marque a caixa de seleção Autenticação com o IAM Identity Center, conforme mostrado na seguinte imagem:
-
Execute um destes procedimentos:
-
Na lista Perfil do IAM para aplicação da Identity Center, escolha um perfil existente do IAM que forneça as permissões necessárias para o IAM Identity Center acessar a OpenSearch UI e as fontes de dados associadas. Consulte as políticas no próximo tópico para ver as permissões que o perfil deve ter.
-
Crie um perfil do IAM com as permissões necessárias. Use os procedimentos a seguir no Guia do usuário do IAM com as opções especificadas para criar uma novo perfil e com a política de permissão e a política de confiança necessárias.
-
Procedimento: criar políticas do IAM (console)
Ao seguir as etapas deste procedimento, cole a seguinte política no campo JSON do editor de políticas:
-
Procedimento: criar um perfil usando políticas de confiança personalizadas
Ao seguir as etapas desse procedimento, substitua o espaço reservado JSON na caixa Política de confiança personalizada pelo seguinte:
dica
Se você estiver adicionando a política de confiança a um perfil existente, adicione a política na guia Relação de confiança do perfil.
-
-
-
Se uma instância do IAM Identity Center já tiver sido criada em sua organização ou conta, o console informa que o Amazon OpenSearch Dashboards já está conectado a uma instância organizacional do IAM Identity Center, conforme mostrado na imagem a seguir.
Se o IAM Identity Center ainda não estiver disponível em sua organização ou conta, você ou um administrador com as permissões necessárias poderão criar uma instância da organização ou instância da conta. A área Conectar o Amazon OpenSearch Dashboards ao IAM Identity Center fornece opções para ambos, conforme mostrado na seguinte imagem:
Nesse caso, você pode criar uma instância de conta no IAM Identity Center para teste ou solicitar que um administrador crie uma instância organizacional no IAM Identity Center. Para obter mais informações, consulte os seguintes tópicos no Manual do usuário do AWS IAM Identity Center:
nota
Atualmente, os aplicações da OpenSearch UI podem ser criadas apenas na mesma Região da AWS que a instância organizacional do IAM Identity Center. Para obter informações sobre como acessar fontes de dados nessa região depois de criar a aplicação, consulte Acesso a dados entre regiões e entre contas com pesquisa entre clusters.
-
-
(Opcional) Você é automaticamente adicionado como administrador da aplicação sendo criada. Na área de Gerenciamento de administradores de aplicação do OpenSearch, você pode conceder permissões de administrador a outros usuários, conforme mostrado na seguinte imagem:
nota
O perfil de administrador da aplicação da OpenSearch UI concede permissões para editar e excluir uma aplicação da OpenSearch UI. Os administradores da aplicação também podem criar, editar e excluir espaços de trabalho em uma aplicação da OpenSearch UI.
Para conceder permissões de administrador a outros usuários, selecione uma das opções a seguir:
-
Conceder permissão de administrador a usuários específicos: no campo Administradores de aplicação do OpenSearch, na lista pop-up Propriedades, selecione Usuários do IAM ou
usuários do AWS IAM Identity Center e depois escolha os usuários individuais aos quais conceder permissões de administrador.
-
Conceder permissão de administrador a todos os usuários: todos os usuários da sua organização ou conta recebem permissões de administrador.
-
-
(Opcional) Na área Tags, aplique um ou mais pares nome/valor de chave de tag na aplicação.
Tags são metadados opcionais que você atribui a um recurso. As tags permitem categorizar um recurso de diferentes formas, como por finalidade, proprietário ou ambiente.
-
Escolha Criar.
Criar uma aplicação da OpenSearch UI que use a autenticação do AWS IAM Identity Center usando a AWS CLI
Para criar uma aplicação da OpenSearch UI que use a autenticação do AWS IAM Identity Center usando o AWS CLI, use o comando create-application com as seguintes opções:
-
--name: o nome da aplicação. -
--iam-identity-center-options: (opcional) a instância do IAM Identity Center e o perfil do IAM que o OpenSearch usará para autenticação e controle de acesso.
Substitua os valores de espaço reservado por suas próprias informações.
aws opensearch create-application \ --nameapplication-name\ --iam-identity-center-options " { \"enabled\":true, \"iamIdentityCenterInstanceArn\":\"arn:aws:sso:::instance/sso-instance\", \"iamRoleForIdentityCenterApplicationArn\":\"arn:aws:iam::account-id:role/role-name\" } "
Gerenciar administradores de aplicação
Um administrador da aplicação da OpenSearch UI tem um perfil definido com permissão para editar e excluir uma aplicação da OpenSearch UI.
Por padrão, como criador de uma aplicação da OpenSearch UI, você é o primeiro administrador da aplicação da OpenSearch UI.
Gerenciar administradores da OpenSearch UI usando o console
Você pode adicionar mais administradores a uma aplicação da iOpenSearch UI no Console de gerenciamento da AWS, durante o fluxo de trabalho de criação da aplicação ou na página Editar após a criação da aplicação.
O perfil de administrador da aplicação da OpenSearch UI concede permissões para editar e excluir uma aplicação da OpenSearch UI. Os administradores da aplicação também podem criar, editar e excluir espaços de trabalho em uma aplicação da OpenSearch UI.
Em uma página de detalhes da aplicação, você pode pesquisar nome do recurso da Amazon (ARN) de uma entidade principal do IAM ou pesquisar o nome do usuário do IAM Identity Center.
Para gerenciar administradores da OpenSearch UI usando o console
-
Faça login no console do Amazon OpenSearch Service em https://console.aws.amazon.com/aos/home
. -
No OpenSearch Dashboards, abra o menu de navegação à esquerda e escolha OpenSearch UI (Dashboards).
-
Na área Aplicações do OpenSearch, escolha o nome de uma aplicação existente.
-
Selecione Edit (Editar).
-
Para conceder permissões de administrador a outros usuários, selecione uma das opções a seguir:
-
Conceder permissão de administrador a usuários específicos: no campo Administradores de aplicação do OpenSearch, na lista pop-up Propriedades, selecione Usuários do IAM ou
usuários do AWS IAM Identity Center e depois escolha os usuários individuais aos quais conceder permissões de administrador.
-
Conceder permissão de administrador a todos os usuários: todos os usuários da sua organização ou conta recebem permissões de administrador.
-
-
Selecione Atualizar.
Você pode remover administradores adicionais, mas cada aplicação da OpenSearch UI deve reter pelo menos um administrador.
Gerenciar administradores da OpenSearch UI usando a AWS CLI
Você pode criar e atualizar administradores da aplicação da OpenSearch UI usando a AWS CLI.
Criar administradores da OpenSearch UI usando a AWS CLI
Veja a seguir exemplos de adição de entidades principas do IAM e usuários do IAM Identity Center como administradores ao criar uma aplicação da OpenSearch UI.
Exemplo 1: criar uma aplicação da OpenSearch UI que adicione um usuário do IAM como administrador
Execute o comando a seguir para criar uma aplicação da UI do OpenSearch que adicione um usuário do IAM como administrador. Substitua os valores de espaço reservado por suas próprias informações.
aws opensearch create-application \ --nameapplication-name\ --app-configs " { \"key\":\"opensearchDashboards.dashboardAdmin.users\", \"value\":\"arn:aws:iam::account-id:user/user-id\" } "
Exemplo 2: criar uma aplicação da OpenSearch UI que habilite o IAM Identity Center e adicione um ID de usuário do IAM Identity Center como administrador de aplicação da OpenSearch UI
Execute o comando a seguir para criar uma aplicação da OpenSearch UI que habilite o IAM Identity Center e adicione um ID de usuário do IAM Identity Center como administrador de aplicação da OpenSearch UI. Substitua os valores de espaço reservado por suas próprias informações.
key especifica o item de configuração a ser definido, como o perfil de administrador da aplicação da OpenSearch UI. Os valores válidos são opensearchDashboards.dashboardAdmin.users e opensearchDashboards.dashboardAdmin.groups.
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx representa o valor atribuído à chave, como o nome do recurso da Amazon (ARN) de um usuário do IAM.
aws opensearch create-application \ --name myapplication \ --iam-identity-center-options " { \"enabled\":true, \"iamIdentityCenterInstanceArn\":\"arn:aws:sso:::instance/ssoins-instance-id\", \"iamRoleForIdentityCenterApplicationArn\":\"arn:aws:iam::account-id:role/role-name\" } " \ --app-configs " { \"key\":\"opensearchDashboards.dashboardAdmin.users\", \"value\":\"xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx\" } "
Atualizar administradores da OpenSearch UI usando a AWS CLI
Os exemplos a seguir são de atualização das entidades principais do IAM e dos usuários do IAM Identity Center designados como administradores de uma aplicação existente do OpenSearch.
Exemplo 1: adicionar um usuário do IAM como administrador de uma aplicação existende do OpenSearch
Execute o comando a seguir para atualizar uma aplicação da OpenSearch UI para adicionar um usuário do IAM como administrador. Substitua os valores de espaço reservado por suas próprias informações.
aws opensearch update-application \ --id myapplication \ --app-configs " { \"key\":\"opensearchDashboards.dashboardAdmin.users\", \"value\":\"arn:aws:iam::account-id:user/user-id\" } "
Exemplo 2: atualizar uma aplicação da OpenSearch UI para adicionar um ID de usuário do IAM Identity Center como administrador da aplicação da OpenSearch UI
Execute o comando a seguir para atualizar uma aplicação da OpenSearch UI para adicionar um ID de usuário do IAM Identity Center como administrador da aplicação da OpenSearch UI. Substitua os valores de espaço reservado por suas próprias informações.
key especifica o item de configuração a ser definido, como o perfil de administrador da aplicação da OpenSearch UI. Os valores válidos são opensearchDashboards.dashboardAdmin.users e opensearchDashboards.dashboardAdmin.groups.
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx representa o valor atribuído à chave, como o nome do recurso da Amazon (ARN) de um usuário do IAM.
aws opensearch update-application \ --id myapplication \ --app-configs " { \"key\":\"opensearchDashboards.dashboardAdmin.users\", \"value\":\"xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx\" } "
