开始在 Amazon OpenSearch Service 中使用 OpenSearch 用户界面
在 Amazon OpenSearch Service 中,应用程序是 OpenSearch 用户界面(OpenSearch UI)的实例。每个应用程序可关联多个数据来源,而单个数据来源也可关联多个应用程序。您可以使用不同的受支持身份验证选项,为不同的管理员创建多个应用程序。
使用本主题中的信息,指导您使用 AWS 管理控制台 或 AWS CLI 创建 OpenSearch UI 应用程序的过程。
创建 Amazon OpenSearch Service 应用程序所需的权限
创建应用程序之前,请确认您已获得执行该任务所需的权限。如有需要,请联系账户管理员获取帮助。
通用权限
要在 OpenSearch Service 中使用应用程序,您需要具备以下策略中显示的权限。这些权限可用于以下用途:
-
创建和管理应用程序需要五大
es:*Application权限。 -
在应用程序中添加、列出和删除标签需要三大
es:*Tags权限。 -
关联数据来源需要
aoss:BatchGetCollection、es:DescribeDomain和es:GetDirectQueryDataSource权限。 -
访问数据来源需要
aoss:APIAccessAll、es:ESHttp*以及 4 大opensearch:*DirectQuery*权限。 -
iam:CreateServiceLinkedRole为 Amazon OpenSearch Service 提供在账户中创建服务关联角色(SLR)的权限。使用此角色后,OpenSearch UI 应用程序可在您的账户中发布 Amazon CloudWatch 指标。有关更多信息,请参阅 权限主题中的 使用服务关联角色创建 VPC 域,直接查询数据来源。
创建使用 IAM Identity Centity 身份验证的应用程序的权限(可选)
默认情况下,控制面板应用程序使用 AWS Identity and Access Management(IAM)进行身份验证,以管理 AWS 资源用户的权限。不过,您可以选择使用 IAM Identity Center 提供单点登录体验,该中心允许您使用现有的身份提供程序登录 OpenSearch UI 应用程序。在此情况下,您将在本主题后续步骤中选择使用 IAM Identity Center 进行身份验证选项,然后向 IAM Identity Center 用户授予访问 OpenSearch UI 应用程序所需的权限。
要创建使用 IAM Identity Center 身份验证的应用程序,您需要以下权限。将占位符值替换为您自己的信息。如有需要,请联系账户管理员获取帮助。
创建 OpenSearch UI 应用程序
创建需指定应用程序名称、身份验证方法和管理员的应用程序,可通过以下任一步骤实现。
主题
在控制台中创建使用 IAM 身份验证的 OpenSearch UI 应用程序
在控制台中创建使用 IAM 身份验证的 OpenSearch UI 应用程序
-
登录到位于 https://console.aws.amazon.com/aos/home
的 Amazon OpenSearch Service 控制台。 -
在左侧导航窗格中,然后选择 OpenSearch UI(控制面板)。
-
选择创建应用程序。
-
在应用程序名称中,输入应用程序的名称。
-
请勿选择使用 IAM Identity Center 进行身份验证复选框。有关通过 AWS IAM Identity Center 创建使用身份验证的应用程序的信息,请参阅本主题后续部分 在控制台中创建使用 AWS IAM Identity Center 身份验证的 OpenSearch UI 应用程序。
-
(可选)您创建的应用程序将自动将您添加为管理员。在 OpenSearch 应用程序管理员管理区域中,您可向其他用户授予管理员权限。
注意
OpenSearch UI 应用程序管理员角色授予编辑和删除 OpenSearch UI 应用程序的权限。应用程序管理员还可在 OpenSearch UI 应用程序中创建、编辑和删除工作区。
要向其他用户授予管理员权限,请选择以下任一操作:
-
向特定用户授予管理员权限:在 OpenSearch 应用程序管理员字段的属性弹出列表中,选择 IAM 用户或
AWS IAM Identity Center 用户,然后选择要向其授予管理员权限的单个用户。
-
向所有用户授予管理员权限:将向您组织或账户中的所有用户授予管理员权限。
-
-
(可选)在标签区域,将一个或多个标签键名称/值对应用到应用程序。
标签是您分配给资源的可选元数据。标签可让您按不同的方式(如用途、拥有者或环境)对资源进行分类。
-
选择创建。
在控制台中创建使用 AWS IAM Identity Center 身份验证的 OpenSearch UI 应用程序
要创建使用 AWS IAM Identity Center 身份验证的 OpenSearch UI 应用程序,您必须具备 创建使用 IAM Identity Centity 身份验证的应用程序的权限(可选) 中此主题前面所述的 IAM 权限。
在控制台中创建使用 AWS IAM Identity Center 身份验证的 OpenSearch UI 应用程序
-
登录到位于 https://console.aws.amazon.com/aos/home
的 Amazon OpenSearch Service 控制台。 -
在左侧导航窗格中,然后选择 OpenSearch UI(控制面板)。
-
选择创建应用程序。
-
在应用程序名称中,输入应用程序的名称。
-
(可选)要为组织或账户启用单点登录,请执行以下操作:
-
选择使用 IAM Identity Center 进行身份验证复选框,如下图所示:
-
请执行以下操作之一:
-
在 Identity Center 应用程序的 IAM 角色列表中,选择现有 IAM 角色,该角色为 IAM Identity Center 提供访问 OpenSearch UI 和相关数据来源所需的权限。请参阅下文的策略,了解该角色必须具备的权限。
-
创建具有所需权限的新角色。按照《IAM 用户指南》中的以下步骤,使用指定选项创建新角色,并配置必要的权限策略和信任策略。
-
在执行本流程的步骤时,请将以下策略粘贴到策略编辑器的 JSON 字段中:
-
按照此流程中的步骤进行操作时,将自定义信任策略框中的占位符 JSON 替换为以下内容:
提示
如果要向现有角色添加信任策略,请在该角色的信任关系选项卡上添加该策略。
-
-
-
如果您的组织或账户中已创建 IAM Identity Center 实例,控制台将报告 Amazon OpenSearch 控制面板已连接到 IAM Identity Center 的组织实例,如下图所示。
如果您的组织或账户中还没有 IAM Identity Center,您或具备所需权限的管理员可以创建组织实例或账户实例。将 Amazon OpenSearch 控制面板连接至 IAM Identity Center 区域提供两种选项,如下图所示:
在此情况下,您可以在 IAM Identity Center 中创建账户实例以进行测试,或者请求管理员在 IAM Identity Center 中创建组织实例。有关更多信息,请参阅《AWS IAM Identity Center 用户指南》中的以下主题:
注意
目前,OpenSearch UI 应用程序只能在与 IAM Identity Center 组织实例相同的 AWS 区域 中创建。有关创建应用程序后访问该区域内数据来源的信息,请参阅 通过跨集群搜索实现跨区域和跨账户数据访问。
-
-
(可选)您创建的应用程序将自动将您添加为管理员。在 OpenSearch 应用程序管理员管理区域中,您可向其他用户授予管理员权限,如下图所示:
注意
OpenSearch UI 应用程序管理员角色授予编辑和删除 OpenSearch UI 应用程序的权限。应用程序管理员还可在 OpenSearch UI 应用程序中创建、编辑和删除工作区。
要向其他用户授予管理员权限,请选择以下任一操作:
-
向特定用户授予管理员权限:在 OpenSearch 应用程序管理员字段的属性弹出列表中,选择 IAM 用户或
AWS IAM Identity Center 用户,然后选择要向其授予管理员权限的单个用户。
-
向所有用户授予管理员权限:将向您组织或账户中的所有用户授予管理员权限。
-
-
(可选)在标签区域,将一个或多个标签键名称/值对应用到应用程序。
标签是您分配给资源的可选元数据。标签可让您按不同的方式(如用途、拥有者或环境)对资源进行分类。
-
选择创建。
通过 AWS CLI 创建使用 AWS IAM Identity Center 身份验证的 OpenSearch UI 应用程序
要通过 AWS CLI 创建使用 AWS IAM Identity Center 身份验证的 OpenSearch UI 应用程序,请使用带有以下选项的 create-application 命令:
-
--name:应用程序的名称。 -
--iam-identity-center-options:(可选)OpenSearch 将用于身份验证和访问控制的 IAM Identity Center 实例和 IAM 角色。
将占位符值替换为您自己的信息。
aws opensearch create-application \ --nameapplication-name\ --iam-identity-center-options " { \"enabled\":true, \"iamIdentityCenterInstanceArn\":\"arn:aws:sso:::instance/sso-instance\", \"iamRoleForIdentityCenterApplicationArn\":\"arn:aws:iam::account-id:role/role-name\" } "
管理应用程序管理员
OpenSearch UI 应用程序管理员是有权编辑和删除 OpenSearch UI 应用程序的已定义用户。
默认情况下,作为 OpenSearch UI 应用程序的创建者,您是 OpenSearch UI 应用程序的第一位管理员。
使用控制台管理 OpenSearch UI 管理员
您可以在 AWS 管理控制台 的OpenSearch UI 应用程序中添加其他管理员,既可在创建应用程序的工作流程中添加,也可在应用程序创建后的编辑页面中添加。
OpenSearch UI 应用程序管理员角色授予编辑和删除 OpenSearch UI 应用程序的权限。应用程序管理员还可在 OpenSearch UI 应用程序中创建、编辑和删除工作区。
在应用程序详情页面上,您可以搜索 IAM 主体的 Amazon 资源名称(ARN),也可以搜索 IAM Identity Center 用户的名称。
使用控制台管理 OpenSearch UI 管理员
-
登录到位于 https://console.aws.amazon.com/aos/home
的 Amazon OpenSearch Service 控制台。 -
在左侧导航窗格中,然后选择 OpenSearch UI(控制面板)。
-
在 OpenSearch 应用程序区域中,选择现有应用程序的名称。
-
选择 Edit (编辑)。
-
要向其他用户授予管理员权限,请选择以下任一操作:
-
向特定用户授予管理员权限:在 OpenSearch 应用程序管理员字段的属性弹出列表中,选择 IAM 用户或
AWS IAM Identity Center 用户,然后选择要向其授予管理员权限的单个用户。
-
向所有用户授予管理员权限:将向您组织或账户中的所有用户授予管理员权限。
-
-
选择更新。
您可以移除其他管理员,但每个 OpenSearch UI 应用程序必须至少保留一名管理员。
使用 AWS CLI 管理 OpenSearch UI 管理员
您可以使用 AWS CLI 创建和更新 OpenSearch UI 应用程序管理员。
使用 AWS CLI 创建 OpenSearch UI 管理员
以下是在创建 OpenSearch UI 应用程序时将 IAM 主体和 IAM Identity Center 用户添加为管理员的示例。
示例 1:创建将 IAM 用户添加为管理员的 OpenSearch UI 应用程序
运行以下命令创建 OpenSearch UI 应用程序,该应用程序将 IAM 用户添加为管理员。将占位符值替换为您自己的信息。
aws opensearch create-application \ --nameapplication-name\ --app-configs " { \"key\":\"opensearchDashboards.dashboardAdmin.users\", \"value\":\"arn:aws:iam::account-id:user/user-id\" } "
示例 2:创建 OpenSearch UI 应用程序,该应用程序启用 IAM Identity Center,并将 IAM Identity Center 用户 ID 添加为 OpenSearch UI 应用程序管理员
运行以下命令创建 OpenSearch UI 应用程序,该应用程序启用 IAM Identity Center,并将 IAM Identity Center 用户 ID 添加为 OpenSearch UI 应用程序管理员。将占位符值替换为您自己的信息。
key 指定要设置的配置项目,例如 OpenSearch UI 应用程序的管理员角色。有效值包括 opensearchDashboards.dashboardAdmin.users 和 opensearchDashboards.dashboardAdmin.groups。
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 表示分配给密钥的值,例如 IAM 用户的 Amazon 资源名称(ARN)。
aws opensearch create-application \ --name myapplication \ --iam-identity-center-options " { \"enabled\":true, \"iamIdentityCenterInstanceArn\":\"arn:aws:sso:::instance/ssoins-instance-id\", \"iamRoleForIdentityCenterApplicationArn\":\"arn:aws:iam::account-id:role/role-name\" } " \ --app-configs " { \"key\":\"opensearchDashboards.dashboardAdmin.users\", \"value\":\"xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx\" } "
使用 AWS CLI 更新 OpenSearch UI 管理员
以下是更新现有 OpenSearch 应用程序中分配为管理员的 IAM 主体和 IAM Identity Center 用户的示例。
示例 1:添加 IAM 用户作为现有 OpenSearch 应用程序的管理员
运行以下命令更新 OpenSearch UI 应用程序,将 IAM 用户添加为管理员。将占位符值替换为您自己的信息。
aws opensearch update-application \ --id myapplication \ --app-configs " { \"key\":\"opensearchDashboards.dashboardAdmin.users\", \"value\":\"arn:aws:iam::account-id:user/user-id\" } "
示例 2:更新 OpenSearch UI 应用程序,将 IAM Identity Center 用户 ID 添加为 OpenSearch UI 应用程序管理员
运行以下命令更新 OpenSearch UI 应用程序,将 IAM Identity Center 用户 ID 添加为 OpenSearch UI 应用程序管理员。将占位符值替换为您自己的信息。
key 指定要设置的配置项目,例如 OpenSearch UI 应用程序的管理员角色。有效值包括 opensearchDashboards.dashboardAdmin.users 和 opensearchDashboards.dashboardAdmin.groups。
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 表示分配给密钥的值,例如 IAM 用户的 Amazon 资源名称(ARN)。
aws opensearch update-application \ --id myapplication \ --app-configs " { \"key\":\"opensearchDashboards.dashboardAdmin.users\", \"value\":\"xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx\" } "
