本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 授權連線到 Amazon OpenSearch Service
| |
| --- |
| 適用對象:企業版 |
| |
| --- |
| 目標對象:系統管理員 |
在 Amazon Quick Sight 資料集中使用 OpenSearch 之前,快速管理員必須先完成一些任務,才能與有權存取 OpenSearch 主控台的人員合作。
若要開始使用,請確定您要連線到的每個 OpenSearch 域。然後,為每個域收集下列資訊:
+ OpenSearch 域的名稱。
+ 此域使用的 OpenSearch 版本。
+ OpenSearch 域的 Amazon Resource Name (ARN)。
+ HTTPS 端點。
+ 如果您使用 Dashboards,則為 OpenSearch Dashboards URL。您可以將 "`/dashboards/`" 附加至端點,以推斷 Dashboards URL。
+ 如果域具有 VPC 端點,則請在 OpenSearch Service 主控台的 VPC 標籤上收集所有相關資訊:
+ VPC ID
+ VPC 安全群組
+ 關聯的 IAM 角色
+ 關聯的可用區域
+ 關聯的子網路
+ 如果域具有一般端點 (不是 VPC 端點),則請注意其會使用公有網路。
+ 每日自動快照的開始時間 (如果您的使用者想知道)。
在繼續之前,Amazon Quick 管理員會啟用從 Amazon Quick 到 OpenSearch Service 的授權連線。您從 Amazon Quick 連線的每個 AWS 服務都需要此程序。對於您用作資料來源的每個 AWS 服務,您只需要 AWS 帳戶 執行一次此操作。
對於 OpenSearch Service,授權程序會將 AWS 受管政策新增至`AWSQuickSightOpenSearchPolicy`您的 AWS 帳戶。
**重要**
請確定您的 OpenSearch 域的 IAM 政策不會與 `AWSQuickSightOpenSearchPolicy` 中的許可衝突。您可以在 OpenSearch Service 主控台中尋找域存取政策。如需詳細資訊,請參閱《Amazon OpenSearch Service 開發人員指南》中的[設定存取政策](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-creating)。
**若要開啟或關閉從 Amazon Quick 到 OpenSearch Service 的連線**
1. 在 Amazon Quick 中,選擇**管理員**和管理 **Amazon Quick**。
1. 選擇**安全和許可**、**新增或移除**。
1. 若要啟用連線,請選取 **Amazon OpenSearch Service** 核取方塊。
若要停用連線,請清除 **Amazon OpenSearch Service** 核取方塊。
1. 選擇**更新**,以確認您的選擇。
如有需要,請使用下列主題來設定 Amazon Quick 存取 OpenSearch 的 OpenSearch VPC 連線和許可。
**Topics**
+ [使用 VPC 連線](#opensearch-and-vpc-connection)
+ [使用 OpenSearch 許可](#opensearch-permissions)
## 使用 VPC 連線
在某些情況下,您的 OpenSearch 域位於以 Amazon VPC 服務為基礎的虛擬私有雲端 (VPC) 中。若是如此,請務必判斷 Amazon Quick 是否已連線到 OpenSearch 網域使用的 VPC ID。您可以重複使用現有的 VPC 連線。如果您不確定其是否會正常運作,您可以進行測試。如需詳細資訊,請參閱[測試 Amazon VPC 資料來源的連線](https://docs.aws.amazon.com/quicksight/latest/user/vpc-creating-a-quicksight-data-source-profile.html)。
如果尚未針對您要使用的 VPC 在 Amazon Quick 中定義連線,您可以建立一個連線。此任務是一個多步驟程序,您需要先完成該程序才能繼續進行。若要了解如何將 Amazon Quick 新增至 VPC 並將連線從 Amazon Quick 新增至 VPC,請參閱[使用 Amazon Quick 連線至 Amazon VPC](https://docs.aws.amazon.com/quicksight/latest/user/working-with-aws-vpc.html)。
## 使用 OpenSearch 許可
將 Amazon Quick 設定為連線至 OpenSearch Service 之後,您可能需要在 OpenSearch 中啟用許可。針對該部分的設定程序,您可以為每個 OpenSearch 域使用 OpenSearch Dashboards 連結。使用下列清單,以協助判斷您需要的許可:
1. 對於使用精細存取控制的域,以角色的形式設定許可。此程序類似於在 Amazon Quick 中使用縮小範圍政策。
1. 針對您為其建立角色的每個域,新增角色映射。
如需詳細資訊,請參閱下方。
如果您的 OpenSearch 網域已啟用[精細存取控制](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac.html),則可以設定一些許可,以便從 Amazon Quick 存取網域。針對您想要使用的每個域,執行這些步驟。
下列程序會使用 OpenSearch Dashboards,這是可與 OpenSearch 搭配使用的開放原始碼工具。您可以在 OpenSearch Service 主控台的域儀表板上找到 Dashboards 的連結。
**將許可新增至網域以允許從 Amazon Quick 存取**
1. 開啟 OpenSearch Dashboards,找到您要使用的 OpenSearch 域。URL 是 `opensearch-domain-endpoint/dashboards/`。
1. 從導覽窗格中,選擇**安全**。
如果看不到導覽窗格,請使用左上角的選單圖示將其開啟。若要保持選單開啟,請選擇左下角的 **Dock 導覽**。
1. 選擇 **Roles (角色)**、**Create role (建立角色)**。
1. 將角色命名為 **quicksight\$1role**。
您可以選擇不同的名稱,但建議您使用這個名稱,因為我們會在文件中用到它,因此更易於支援。
1. 在**叢集許可**下,新增下列許可:
+ `cluster:monitor/main`
+ `cluster:monitor/health`
+ `cluster:monitor/state`
+ `indices:data/read/scroll`
+ `indices:data/read/scroll/clear`,
1. 在**索引許可**下,指定 **\$1** 作為索引模式。
1. 在**索引許可**下,新增下列許可:
+ `indices:admin/get`
+ `indices:admin/mappings/get`
+ `indices:admin/mappings/fields/get*`
+ `indices:data/read/search*`
+ `indices:monitor/settings/get`
1. 選擇**建立**。
1. 為您規劃使用的每個 OpenSearch 域,重複這個程序。
使用下列程序,針對您在先前程序中新增的許可新增角色映射。您可能會發現將許可和角色映射新增為單一程序的一部分會更有效率。為了清晰起見,這些指示是分開的。
**為您新增的 IAM 角色建立角色映射**
1. 開啟 OpenSearch Dashboards,找到您要使用的 OpenSearch 域。URL 是 `opensearch-domain-endpoint/dashboards/`。
1. 從導覽窗格中,選擇**安全**。
1. 從清單中搜尋並開啟 **quicksight\$1role**。
1. 在**已映射的使用者**標籤上,選擇**管理映射**。
1. 在**後端角色**區段中,輸入 Amazon Quick 受 AWS管 IAM 角色的 ARN。以下是範例。
```
arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0
```
1. 選擇**映射**。
1. 為您想要使用的每個 OpenSearch 域,重複這個程序。