授權連線到 Amazon OpenSearch Service - Amazon Quick Suite
使用 VPC 連線使用 OpenSearch 許可

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

授權連線到 Amazon OpenSearch Service

 適用對象:企業版 
   目標對象:系統管理員 

在 Amazon Quick Sight 資料集中使用 OpenSearch 之前,Quick Suite 管理員必須先與有權存取 OpenSearch 主控台的人員合作完成一些任務。

若要開始使用,請確定您要連線到的每個 OpenSearch 域。然後,為每個域收集下列資訊:

  • OpenSearch 域的名稱。

  • 此域使用的 OpenSearch 版本。

  • OpenSearch 域的 Amazon Resource Name (ARN)。

  • HTTPS 端點。

  • 如果您使用 Dashboards,則為 OpenSearch Dashboards URL。您可以將 "/dashboards/" 附加至端點,以推斷 Dashboards URL。

  • 如果域具有 VPC 端點,則請在 OpenSearch Service 主控台的 VPC 標籤上收集所有相關資訊:

    • VPC ID

    • VPC 安全群組

    • 關聯的 IAM 角色

    • 關聯的可用區域

    • 關聯的子網路

  • 如果域具有一般端點 (不是 VPC 端點),則請注意其會使用公有網路。

  • 每日自動快照的開始時間 (如果您的使用者想知道)。

在繼續之前,Amazon Quick Suite 管理員會啟用從 Amazon Quick Suite 到 OpenSearch Service 的授權連線。您從 Amazon Quick Suite 連線的每個 AWS 服務都需要此程序。對於您用作資料來源的每個 AWS 服務,您只需要 AWS 帳戶 執行一次此操作。

對於 OpenSearch Service,授權程序會將 AWS 受管政策新增至AWSQuickSightOpenSearchPolicy您的 AWS 帳戶。

重要

請確定您的 OpenSearch 域的 IAM 政策不會與 AWSQuickSightOpenSearchPolicy 中的許可衝突。您可以在 OpenSearch Service 主控台中尋找域存取政策。如需詳細資訊,請參閱《Amazon OpenSearch Service 開發人員指南》中的設定存取政策

若要開啟或關閉從 Amazon Quick Suite 到 OpenSearch Service 的連線

  1. 在 Amazon Quick Suite 中,選擇管理員和管理 Amazon Quick Suite

  2. 選擇安全和許可新增或移除

  3. 若要啟用連線,請選取 Amazon OpenSearch Service 核取方塊。

    若要停用連線,請清除 Amazon OpenSearch Service 核取方塊。

  4. 選擇更新,以確認您的選擇。

如有需要,請使用下列主題來設定 OpenSearch VPC 連線和 Amazon Quick Suite 存取 OpenSearch 的許可。

使用 VPC 連線

在某些情況下,您的 OpenSearch 域位於以 Amazon VPC 服務為基礎的虛擬私有雲端 (VPC) 中。若是如此,請務必判斷 Amazon Quick Suite 是否已連線至 OpenSearch 網域使用的 VPC ID。您可以重複使用現有的 VPC 連線。如果您不確定其是否會正常運作,您可以進行測試。如需詳細資訊,請參閱測試 Amazon VPC 資料來源的連線

如果尚未針對您要使用的 VPC 在 Amazon Quick Suite 中定義連線,您可以建立一個連線。此任務是一個多步驟程序,您需要先完成該程序才能繼續進行。若要了解如何將 Amazon Quick Suite 新增至 VPC 並將連線從 Amazon Quick Suite 新增至 VPC,請參閱使用 Amazon Quick Suite 連線至 Amazon VPC

使用 OpenSearch 許可

將 Amazon Quick Suite 設定為連線至 OpenSearch Service 之後,您可能需要在 OpenSearch 中啟用許可。針對該部分的設定程序,您可以為每個 OpenSearch 域使用 OpenSearch Dashboards 連結。使用下列清單,以協助判斷您需要的許可:

  1. 對於使用精細存取控制的域,以角色的形式設定許可。此程序類似於在 Amazon Quick Suite 中使用縮小範圍政策。

  2. 針對您為其建立角色的每個域,新增角色映射。

如需詳細資訊,請參閱下方。

如果您的 OpenSearch 網域已啟用精細存取控制,則可以設定一些許可,以便從 Amazon Quick Suite 存取網域。針對您想要使用的每個域,執行這些步驟。

下列程序會使用 OpenSearch Dashboards,這是可與 OpenSearch 搭配使用的開放原始碼工具。您可以在 OpenSearch Service 主控台的域儀表板上找到 Dashboards 的連結。

將許可新增至網域以允許從 Amazon Quick Suite 存取

  1. 開啟 OpenSearch Dashboards,找到您要使用的 OpenSearch 域。URL 是 opensearch-domain-endpoint/dashboards/

  2. 從導覽窗格中,選擇安全

    如果看不到導覽窗格,請使用左上角的選單圖示將其開啟。若要保持選單開啟,請選擇左下角的 Dock 導覽

  3. 選擇 Roles (角色)Create role (建立角色)

  4. 將角色命名為 quicksight_role

    您可以選擇不同的名稱,但建議您使用這個名稱,因為我們會在文件中用到它,因此更易於支援。

  5. 叢集許可下,新增下列許可:

    • cluster:monitor/main

    • cluster:monitor/health

    • cluster:monitor/state

    • indices:data/read/scroll

    • indices:data/read/scroll/clear,

  6. 索引許可下,指定 * 作為索引模式。

  7. 索引許可下,新增下列許可:

    • indices:admin/get

    • indices:admin/mappings/get

    • indices:admin/mappings/fields/get*

    • indices:data/read/search*

    • indices:monitor/settings/get

  8. 選擇建立

  9. 為您規劃使用的每個 OpenSearch 域,重複這個程序。

使用下列程序,針對您在先前程序中新增的許可新增角色映射。您可能會發現將許可和角色映射新增為單一程序的一部分會更有效率。為了清晰起見,這些指示是分開的。

為您新增的 IAM 角色建立角色映射

  1. 開啟 OpenSearch Dashboards,找到您要使用的 OpenSearch 域。URL 是 opensearch-domain-endpoint/dashboards/

  2. 從導覽窗格中,選擇安全

  3. 從清單中搜尋並開啟 quicksight_role

  4. 已映射的使用者標籤上,選擇管理映射

  5. 後端角色區段中,輸入 Amazon Quick Suite 受 AWS管 IAM 角色的 ARN。以下是範例。

    arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0

  6. 選擇映射

  7. 為您想要使用的每個 OpenSearch 域,重複這個程序。