Autorisieren von Verbindungen zu Amazon Service OpenSearch - Amazon QuickSight
Eine VPC Verbindung verwendenVerwenden von OpenSearch Berechtigungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Autorisieren von Verbindungen zu Amazon Service OpenSearch

 Gilt für: Enterprise Edition 
   Zielgruppe: Systemadministratoren 

Bevor Sie OpenSearch in einem QuickSight Datensatz verwenden können, muss der QuickSight Administrator in Zusammenarbeit mit einer Person, die Zugriff auf die OpenSearch Konsole hat, einige Aufgaben erledigen.

Identifizieren Sie zunächst jede OpenSearch Domain, zu der Sie eine Verbindung herstellen möchten. Sammeln Sie dann die folgenden Informationen für jede Domain:

  • Der Name der OpenSearch Domain.

  • Die von dieser Domain verwendete OpenSearch Version.

  • Der Amazon-Ressourcenname (ARN) der OpenSearch Domain.

  • Der HTTPS-Endpunkt.

  • Die OpenSearch DashboardsURL, wenn Sie Dashboards verwenden. Sie können die Dashboards extrapolieren, URL indem Sie "" an einen Endpunkt anhängen. /dashboards/

  • Wenn die Domain über einen VPC Endpunkt verfügt, sammeln Sie alle zugehörigen Informationen auf der VPC Registerkarte der Servicekonsole: OpenSearch

    • Die VPC ID

    • Die VPC Sicherheitsgruppen

    • Die zugehörige (n) IAM Rolle (n)

    • Die assoziierten Availability Zones

    • Die assoziierten Subnetze

  • Wenn die Domäne über einen regulären Endpunkt (keinen VPC Endpunkt) verfügt, beachten Sie, dass sie das öffentliche Netzwerk verwendet.

  • Die Startzeit für den täglichen automatisierten Snapshot (falls Ihre Benutzer das wissen möchten).

Bevor Sie fortfahren, aktiviert der QuickSight Administrator autorisierte Verbindungen vom OpenSearch Dienst QuickSight zum Dienst. Dieser Vorgang ist für jeden AWS Dienst erforderlich, zu dem Sie eine Verbindung herstellen QuickSight. Sie müssen dies nur einmal AWS-Konto für jeden AWS Dienst tun, den Sie als Datenquelle verwenden.

Für OpenSearch Service fügt der Autorisierungsprozess die AWS verwaltete Richtlinie AWSQuickSightOpenSearchPolicy zu Ihrer hinzu AWS-Konto.

Wichtig

Stellen Sie sicher, dass die IAM Richtlinie für Ihre OpenSearch Domain nicht mit den Berechtigungen in in kollidiertAWSQuickSightOpenSearchPolicy. Sie finden die Domänenzugriffsrichtlinie in der OpenSearch Servicekonsole. Weitere Informationen finden Sie unter Konfiguration von Zugriffsrichtlinien im Amazon OpenSearch Service Developer Guide.

Um Verbindungen vom QuickSight OpenSearch Service ein- oder auszuschalten

  1. Wählen Sie in Amazon QuickSight Administrator und Verwalten aus QuickSight.

  2. Wählen Sie Sicherheit & Berechtigungen, Hinzufügen oder Entfernen aus.

  3. Um Verbindungen zu aktivieren, aktivieren Sie das Kontrollkästchen Amazon OpenSearch Service.

    Um Verbindungen zu deaktivieren, deaktivieren Sie das Amazon OpenSearch Service-Kontrollkästchen.

  4. Wählen Sie Aktualisieren, um Ihre Auswahl zu bestätigen.

Eine VPC Verbindung verwenden

In einigen Fällen befindet sich Ihre OpenSearch Domain in einer virtuellen privaten Cloud (VPC), die auf dem VPC Amazon-Service basiert. Wenn ja, stellen Sie sicher, dass Sie bereits mit der VPC ID verbunden sind, die die OpenSearch Domain verwendet. QuickSight Sie können eine bestehende VPC Verbindung wiederverwenden. Wenn Sie nicht sicher sind, ob es funktioniert, können Sie es testen. Weitere Informationen finden Sie unter Testen Sie die Verbindung zu Ihrer VPC Datenquelle.

Wenn QuickSight für die, die Sie verwenden möchtenVPC, noch keine Verbindung definiert ist, können Sie eine erstellen. Bei dieser Aufgabe handelt es sich um einen mehrstufigen Prozess, den Sie abschließen müssen, bevor Sie fortfahren können. Informationen darüber, wie Sie QuickSight zu einer hinzufügen VPC und eine Verbindung von QuickSight zu der hinzufügenVPC, finden Sie unterVerbindung zu VPC Amazon herstellen QuickSight.

Verwenden von OpenSearch Berechtigungen

Nachdem Sie QuickSight die Konfiguration für die Verbindung mit dem OpenSearch Dienst konfiguriert haben, müssen Sie möglicherweise Berechtigungen in aktivieren OpenSearch. Für diesen Teil des Einrichtungsprozesses können Sie den Link OpenSearch Dashboards für jede OpenSearch Domain verwenden. Anhand der folgenden Liste können Sie ermitteln, welche Berechtigungen Sie benötigen:

  1. Konfigurieren Sie Berechtigungen für Domains, die eine differenzierte Zugriffskontrolle verwenden, in Form einer Rolle. Dieser Vorgang ähnelt der Verwendung von abgegrenzten Richtlinien in. QuickSight

  2. Fügen Sie für jede Domain, für die Sie eine Rolle erstellen, eine Rollenzuordnung hinzu.

Weitere Informationen finden Sie unter .

Wenn für Ihre OpenSearch Domain eine differenzierte Zugriffskontrolle aktiviert ist, müssen Sie einige Berechtigungen konfigurieren, sodass auf die Domain zugegriffen werden kann. QuickSight Führen Sie diese Schritte für jede Domain aus, die Sie verwenden möchten.

Das folgende Verfahren verwendet OpenSearch Dashboards, ein Open-Source-Tool, das mit funktioniert. OpenSearch Den Link zu Dashboards finden Sie im Domain-Dashboard in der Servicekonsole. OpenSearch

Um einer Domain Berechtigungen hinzuzufügen, von denen aus der Zugriff möglich ist QuickSight

  1. Öffnen Sie die OpenSearch Dashboards für die OpenSearch Domain, mit der Sie arbeiten möchten. Das URL ist opensearch-domain-endpoint/dashboards/.

  2. Wählen Sie im Navigationsbereich Sicherheit aus.

    Wenn Sie den Navigationsbereich nicht sehen, öffnen Sie ihn mit dem Menüsymbol oben links. Um das Menü geöffnet zu lassen, wählen Sie Dock-Navigation unten links.

  3. Wählen Sie Roles (Rollen), Create role (Rolle erstellen) aus.

  4. Benennen Sie die Rolle quicksight_role.

    Sie können einen anderen Namen wählen, aber wir empfehlen diesen, da wir ihn in unserer Dokumentation verwenden und er daher einfacher zu unterstützen ist.

  5. Fügen Sie unter Cluster-Berechtigungen die folgenden Berechtigungen hinzu:

    • cluster:monitor/main

    • cluster:monitor/health

    • cluster:monitor/state

    • indices:data/read/scroll

    • indices:data/read/scroll/clear,

  6. Wählen Sie Indexberechtigungen hinzufügen und geben Sie dann * für das Indexmuster an.

  7. Fügen Sie für Cluster-Berechtigungen die folgenden Berechtigungen hinzu:

    • indices:admin/get

    • indices:admin/mappings/fields/get*

    • indices:data/read/search*

  8. Wählen Sie Erstellen.

  9. Wiederholen Sie dieses Verfahren für jede OpenSearch Domain, die Sie verwenden möchten.

Verwenden Sie das folgende Verfahren, um eine Rollenzuordnung für die Berechtigungen hinzuzufügen, die Sie im vorherigen Verfahren hinzugefügt haben. Möglicherweise finden Sie es effizienter, die Berechtigungen und die Rollenzuordnung als Teil eines einzigen Vorgangs hinzuzufügen. Diese Anweisungen sind aus Gründen der Übersichtlichkeit getrennt.

Um eine Rollenzuordnung für die IAM Rolle zu erstellen, die Sie hinzugefügt haben

  1. Öffnen Sie OpenSearch Dashboards für die OpenSearch Domain, mit der Sie arbeiten möchten. Das URL ist opensearch-domain-endpoint/dashboards/.

  2. Wählen Sie im Navigationsbereich Sicherheit aus.

  3. Suchen Sie in der Liste nach quicksight_role und öffnen Sie sie.

  4. Wählen Sie auf der Registerkarte Zugeordnete Benutzer die Option Zuordnungen verwalten.

  5. Geben Sie im Abschnitt Backend-Rollen den Wert ARN der AWS verwalteten IAM Rolle für ein. QuickSight Im Folgenden sehen Sie ein Beispiel.

    arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0

  6. Wählen Sie Zuordnen aus.

  7. Wiederholen Sie diesen Vorgang für jede OpenSearch Domain, die Sie verwenden möchten.