Membuat Layanan Terkelola Amazon untuk sumber data Prometheus

Untuk membuat Layanan Terkelola Amazon untuk sumber data Prometheus, Anda memerlukan ruang kerja aktif dan peran IAM yang memberikan Layanan OpenSearch izin yang diperlukan untuk menanyakan metrik Anda.

Prasyarat

Sebelum Anda menghubungkan sumber data, pastikan Anda memiliki yang berikut:

Ruang kerja Prometheus — Layanan Terkelola Amazon aktif untuk ruang kerja Prometheus. Catat ID Workspace Anda dan itu berada di Wilayah AWS dalamnya.
Peran IAM — AWS Identity and Access Management Peran dengan kebijakan kepercayaan yang memungkinkan kepala directquery.opensearchservice.amazonaws.com layanan untuk mengambilnya.

Menghubungkan sumber data

Setelah prasyarat terpenuhi, Anda dapat menghubungkan sumber data menggunakan konsol Layanan. OpenSearch

Untuk menyiapkan Layanan Terkelola Amazon untuk sumber data Prometheus

Arahkan ke konsol OpenSearch Layanan Amazon dihttps://console.aws.amazon.com/aos/.
Di panel navigasi kiri, buka Manajemen pusat dan pilih Sumber data yang terhubung.
Pilih Connect new data source.
Pilih Amazon Managed Service untuk Prometheus sebagai tipe sumber data.
Pilih Berikutnya.
Di bawah Rincian koneksi data, masukkan nama dan deskripsi opsional.
Di bawah peran IAM, pilih cara mengelola akses:
- Untuk secara otomatis membuat peran untuk sumber data ini:
  1. Pilih Buat peran baru.
  2. Masukkan Nama IAM role.
  3. Pilih satu atau beberapa ruang kerja untuk menentukan data mana yang dapat ditanyakan.
- Untuk menggunakan peran yang ada yang Anda kelola sendiri:
  1. Pilih Gunakan peran yang ada.
  2. Pilih peran yang ada dari menu tarik-turun.
catatan
Saat menggunakan peran Anda sendiri, pastikan ia memiliki semua izin yang diperlukan dengan melampirkan kebijakan yang diperlukan dari konsol IAM. Untuk informasi selengkapnya, lihat Izin yang diperlukan untuk peran IAM yang dibuat secara manual.
(Opsional) Di bawah kebijakan Access, konfigurasikan kebijakan akses untuk sumber data. Kebijakan akses mengontrol apakah permintaan ke sumber data kueri langsung OpenSearch Layanan diterima atau ditolak. Jika Anda tidak mengonfigurasi kebijakan akses, hanya pemilik sumber data yang memiliki akses. Anda dapat mengonfigurasi kebijakan akses untuk mengaktifkan akses lintas akun, yang memungkinkan prinsipal di pihak lain Akun AWS mengakses sumber data.

Anda dapat membuat kebijakan akses menggunakan editor visual atau dengan menyediakan dokumen kebijakan JSON. Dengan editor visual, Anda dapat mengizinkan atau menolak akses dengan menentukan Akun AWS ID utama, ARN akun, ARN pengguna IAM, ARN peran IAM, alamat IP sumber, atau blok CIDR. Editor visual mendukung hingga 10 elemen. Untuk menentukan kebijakan dengan lebih dari 10 elemen, gunakan editor JSON.

Anda juga dapat memilih kebijakan Impor untuk mengimpor kebijakan akses yang ada dari sumber data lain.
(Opsional) Di bawah Tag, tambahkan tag ke sumber data Anda.
Pilih Berikutnya.
Di bawah Pengaturan OpenSearch, pilih cara mengatur OpenSearch UI:
1. Jika tidak ada aplikasi OpenSearch UI di akun Anda, buat OpenSearch aplikasi baru. Jika ada OpenSearch aplikasi yang ada, pilih.
2. Jika Anda membuat aplikasi baru, buat ruang kerja observabilitas baru. Jika Anda memilih aplikasi yang sudah ada, buat ruang kerja observabilitas baru atau pilih yang sudah ada. Amazon Managed Service untuk Prometheus hanya tersedia di ruang kerja observabilitas.
Pilih Berikutnya.
Tinjau pilihan Anda dan pilih Edit jika Anda perlu membuat perubahan apa pun.
Pilih Connect untuk mengatur sumber data. Tetap di halaman ini saat sumber data Anda dibuat. Jika sudah siap, Anda akan dibawa ke halaman detail sumber data.

Langkah selanjutnya

Kunjungi OpenSearch UI

Setelah Anda membuat sumber data, OpenSearch Layanan memberi Anda URL aplikasi OpenSearch UI. Anda menggunakan ini untuk mengonfigurasi siapa yang memiliki akses ke OpenSearch UI dan menganalisis Layanan Terkelola Amazon untuk data Prometheus menggunakan Discover Metrics dengan PromQL.

Sumber daya tambahan

Izin yang diperlukan untuk peran IAM yang dibuat secara manual

Saat membuat sumber data, Anda memilih peran IAM untuk mengelola akses ke data Anda. Anda memiliki dua pilihan:

Buat peran IAM baru secara otomatis
Gunakan peran IAM yang sudah ada yang Anda buat secara manual

Jika Anda menggunakan peran yang dibuat secara manual, Anda harus melampirkan izin yang benar ke peran tersebut. Izin harus mengizinkan akses ke sumber data tertentu dan memungkinkan OpenSearch Layanan untuk mengambil peran. Hal ini diperlukan agar OpenSearch Layanan dapat mengakses dan berinteraksi dengan data Anda dengan aman.

Kebijakan contoh berikut menunjukkan izin hak istimewa terkecil yang diperlukan untuk membuat dan mengelola sumber data. Jika Anda memiliki izin yang lebih luas, seperti aps:* atau AdministratorAccess kebijakan, izin ini mencakup izin hak istimewa terkecil dalam kebijakan sampel.

Dalam kebijakan sampel berikut, ganti placeholder teks dengan informasi Anda sendiri.

Contoh kebijakan IAM

Lampirkan izin berikut ke peran IAM Anda untuk memungkinkan OpenSearch Layanan mengambil metadata metrik dan menjalankan kueri:


{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "AmazonOpenSearchDirectQueryPrometheusAccess",
            "Effect": "Allow",
            "Action": [
                "aps:DeleteAlertManagerSilence",
                "aps:GetAlertManagerSilence",
                "aps:GetAlertManagerStatus",
                "aps:GetLabels",
                "aps:GetMetricMetadata",
                "aps:GetSeries",
                "aps:ListAlertManagerAlertGroups",
                "aps:ListAlertManagerAlerts",
                "aps:ListAlertManagerReceivers",
                "aps:ListAlertManagerSilences",
                "aps:ListAlerts",
                "aps:QueryMetrics",
                "aps:PutAlertManagerSilences",
                "aps:DescribeAlertManagerDefinition",
                "aps:CreateRuleGroupsNamespace",
                "aps:DeleteRuleGroupsNamespace",
                "aps:ListRuleGroupsNamespaces",
                "aps:DescribeRuleGroupsNamespace",
                "aps:PutRuleGroupsNamespace"
            ],
            "Resource": "arn:aws:aps:region:account-id:workspace/workspace-id",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": [
                        "directquery.opensearchservice.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "AmazonOpenSearchDirectQueryPrometheusListAccess",
            "Effect": "Allow",
            "Action": [
                "aps:ListWorkspaces"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": [
                        "directquery.opensearchservice.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Contoh kebijakan kepercayaan

Lampirkan kebijakan kepercayaan berikut ke peran IAM Anda:


{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "TrustPolicyForAmazonOpenSearchDirectQueryService",
            "Effect": "Allow",
            "Principal": {
                "Service": "directquery.opensearchservice.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:opensearch:region:account-id:datasource/data-source-name"
                },
                "StringEquals": {
                    "aws:SourceAccount": "account-id"
                }
            }
        }
    ]
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Kueri langsung di Prometheus Terkelola

Mengkonfigurasi dan menanyakan sumber data Prometheus Terkelola