Amazon OpenSearch OpenSearch サービスでのダッシュボードの使用

OpenSearch ダッシュボードは、と連携するように設計されたオープンソースの視覚化ツールです。 OpenSearchAmazon OpenSearch Service では、 OpenSearch OpenSearch すべてのサービスドメインにダッシュボードをインストールできます。

OpenSearch ダッシュボードへのリンクは、 OpenSearch サービスコンソールのドメインダッシュボードにあります。実行中のドメインの URL は OpenSearch、ですdomain-endpoint/_dashboards/。レガシー Elasticsearch を実行しているドメインの場合、URL はです。domain-endpoint/_plugin/kibana

OpenSearch このデフォルトのダッシュボードインストールを使用するクエリには 300 秒のタイムアウトがあります。

以下のセクションでは、ダッシュボードの一般的な使用例をいくつか取り上げます。 OpenSearch

• OpenSearch ダッシュボードへのアクセスの制御

• OpenSearch WMS マップサーバーを使用するようにダッシュボードを設定する

• ローカルのダッシュボードサーバをサービスに接続する OpenSearch

OpenSearch ダッシュボードへのアクセスの制御

Dashboards は IAM ユーザーとロールをネイティブにサポートしていませんが、 OpenSearch Service にはダッシュボードへのアクセスを制御するためのソリューションがいくつか用意されています。

• Dashboards の SAML 認証を有効にします。

• HTTP 基本認証を用いたきめ細かなアクセスコントロールを使用します。

• ダッシュボードの Cognito 認証を設定します。

• パブリックアクセスドメインの場合、プロキシサーバーを使用する (または使用しない) IP ベースのアクセスポリシーを設定します。

• VPC アクセスドメインの場合、プロキシサーバーを使用する (または使用しない) オープンアクセスポリシー、およびセキュリティグループを使用してアクセス許可を制御します。詳細については、「VPC ドメインのアクセスポリシーについて」を参照してください。

プロキシを使用してダッシュボードから Service にアクセスする OpenSearch OpenSearch

注記

このプロセスは、ドメインでパブリックアクセスが使用されており、Cognito 認証を使用しない場合にのみ適用できます。 OpenSearch ダッシュボードへのアクセスの制御 を参照してください。

JavaScript ダッシュボードはアプリケーションなので、リクエストはユーザーの IP アドレスから発信されます。IP ベースのアクセスコントロールは、膨大な数の IP アドレスをホワイトリストに登録する必要があるため、各ユーザーに Dashboards へのアクセスを許可する方法として実用的とは言えません。回避策の 1 つは、 OpenSearch ダッシュボードとサービスの間にプロキシサーバーを配置することです。 OpenSearch これにより、IP ベースのアクセスポリシーを追加し、唯一の IP アドレス (プロキシの IP アドレス) からのリクエストを許可できます。この設定は以下の図のようになります。

1. OpenSearch これがサービスドメインです。IAM は、このドメインへの承認済みアクセスを提供します。追加の IP ベースのアクセスポリシーは、プロキシサーバーへのアクセスを提供します。

2. これは、Amazon EC2 インスタンスで実行されているプロキシサーバーです。

3. 他のアプリケーションでは、署名バージョン 4 の署名プロセスを使用して、 OpenSearch 認証されたリクエストをサービスに送信できます。

4. OpenSearch OpenSearch ダッシュボードクライアントはプロキシ経由でサービスドメインに接続します。

この種の設定を有効にするには、ロールと IP アドレスを指定するリソースベースのポリシーが必要です。ポリシー例を次に示します。

{
  "Version": "2012-10-17",
  "Statement": [{
      "Resource": "arn:aws:es:us-west-2:111111111111:domain/my-domain/*",
      "Principal": {
        "AWS": "arn:aws:iam::111111111111:role/allowedrole1"
      },
      "Action": [
        "es:ESHttpGet"
      ],
      "Effect": "Allow"
    },
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "es:*",
      "Condition": {
        "IpAddress": {
          "aws:SourceIp": [
            "123.456.789.123"
          ]
        }
      },
      "Resource": "arn:aws:es:us-west-2:111111111111:domain/my-domain/*"
    }
  ]
}

プロキシサーバーを実行する EC2 インスタンスを Elastic IP アドレスを使用して設定することをお勧めします。これにより、必要に応じてインスタンスを置き換え、各インスタンスに同じパブリック IP アドレスをアタッチできます。詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイドの Elastic IP アドレスを参照してください。

プロキシサーバーおよび Cognito 認証を使用している場合、redirect_mismatch エラーを回避するため、Dashboards と Amazon Cognito に追加の設定が必要になる場合があります。次の nginx.conf の例を参照してください。

server {
    listen 443;
    server_name $host;
    rewrite ^/$ https://$host/_plugin/_dashboards redirect;

    ssl_certificate           /etc/nginx/cert.crt;
    ssl_certificate_key       /etc/nginx/cert.key;

    ssl on;
    ssl_session_cache  builtin:1000  shared:SSL:10m;
    ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
    ssl_prefer_server_ciphers on;

    location /_plugin/_dashboards {
        # Forward requests to Dashboards
        proxy_pass https://$dashboards_host/_plugin/_dashboards;

        # Handle redirects to Cognito
        proxy_redirect https://$cognito_host https://$host;

        # Update cookie domain and path
        proxy_cookie_domain $dashboards_host $host;
        proxy_cookie_path / /_plugin/_dashboards/;

        # Response buffer settings
        proxy_buffer_size 128k;
        proxy_buffers 4 256k;
        proxy_busy_buffers_size 256k;
    }

    location ~ \/(log|sign|fav|forgot|change|saml|oauth2) {
        # Forward requests to Cognito
        proxy_pass https://$cognito_host;

        # Handle redirects to Dashboards
        proxy_redirect https://$dashboards_host https://$host;

        # Update cookie domain
        proxy_cookie_domain $cognito_host $host;
    }
}

OpenSearch WMS マップサーバーを使用するようにダッシュボードを設定する

OpenSearch Dashboards for OpenSearch Service のデフォルトインストールには、インドおよび中国リージョンのドメインを除くマップサービスが含まれています。マップサービスは、最大 10 のズームレベルをサポートします。

リージョンに関係なく、座標マップの可視化に別の Web Map Service (WMS) サーバーが使用されるように Dashboards を設定できます。リージョンマップの可視化では、デフォルトのマップサービスのみがサポートされます。

WMS マップサーバーを使用できるように Dashboards を設定するには:

1. Dashboards を開きます。

2. [スタックの管理] を選択します。

3. [詳細設定] を選択します。

4. visualization:tileMap:WMSdefaults を見つけます。

5. enabled を true に変更し、url を有効な WMS マップサーバーの URL に変更します。

   {
     "enabled": true,
     "url": "wms-server-url",
     "options": {
       "format": "image/png",
       "transparent": true
     }
   }

6. [変更を保存] を選択します。

新しいデフォルト値を可視化に適用するには、Dashboards の再ロードが必要になることがあります。可視化結果を保存した場合は、可視化結果を開いた後に [オプション] を選択します。[WMS マップサーバー] が有効で、[WMS URL)] に優先マップサーバーが指定されていることを確認し、[変更の適用] を選択します。

注記

マップサービスは多くの場合、ライセンス料や制限事項を伴います。マップサーバーを指定する際には、このような点を考慮する必要があります。テストを行うには、アメリカ地質調査所のマップサービスが便利です。

ローカルのダッシュボードサーバをサービスに接続する OpenSearch

独自の OpenSearch Dashboards インスタンスの設定にすでにかなりの時間を費やしている場合は、Service が提供するデフォルトの Dashboards インスタンスの代わりに (またはそれに加えて) そのインスタンスを使用できます。 OpenSearch 以下の手順は、オープンアクセスポリシーできめ細かなアクセス制御を使用するドメイン用です。

OpenSearch ローカルのダッシュボードサーバーをサービスに接続するには OpenSearch

1. OpenSearch Service ドメインで、適切な権限を持つユーザーを作成します。

   1. Dashboards で、[セキュリティ]、[内部ユーザー] に進み、[内部ユーザーの作成] を選択します。

   2. ユーザーネームとパスワードを入力し、[作成] を選択します。

   3. [ロール] に進み、ロールを選択します。

   4. [マッピングされたユーザー] を選択し、[マッピングの管理] を選択します。

   5. [ユーザー] で、ユーザーネームを追加し、[マップ] を選択します。

2. 自己管理型の Dashboards OSS インストール環境に、 OpenSearch 適切なバージョンのセキュリティプラグインをダウンロードしてインストールします。

3. ローカル Dashboards サーバーでファイルを開き、config/opensearch_dashboards.yml OpenSearch 先ほど作成したユーザー名とパスワードを使用してサービスエンドポイントを追加します。

   opensearch.hosts: ['https://domain-endpoint']
   opensearch.username: 'username'
   opensearch.password: 'password'

   以下のサンプル opensearch_dashboards.yml ファイルを使用できます。

   server.host: '0.0.0.0'
   
   opensearch.hosts: ['https://domain-endpoint']
   
   opensearch_dashboards.index: ".username"
   
   opensearch.ssl.verificationMode: none # if not using HTTPS
   
   opensearch_security.auth.type: basicauth
   opensearch_security.auth.anonymous_auth_enabled: false
   opensearch_security.cookie.secure: false # set to true when using HTTPS
   opensearch_security.cookie.ttl: 3600000
   opensearch_security.session.ttl: 3600000
   opensearch_security.session.keepalive: false
   opensearch_security.multitenancy.enabled: false
   opensearch_security.readonly_mode.roles: ['opensearch_dashboards_read_only']
   opensearch_security.auth.unauthenticated_routes: []
   opensearch_security.basicauth.login.title: 'Please log in using your username and password'
   
   opensearch.username: 'username'
   opensearch.password: 'password'
   opensearch.requestHeadersWhitelist:
   [
   authorization,
   securitytenant,
   security_tenant,
   ]

OpenSearch サービスインデックスを確認するには、ローカル Dashboards サーバーを起動し、Dev Tools に移動して以下のコマンドを実行します。

GET _cat/indices

ダッシュボードでのインデックスの管理 OpenSearch

OpenSearch Service ドメインに OpenSearch Dashboards をインストールすると、ドメイン内のさまざまなストレージ階層にあるインデックスを管理するための便利な UI が提供されます。ダッシュボードのメインメニューから [インデックス管理] を選択すると、ホットストレージ、コールドストレージのすべてのインデックスUltraWarm、およびインデックス状態管理 (ISM) ポリシーによって管理されているインデックスが表示されます。インデックス管理を使用して、ウォームストレージとコールドストレージ間でインデックスを移動し、3 つの階層間の移行をモニタリングします。

ホットストレージ、ウォームストレージ、コールドストレージを有効にしていない限り、ホットインデックス、ウォームインデックス、 UltraWarm コールドインデックスオプションは表示されないことに注意してください。

その他の機能

OpenSearch OpenSearch 各サービスドメインにデフォルトでインストールされるダッシュボードには、いくつかの追加機能があります。

• OpenSearchさまざまなプラグインのユーザーインターフェース

• テナント

• レポート

  レポート作成メニューを使用して、Discover ページおよびダッシュボードまたは可視化の PDF レポートまたは PNG レポートからオンデマンド CSV レポートを生成します。CSV レポートには 10,000 行までの制限があります。

• ガントチャート

• ノートブック