本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 设置亚马逊 OpenSearch 服务
<a name="setting-up"></a>

## 授予权限
<a name="setting-up-iam"></a>

在生产环境中，我们建议您使用更精细的策略。要了解有关访问管理的更多信息，请参阅 IAM 用户指南中的[AWS 资源访问管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)。

要提供访问权限，请为您的用户、组或角色添加权限：
+ 中的用户和群组 AWS IAM Identity Center：

  创建权限集合。按照《AWS IAM Identity Center 用户指南》**中[创建权限集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)的说明进行操作。
+ 通过身份提供商在 IAM 中托管的用户：

  创建适用于身份联合验证的角色。按照《IAM 用户指南》**中[针对第三方身份提供商创建角色（联合身份验证）](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)的说明进行操作。
+ IAM 用户：
  + 创建您的用户可以担任的角色。按照《IAM 用户指南》**中[为 IAM 用户创建角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)的说明进行操作。
  + （不推荐使用）将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》**中[向用户添加权限（控制台）](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)中的说明进行操作。

### 授予编程式访问权限
<a name="setting-up-access"></a>

如果用户想在 AWS 外部进行交互，则需要编程访问权限 AWS 管理控制台。授予编程访问权限的方式取决于正在访问的用户类型 AWS。

要向用户授予编程式访问权限，请选择以下选项之一。


****  

| 哪个用户需要编程式访问权限？ | 目的 | 方式 | 
| --- | --- | --- | 
| IAM | （推荐）使用控制台凭证作为临时凭证，签署对 AWS CLI AWS SDKs、或的编程请求 AWS APIs。 | 按照您希望使用的界面的说明进行操作。[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/opensearch-service/latest/developerguide/setting-up.html) | 
| 人力身份<br />（在 IAM Identity Center 中管理的用户） | 使用临时证书签署向 AWS CLI AWS SDKs、或发出的编程请求 AWS APIs。 | 按照您希望使用的界面的说明进行操作。[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/opensearch-service/latest/developerguide/setting-up.html) | 
| IAM | 使用临时证书签署向 AWS CLI AWS SDKs、或发出的编程请求 AWS APIs。 | 按照 IAM 用户指南中的将[临时证书与 AWS 资源配合使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html)中的说明进行操作。 | 
| IAM | （不推荐使用）使用长期凭证签署向 AWS CLI AWS SDKs、或发出的编程请求 AWS APIs。 | 按照您希望使用的界面的说明进行操作。[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/opensearch-service/latest/developerguide/setting-up.html) | 

## 安装和配置 AWS CLI
<a name="setting-up-cli"></a>

如果要使用 OpenSearch 服务 APIs，则必须安装最新版本的 AWS Command Line Interface (AWS CLI)。您不需要通过控制台使用 OpenSearch 服务，也可以按照中的步骤在没有 CLI 的情况下开始使用[亚马逊 OpenSearch 服务入门](gsg.md)。 AWS CLI 

**要设置 AWS CLI**

1. 要安装 AWS CLI 适用于 macOS、Linux 或 Windows 的最新版本，请参阅[安装或更新最新版本的](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。 AWS CLI

1. 要配置 AWS CLI 和安全设置您的访问 AWS 服务权限（包括 OpenSearch 服务），请参阅[使用进行快速配置`aws configure`](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-quickstart.html#cli-configure-quickstart-config)。

1. 要验证设置，请在 DataBrew 命令提示符下输入以下命令。

   ```
   aws opensearch help
   ```

   AWS CLI 命令使用配置 AWS 区域 中的默认值，除非您使用参数或配置文件进行设置。要使用参数 AWS 区域 进行设置，可以将该`--region`参数添加到每个命令中。

   要使用配置文件 AWS 区域 进行设置，请先在`~/.aws/config`文件或文件中添加命名的配置`%UserProfile%/.aws/config`文件（适用于 Microsoft Windows）。按 [AWS CLI的命名配置文件](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-profiles.html)中的步骤执行操作。接下来，使用与以下示例类似的命令来设置您的 AWS 区域 和其他设置。

   ```
   [profile opensearch]
   aws_access_key_id = ACCESS-KEY-ID-OF-IAM-USER
   aws_secret_access_key = SECRET-ACCESS-KEY-ID-OF-IAM-USER
   region = us-east-1
   output = text
   ```

## 打开 控制台
<a name="opening-console"></a>

本节中大多数面向控制台的主题都从[OpenSearch 服务](https://console.aws.amazon.com/aos/home)控制台开始。如果您尚未登录您的 AWS 账户，请登录，然后打开[OpenSearch 服务控制台](https://console.aws.amazon.com/aos/home)并继续下一部分继续开始使用 OpenSearch 服务。