本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
建立 Amazon Managed Service for Prometheus 資料來源
若要建立 Amazon Managed Service for Prometheus 資料來源,您需要作用中的工作區和 IAM 角色,授予 OpenSearch Service 查詢指標的必要許可。
先決條件
連接資料來源之前,請確定您有下列項目:
-
Prometheus 工作區 – 作用中的 Amazon Managed Service for Prometheus 工作區。請記下您的工作區 ID AWS 區域 及其所在位置。
-
IAM 角色 – 具有信任政策的角色,允許
directquery.opensearchservice.amazonaws.com服務主體擔任該 AWS Identity and Access Management 角色。
連接資料來源
滿足先決條件後,您可以使用 OpenSearch Service 主控台連接資料來源。
設定 Amazon Managed Service for Prometheus 資料來源
-
在 https://console.aws.amazon.com/aos/
瀏覽至 Amazon OpenSearch Service 主控台。 -
在左側導覽窗格中,前往中央管理並選擇已連線的資料來源。
-
選擇連接新資料來源。
-
選擇 Amazon Managed Service for Prometheus 作為資料來源類型。
-
選擇下一步。
-
在資料連線詳細資訊下,輸入名稱和選用描述。
-
在 IAM 角色下,選擇如何管理存取:
-
若要自動為此資料來源建立角色:
-
選取建立新角色。
-
輸入 IAM 角色的名稱。
-
選取一或多個工作區,以定義可查詢哪些資料。
-
-
若要使用您自己管理的現有角色:
-
選取使用現有角色。
-
從下拉式功能表中選取現有角色。
-
注意
使用您自己的角色時,請從 IAM 主控台連接必要的政策,以確保它具有所有必要的許可。如需詳細資訊,請參閱手動建立 IAM 角色的必要許可。
-
-
(選用) 在存取政策下,設定資料來源的存取政策。存取政策控制是否接受或拒絕對 OpenSearch Service 直接查詢資料來源的請求。如果您未設定存取政策,則只有資料來源擁有者可以存取。您可以設定存取政策以啟用跨帳戶存取,允許其他 中的主體 AWS 帳戶 存取資料來源。
您可以使用視覺化編輯器或提供 JSON 政策文件來建立存取政策。使用視覺化編輯器,您可以透過指定委託人 AWS 帳戶 ID、帳戶 ARN、IAM 使用者 ARN、IAM 角色 ARN、來源 IP 地址或 CIDR 區塊來允許或拒絕存取。視覺化編輯器最多支援 10 個元素。若要定義超過 10 個元素的政策,請使用 JSON 編輯器。
您也可以選擇匯入政策,從另一個資料來源匯入現有的存取政策。
-
(選用) 在標籤下,將標籤新增至資料來源。
-
選擇下一步。
-
在設定 OpenSearch 下,選擇如何設定 OpenSearch UI:
-
如果您的帳戶中沒有 OpenSearch UI 應用程式,請建立新的 OpenSearch 應用程式。如果現有的 OpenSearch 應用程式存在,請選取它。
-
如果您建立新的應用程式,請建立新的可觀測性工作區。如果您選取現有的應用程式,請建立新的可觀測性工作區或選取現有的工作區。Amazon Managed Service for Prometheus 僅適用於可觀測性工作區。
-
-
選擇下一步。
-
檢閱您的選擇,如果您需要進行任何變更,請選擇編輯。
-
選擇連線以設定資料來源。建立資料來源時,請保留在此頁面上。準備就緒後,系統會帶您前往資料來源詳細資訊頁面。
後續步驟
造訪 OpenSearch UI
建立資料來源之後,OpenSearch Service 會為您提供 OpenSearch UI 應用程式 URL。您可以使用此功能來設定可存取 OpenSearch UI 的人員,並使用 Discover Metrics with PromQL 來分析 Amazon Managed Service for Prometheus 資料。
其他資源
手動建立 IAM 角色的必要許可
建立資料來源時,您可以選擇 IAM 角色來管理對資料的存取。您有兩種選擇:
-
自動建立新的 IAM 角色
-
使用您手動建立的現有 IAM 角色
如果您使用手動建立的角色,則需要將正確的許可連接到角色。許可必須允許存取特定資料來源,並允許 OpenSearch Service 擔任該角色。這是必要的,以便 OpenSearch Service 可以安全地存取您的資料並與之互動。
下列範例政策示範建立和管理資料來源所需的最低權限許可。如果您有更廣泛的許可,例如 aps:*或 AdministratorAccess政策,這些許可會包含範例政策中最低權限的許可。
在下列範例政策中,將預留位置文字取代為您自己的資訊。
範例 IAM 政策
將下列許可連接至您的 IAM 角色,以允許 OpenSearch Service 擷取指標中繼資料並執行查詢:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonOpenSearchDirectQueryPrometheusAccess", "Effect": "Allow", "Action": [ "aps:DeleteAlertManagerSilence", "aps:GetAlertManagerSilence", "aps:GetAlertManagerStatus", "aps:GetLabels", "aps:GetMetricMetadata", "aps:GetSeries", "aps:ListAlertManagerAlertGroups", "aps:ListAlertManagerAlerts", "aps:ListAlertManagerReceivers", "aps:ListAlertManagerSilences", "aps:ListAlerts", "aps:QueryMetrics", "aps:PutAlertManagerSilences", "aps:DescribeAlertManagerDefinition", "aps:CreateRuleGroupsNamespace", "aps:DeleteRuleGroupsNamespace", "aps:ListRuleGroupsNamespaces", "aps:DescribeRuleGroupsNamespace", "aps:PutRuleGroupsNamespace" ], "Resource": "arn:aws:aps:region:account-id:workspace/workspace-id", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "directquery.opensearchservice.amazonaws.com" ] } } }, { "Sid": "AmazonOpenSearchDirectQueryPrometheusListAccess", "Effect": "Allow", "Action": [ "aps:ListWorkspaces" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "directquery.opensearchservice.amazonaws.com" ] } } } ] }
信任政策範例
將下列信任政策連接至您的 IAM 角色:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "TrustPolicyForAmazonOpenSearchDirectQueryService", "Effect": "Allow", "Principal": { "Service": "directquery.opensearchservice.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnEquals": { "aws:SourceArn": "arn:aws:opensearch:region:account-id:datasource/data-source-name" }, "StringEquals": { "aws:SourceAccount": "account-id" } } } ] }
