授權連接到 Amazon OpenSearch 服務 - Amazon QuickSight
使用 VPC 連線使用 OpenSearch 權限

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

授權連接到 Amazon OpenSearch 服務

 適用對象:企業版 
   目標對象:系統管理員 

在您可以 OpenSearch 在 QuickSight 資料集中使用之前, QuickSight 系統管理員必須先完成一些工作,並與有權存取 OpenSearch 主控台的人員合作。

若要開始使用,請識別您要連線的每個 OpenSearch 網域。然後,為每個域收集下列資訊:

  • 網域的名 OpenSearch 稱。

  • 此網域使用的 OpenSearch 版本。

  • OpenSearch 域的 Amazon 資源名稱(ARN)。

  • HTTPS 端點。

  • OpenSearch 儀表板 URL (如果您使用儀表板)。您可以將 "/dashboards/" 附加至端點,以推斷 Dashboards URL。

  • 如果網域具有 VPC 端點,請在 OpenSearch 服務主控台的 VPC 索引標籤上收集所有相關資訊:

    • VPC ID

    • VPC 安全群組

    • 關聯的 IAM 角色

    • 關聯的可用區域

    • 關聯的子網路

  • 如果域具有一般端點 (不是 VPC 端點),則請注意其會使用公有網路。

  • 每日自動快照的開始時間 (如果您的使用者想知道)。

在您繼續之前, QuickSight 管理員會啟用從 QuickSight OpenSearch 服務的授權連線。您從中連接的每個 AWS 服務都需要此過程 QuickSight。對於作為資料來源使用的每 AWS 帳戶 個 AWS 服務,您只需要執行一次此操作。

對於 OpenSearch Service,授權程序會將 AWS 受管理的政策新增AWSQuickSightOpenSearchPolicy至您的 AWS 帳戶.

重要

請確定您 OpenSearch 網域的 IAM 政策不會與中的許可衝突AWSQuickSightOpenSearchPolicy。您可以在 OpenSearch 服務主控台中找到網域存取原則。如需詳細資訊,請參Amazon OpenSearch 服務開發人員指南中的設定存取政策

開啟或關閉「 OpenSearch 服務」的 QuickSight 連線

  1. 在 Amazon 中 QuickSight,選擇管理管理 QuickSight

  2. 選擇安全和許可新增或移除

  3. 若要啟用連線,請選取 Amazon OpenSearch 服務核取方塊。

    若要停用連線,請清除 Amazon OpenSearch 服務核取方塊。

  4. 選擇更新,以確認您的選擇。

使用 VPC 連線

在某些情況下,您的 OpenSearch 網域位於以 Amazon VPC 服務為基礎的虛擬私有雲 (VPC) 中。如果是這樣,請確定 QuickSight 是否已連線至 OpenSearch 網域使用的 VPC ID。您可以重複使用現有的 VPC 連線。如果您不確定其是否會正常運作,您可以進行測試。如需詳細資訊,請參閱 測試與 VPC 資料來源的連線

如果尚未在中 QuickSight 為您要使用的 VPC 定義連線,您可以建立一個連線。此任務是一個多步驟程序,您需要先完成該程序才能繼續進行。若要瞭解如何新增 QuickSight 至 VPC 並從 VPC 新增連線, QuickSight 請參閱。使用 Amazon 連接到 VPC QuickSight

使用 OpenSearch 權限

設定 QuickSight 為連線到 OpenSearch 服務之後,您可能需要在中啟用權限 OpenSearch。對於設定程序的這一部分,您可以使用每個 OpenSearch 網域的 OpenSearch 儀表板連結。使用下列清單,以協助判斷您需要的許可:

  1. 對於使用精細存取控制的域,以角色的形式設定許可。此程序類似於在中使用範圍縮減原則。 QuickSight

  2. 針對您為其建立角色的每個域,新增角色映射。

如需詳細資訊,請參閱下方。

如果您的 OpenSearch 網域啟用了精細的存取控制,則需要設定一些權限,以便從中 QuickSight存取網域。針對您想要使用的每個域,執行這些步驟。

下列程序會使用 OpenSearch 儀表板,儀表板是可搭配使用的開放原始碼工具 OpenSearch。您可以在 OpenSearch 服務主控台的網域儀表板上找到儀表板的連結。

將權限新增至允許存取的網域 QuickSight

  1. 針對您要使用的 OpenSearch 網域開啟 OpenSearch 儀表板。URL 是 opensearch-domain-endpoint/dashboards/

  2. 從導覽窗格中,選擇安全

    如果看不到導覽窗格,請使用左上角的選單圖示將其開啟。若要保持選單開啟,請選擇左下角的 Dock 導覽

  3. 選擇 Roles (角色)Create role (建立角色)

  4. 將角色命名為 quicksight_role

    您可以選擇不同的名稱,但建議您使用這個名稱,因為我們會在文件中用到它,因此更易於支援。

  5. 叢集許可下,新增下列許可:

    • cluster:monitor/main

    • cluster:monitor/health

    • cluster:monitor/state

    • indices:data/read/scroll

    • indices:data/read/scroll/clear,

  6. 索引許可下,指定 * 作為索引模式。

  7. 索引許可下,新增下列許可:

    • indices:admin/get

    • indices:admin/mappings/fields/get*

    • indices:data/read/search*

  8. 選擇建立

  9. 針對您打算使用的每個 OpenSearch 網域重複此程序。

使用下列程序,針對您在先前程序中新增的許可新增角色映射。您可能會發現將許可和角色映射新增為單一程序的一部分會更有效率。為了清晰起見,這些指示是分開的。

為您新增的 IAM 角色建立角色映射

  1. 針對您要使用的 OpenSearch 網域開啟 OpenSearch 儀表板。URL 是 opensearch-domain-endpoint/dashboards/

  2. 從導覽窗格中,選擇安全

  3. 從清單中搜尋並開啟 quicksight_role

  4. 已映射的使用者標籤上,選擇管理映射

  5. 在「後端角色」區段中,輸入的 AWS受管 IAM 角色的 ARN。 QuickSight以下是範例。

    arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0

  6. 選擇映射

  7. 針對您要使用的每個 OpenSearch 網域重複此程序。