本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 管理数据来源关联和虚拟私有云访问权限
使用本节中的步骤管理数据来源关联,并为虚拟私有云(VPC)配置所需的访问权限。
**Topics**
+ [将数据源与 OpenSearch UI 应用程序关联](#application-data-source-association)
+ [管理 VPC 中域的访问权限](#application-manage-vpc-access)
+ [在 VPC 中配置对 OpenSearch 无服务器集合的访问权限](#application-configure-vpc-access-serverless-connections)
## 将数据源与 OpenSearch UI 应用程序关联
创建 OpenSearch UI 应用程序后,您可以使用控制台或 Amazon CLI 将其与一个或多个数据源相关联。之后,最终用户可从这些数据来源中检索数据,以进行搜索、使用控制面板等操作。
### 将数据源与 OpenSearch UI 应用程序关联(控制台)
**使用控制台将数据源与 OpenSearch UI 应用程序关联**
1. 在[https://console.aws.amazon.com/aos/家](https://console.amazonaws.cn/aos/home)中登录亚马逊 OpenSearch 服务控制台。
1. 选择 **OpenSearch UI(仪表板)**,然后选择 OpenSearch UI 应用程序的名称。
1. 在**关联的数据来源**区域中,选择**管理数据来源**。
1. 从要与应用程序关联的 OpenSearch 域名和集合中进行选择。
**提示**
如果您未能找到所需的数据来源,请联系管理员为您授予所需权限。有关更多信息,请参阅 [创建使用 IAM Identity Centity 身份验证的应用程序的权限(可选)](application-getting-started.md#prerequisite-permissions-idc)。
1. 选择**下一步**,然后选择**保存**。
将数据来源与应用程序关联后,将启用程序详情页上的**启动应用程序**按钮。您可以选择 **Launch Appl** icati **on 来打开 “欢迎**使用 OpenSearch” 页面,您可以在其中创建和管理工作区。
有关使用工作区的更多信息,请参阅 [使用亚马逊 OpenSearch 服务工作空间](application-workspaces.md)。
## 管理 VPC 中域的访问权限
如果 VPC 中的某个 OpenSearch 域与应用程序关联,则 VPC 管理员必须使用控制台或授权 OpenSearch UI 和 VPC 之间的访问权限 Amazon CLI。
### 管理 VPC 中域的访问权限(控制台)
**要使用 Amazon Web Services 管理控制台配置对 VPC 域的访问权限,请执行以下操作:**
1. 在[https://console.aws.amazon.com/aos/家](https://console.amazonaws.cn/aos/home)中登录亚马逊 OpenSearch 服务控制台。
1. 在左侧导航窗格中,选择**域**,然后选择 VPC 域的名称。
–或者–
选择**创建域**,然后配置域的详细信息。
1. 选择 **VPC 端点**选项卡,然后选择**授权主体**。
1. 在**授权委托人**对话框中,选择**授权其他 Amazon 服务的委托人,然后从**列表中选择**OpenSearch 应用程序(控制面板)**。
1. 选择**授权**。
### 管理 VPC 中域的访问权限(Amazon CLI)
**要使用 VPC 域授权 Amazon CLI**
要使用授权 VPC 域 Amazon CLI,请运行以下命令。将 *placeholder values* 替换为您自己的信息。
```
aws opensearch authorize-vpc-endpoint-access \
--domain-name domain-name \
--service application.opensearchservice.amazonaws.com \
--region region-id
```
**使用控制台撤销 VPC 域关联**
当不再需要关联时,VPC 域所有者可荣国以下步骤撤销访问权限。
1. 在[https://console.aws.amazon.com/aos/家](https://console.amazonaws.cn/aos/home)中登录亚马逊 OpenSearch 服务控制台。
1. 在左侧导航窗格中,选择**域**,然后选择 VPC 域的名称。
1. 选择 **VPC 终端节点**选项卡,然后选择**OpenSearch 应用程序(控制面板)**行的按钮。
1. 然后选择**撤消访问权限**。
**要撤消 VPC 域关联,请使用 Amazon CLI**
要撤消与 OpenSearch UI 应用程序的 VPC 域关联,请运行以下命令。将 *placeholder values* 替换为您自己的信息。
```
aws opensearch revoke-vpc-endpoint-access \
--domain-name domain-name \
--service application.opensearchservice.amazonaws.com \
--region region-id
```
## 在 VPC 中配置对 OpenSearch 无服务器集合的访问权限
如果 VPC 中的 Amazon OpenSearch Serverless 集合与该应用程序关联,VPC 管理员可以通过创建新的网络策略并将其附加到集合中来授权访问。
### 在 VPC 中配置对 OpenSearch 无服务器集合的访问权限(控制台)
**使用控制台配置对 VPC 中 OpenSearch 无服务器集合的访问权限**
1. 在[https://console.aws.amazon.com/aos/家](https://console.amazonaws.cn/aos/home)中登录亚马逊 OpenSearch 服务控制台。
1. 在左侧导航栏中,选择**网络策略**,选择网络策略的名称,然后选择**编辑**。
–或者–
选择**创建网络策略**,然后配置该策略的详细信息。
1. 在**访问权限类型**区域中,选择**私有(推荐)**,然后选择 **Amazon 服务私有访问权限**。
1. 在搜索字段中,选择**服务**,然后选择 `application.opensearchservice.amazonaws.com`。
1. 在 “**资源类型**” 区域中,选中 “**启用 OpenSearch 终端节点访问权限**” 复选框。
1. 对于**搜索合集,或输入特定前缀词**,在搜索字段中选择**集合名称**,然后输入或选择要与网络策略关联的集合名称。
1. 针对新网络策略选择**创建**,或针对现有网络策略选择**更新**。
### 在 VPC 中配置对 OpenSearch 无服务器集合的访问权限 ()Amazon CLI
**要配置对 VPC 中 OpenSearch 无服务器集合的访问权限,请使用 Amazon CLI**
1. 创建 .json 文件,类似于以下内容。将 *placeholder values* 替换为您自己的信息。
```
{
"Description" : "policy-description",
"Rules": [{
"ResourceType" : "collection",
"Resource" : ["collection/collection_name"]
}],
"SourceServices" : [
"application.opensearchservice.amazonaws.com"
],
"AllowFromPublic" : false
}
```
1. 为 VPC 中的集合创建或更新网络策略,使其与 OpenSearch UI 应用程序配合使用。
------
#### [ Create a network policy ]
运行如下命令。将 *placeholder values* 替换为您自己的信息。
```
aws opensearchserverless create-security-policy \
--type network \
--region region \
--endpoint-url endpoint-url \
--name network-policy-name \
--policy file:/path_to_network_policy_json_file
```
命令返回类似于下文的信息:
```
{
"securityPolicyDetail": {
"createdDate": ******,
"lastModifiedDate": ******,
"name": "network-policy-name",
"policy": [
{
"SourceVPCEs": [],
"AllowFromPublic": false,
"Description": "",
"Rules": [
{
"Resource": [
"collection/network-policy-name"
],
"ResourceType": "collection"
}
],
"SourceServices": [
"application.opensearchservice.amazonaws.com"
]
}
],
"policyVersion": "******",
"type": "network"
}
}
```
------
#### [ Update a network policy ]
运行如下命令。将 *placeholder values* 替换为您自己的信息。
```
aws opensearchserverless update-security-policy \
--type network \
--region region \
--endpoint-url endpoint-url \
--name network-policy-name \
--policy-version "policy_version_from_output_of_network_policy_creation" \
--policy file:/path_to_network_policy_json_file
```
命令返回类似于下文的信息:
```
{
"securityPolicyDetail": {
"createdDate": ******,
"lastModifiedDate": ******,
"name": "network-policy-name",
"policy": [
{
"SourceVPCEs": [],
"AllowFromPublic": false,
"Description": "",
"Rules": [
{
"Resource": [
"collection/network-policy-name"
],
"ResourceType": "collection"
}
],
"SourceServices": [
"application.opensearchservice.amazonaws.com"
]
}
],
"policyVersion": "******",
"type": "network"
}
}
```
------