本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 设置亚马逊 OpenSearch 服务
<a name="setting-up"></a>

## 授予权限
<a name="setting-up-iam"></a>

在生产环境中，我们建议您使用更精细的策略。要了解有关访问管理的更多信息，请参阅 IAM 用户指南中的[Amazon 资源访问管理](https://docs.amazonaws.cn/IAM/latest/UserGuide/access.html)。

要提供访问权限，请为您的用户、组或角色添加权限：
+ 通过身份提供商在 IAM 中托管的用户：

  创建适用于身份联合验证的角色。按照《IAM 用户指南》**中[针对第三方身份提供商创建角色（联合身份验证）](https://docs.amazonaws.cn//IAM/latest/UserGuide/id_roles_create_for-idp.html)的说明进行操作。
+ IAM 用户：
  + 创建您的用户可以担任的角色。按照《IAM 用户指南》**中[为 IAM 用户创建角色](https://docs.amazonaws.cn//IAM/latest/UserGuide/id_roles_create_for-user.html)的说明进行操作。
  + （不推荐使用）将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》**中[向用户添加权限（控制台）](https://docs.amazonaws.cn//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)中的说明进行操作。

### 授予编程式访问权限
<a name="setting-up-access"></a>

如果用户想在 Amazon 外部进行交互，则需要编程访问权限 Amazon Web Services 管理控制台。 Amazon APIs 和 Amazon Command Line Interface 需要访问密钥。可能的话，创建临时凭证，该凭证由一个访问密钥 ID、一个秘密访问密钥和一个指示凭证何时到期的安全令牌组成。

要向用户授予编程式访问权限，请选择以下选项之一。


****  

| 哪个用户需要编程式访问权限？ | 目的 | 方式 | 
| --- | --- | --- | 
| IAM | 使用短期证书签署对 Amazon CLI 或的编程请求 Amazon APIs（直接或使用 Amazon SDKs）。 | 按照 IAM 用户指南中的将[临时证书与 Amazon 资源配合使用](https://docs.amazonaws.cn//IAM/latest/UserGuide/id_credentials_temp_use-resources.html)中的说明进行操作。 | 
| IAM | （不推荐使用）使用长期证书签署对 Amazon CLI 或的编程请求 Amazon APIs（直接或使用 Amazon SDKs）。 | 按照《IAM 用户指南》中[管理 IAM 用户的访问密钥](https://docs.amazonaws.cn//IAM/latest/UserGuide/id_credentials_access-keys.html)中的说明进行操作。 | 

## 安装和配置 Amazon CLI
<a name="setting-up-cli"></a>

如果要使用 OpenSearch 服务 APIs，则必须安装最新版本的 Amazon Command Line Interface (Amazon CLI)。您不需要通过控制台使用 OpenSearch 服务，也可以按照中的步骤在没有 CLI 的情况下开始使用[亚马逊 OpenSearch 服务入门](gsg.md)。 Amazon CLI 

**要设置 Amazon CLI**

1. 要安装 Amazon CLI 适用于 macOS、Linux 或 Windows 的最新版本，请参阅[安装或更新最新版本的](https://docs.amazonaws.cn/cli/latest/userguide/getting-started-install.html)。 Amazon CLI

1. 要配置 Amazon CLI 和安全设置您的访问 Amazon Web Services 服务权限（包括 OpenSearch 服务），请参阅[使用进行快速配置`aws configure`](https://docs.amazonaws.cn/cli/latest/userguide/cli-configure-quickstart.html#cli-configure-quickstart-config)。

1. 要验证设置，请在 DataBrew 命令提示符下输入以下命令。

   ```
   aws opensearch help
   ```

   Amazon CLI 命令使用配置 Amazon Web Services 区域 中的默认值，除非您使用参数或配置文件进行设置。要使用参数 Amazon Web Services 区域 进行设置，可以将该`--region`参数添加到每个命令中。

   要使用配置文件 Amazon Web Services 区域 进行设置，请先在`~/.aws/config`文件或文件中添加命名的配置`%UserProfile%/.aws/config`文件（适用于 Microsoft Windows）。按 [Amazon CLI的命名配置文件](https://docs.amazonaws.cn/cli/latest/userguide/cli-configure-profiles.html)中的步骤执行操作。接下来，使用与以下示例类似的命令来设置您的 Amazon Web Services 区域 和其他设置。

   ```
   [profile opensearch]
   aws_access_key_id = ACCESS-KEY-ID-OF-IAM-USER
   aws_secret_access_key = SECRET-ACCESS-KEY-ID-OF-IAM-USER
   region = us-east-1
   output = text
   ```

## 打开 控制台
<a name="opening-console"></a>

本节中大多数面向控制台的主题都从[OpenSearch 服务](https://console.amazonaws.cn/aos/home)控制台开始。如果您尚未登录您的 Amazon Web Services 账户，请登录，然后打开[OpenSearch 服务控制台](https://console.amazonaws.cn/aos/home)并继续下一部分继续开始使用 OpenSearch 服务。