本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 授权连接到 Amazon 服务 OpenSearch OpenSearch | | | --- | |  适用于:企业版  | | | | --- | |    目标受众:系统管理员  | OpenSearch 在 Amazon Quick Sight 数据集中使用之前,Quick 管理员需要在有权访问 OpenSearch 控制台的人员的配合下完成一些任务。 首先,请确定要连接的每个 OpenSearch 域。然后为每个域收集以下信息: + OpenSearch 域的名称。 + 该域使用的 OpenSearch 版本。 + 域名的亚马逊资源名称 (ARN)。 OpenSearch + HTTPS 端点。 + OpenSearch 仪表板 URL(如果您使用仪表板)。您可以通过将“`/dashboards/`”附加到端点来推断控制面板 URL。 + 如果域具有 VPC 终端节点,请在 OpenSearch 服务控制台的 VPC 选项卡上收集所有相关信息: + VPC ID + VPC 安全组 + 关联的一个或多个 IAM 角色 + 相关的可用区 + 关联的子网 + 如果域有一个常规端点(不是 VPC 端点),请注意使用公共网络。 + 每日自动快照的开始时间(如果您的用户想知道)。 在您继续操作之前,Amazon Quick 管理员会启用从 Amazon Quick 到 S OpenSearch ervice 的授权连接。您从 Amazon Quick 连接的每项 Amazon 服务都需要执行此过程。对于用作数据源的每项服务,您只需 Amazon Web Services 账户 为每项 Amazon 服务执行一次此操作即可。 对于 OpenSearch 服务,授权过程会将 Amazon 托管策略`AWSQuickSightOpenSearchPolicy`添加到您的 Amazon Web Services 账户。 **重要** 确保您的 OpenSearch 域的 IAM 策略与中的权限不冲突`AWSQuickSightOpenSearchPolicy`。您可以在 OpenSearch 服务控制台中找到域访问策略。有关更多信息,请参阅《*亚马逊 OpenSearch 服务开发者指南*》中的[配置访问策略](https://docs.amazonaws.cn/opensearch-service/latest/developerguide/ac.html#ac-creating)。 **开启或关闭 Amazon Quick to S OpenSearch ervice 的连接** 1. 在 Amazon Quick 中,选择**管理员**并**快速管理 Amazon Quick**。 1. 选择**安全和权限**、**添加或删除**。 1. 要启用连接,请选中 **Amazon OpenSearch 服务**复选框。 要禁用连接,请清除 “**亚马逊 OpenSearch 服务**” 复选框。 1. 选择**更新**,确认您的选择。 如果需要,请使用以下主题配置 OpenSearch VPC 连接和 Amazon Quick 访问权限 OpenSearch。 **Topics** + [ ## 使用 VPC 连接 ](#opensearch-and-vpc-connection) + [ ## 使用 OpenSearch 权限 ](#opensearch-permissions) ## 使用 VPC 连接 在某些情况下,您的 OpenSearch 域位于基于 Amazon VPC 服务的虚拟私有云 (VPC) 中。如果是,请务必确定 Amazon Quick 是否已连接到该 OpenSearch 域所使用的 VPC ID。您可以重复使用现有 VPC 连接。如果您不确定它是否起作用,可以对它进行测试。有关更多信息,请参阅[测试与您的 Amazon VPC 数据源的连接](https://docs.amazonaws.cn/quicksight/latest/user/vpc-creating-a-quicksight-data-source-profile.html)。 如果尚未在 Amazon Quick 中为您要使用的 VPC 定义连接,则可以创建一个连接。此任务是一个多步骤的过程,您需要先完成此任务,然后才能继续。要了解如何将 Amazon Quick 添加到 VPC 以及如何添加从 Amazon Quick 到 VPC 的连接,请参阅[使用 Amazon Quick 连接到亚马逊 VPC](https://docs.amazonaws.cn/quicksight/latest/user/working-with-aws-vpc.html)。 ## 使用 OpenSearch 权限 将 Amazon Quick 配置为连接到 OpenSearch 服务后,您可能需要在中启用权限 OpenSearch。对于设置过程的这一部分,您可以使用每个 OpenSearch 域的 OpenSearch 控制面板链接。使用以下列表来帮助确定您需要的权限: 1. 对于使用精细访问控制的域,以角色的形式配置权限。此过程与在 Amazon Quick 中使用范围缩小策略类似。 1. 对于您为其创建角色的每个域,添加角色映射。 有关更多信息,请参阅下面的。 如果您的 OpenSearch 域名启用了[精细访问控制](https://docs.amazonaws.cn/opensearch-service/latest/developerguide/fgac.html),则需要配置一些权限,以便可以从 Amazon Quick 访问该域。对于要使用的每个域,执行以下步骤。 以下过程使用 OpenSearch 仪表板,这是一种可与之配合使用的开源工具 OpenSearch。您可以在 OpenSearch 服务控制台的域控制面板上找到仪表板的链接。 **向域添加权限以允许从 Amazon Quick 进行访问** 1. 打开您要 OpenSearch 使用的域名的控制面 OpenSearch 板。URL 为 `opensearch-domain-endpoint/dashboards/`。 1. 在导航窗格中,选择**安全性**。 如果您未看到导航窗格,请使用左上角的菜单图标将其打开。要保持菜单处于打开状态,请选择左下角的**悬浮导航**。 1. 依次选择**角色**和**创建角色**。 1. 将角色命名为 **quicksight\$1role**。 您可以选择其他名称,但我们推荐使用这个名称,因为我们在文档中使用的就是这个名称,因此更容易予以支持。 1. 在**集群权限**下,添加以下权限: + `cluster:monitor/main` + `cluster:monitor/health` + `cluster:monitor/state` + `indices:data/read/scroll` + `indices:data/read/scroll/clear`, 1. 在**索引权限**下,将 **\$1** 指定为索引模式。 1. 对于**索引权限**,请添加以下权限: + `indices:admin/get` + `indices:admin/mappings/get` + `indices:admin/mappings/fields/get*` + `indices:data/read/search*` + `indices:monitor/settings/get` 1. 选择**创建**。 1. 对您计划使用的每个 OpenSearch 域名重复此过程。 使用以下过程,为在上一个过程中添加的权限添加角色映射。您可能会发现,在单个流程中添加权限和角色映射会更有效率。为清楚起见,这些说明是分开的。 **为您添加的 IAM 角色创建角色映射** 1. 打开您要 OpenSearch 使用的域名的控制面 OpenSearch 板。URL 为 `opensearch-domain-endpoint/dashboards/`。 1. 在导航窗格中,选择**安全性**。 1. 从列表中搜索并打开 **quicksight\$1role**。 1. 在**映射的用户**选项卡上,选择**管理映射**。 1. 在**后端角色**部分,输入 Amazon Quick 的 Amazon托管 IAM 角色的 ARN。以下为示例。 ``` arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0 ``` 1. 选择**映射**。 1. 对要使用的每个 OpenSearch 域重复此过程。