使用 OpenSearch 权限 - Amazon QuickSight
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用 OpenSearch 权限

将 QuickSight 配置为连接到 OpenSearch Service 后,可能需要启用 OpenSearch 中的权限。对于设置过程的这一部分,您可以使用针对每个 OpenSearch 域的 OpenSearch 控制面板链接。使用以下列表来帮助确定您需要的权限:

  1. 对于使用精细访问控制的域,以角色的形式配置权限。此过程与在 QuickSight 中使用范围缩小策略类似。

  2. 对于您为其创建角色的每个域,添加角色映射。

有关更多信息,请参阅下面的。

如果您的 OpenSearch 域启用了精细访问控制,则需要配置一些权限,以便可以从 QuickSight 访问该域。对于要使用的每个域,执行以下步骤。

以下过程使用 OpenSearch 控制面板,这是一款与 OpenSearch 配合使用的开源工具。您可以在 OpenSearch Service 控制台的域控制面板中找到指向控制面板的链接。

向域添加权限以允许通过 QuickSight 进行访问

  1. 打开您要使用的 OpenSearch 域的 OpenSearch 控制面板。URL 为 opensearch-domain-endpoint/dashboards/

  2. 在导航窗格中,选择安全性

    如果您未看到导航窗格,请使用左上角的菜单图标将其打开。要保持菜单处于打开状态,请选择左下角的悬浮导航

  3. 依次选择角色创建角色

  4. 将角色命名为 quicksight_role

    您可以选择其他名称,但我们推荐使用这个名称,因为我们在文档中使用的就是这个名称,因此更容易予以支持。

  5. 集群权限下,添加以下权限:

    • cluster:monitor/main

    • cluster:monitor/health

    • cluster:monitor/state

    • indices:data/read/scroll

    • indices:data/read/scroll/clear,

  6. 索引权限下,将 * 指定为索引模式。

  7. 对于索引权限,请添加以下权限:

    • indices:admin/get

    • indices:admin/mappings/get

    • indices:admin/mappings/fields/get*

    • indices:data/read/search*

    • indices:monitor/settings/get

  8. 选择创建

  9. 对于计划使用的每个 OpenSearch 域重复此过程。

使用以下过程,为在上一个过程中添加的权限添加角色映射。您可能会发现,在单个流程中添加权限和角色映射会更有效率。为清楚起见,这些说明是分开的。

为您添加的 IAM 角色创建角色映射

  1. 打开您要使用的 OpenSearch 域的 OpenSearch 控制面板。URL 为 opensearch-domain-endpoint/dashboards/

  2. 在导航窗格中,选择安全性

  3. 从列表中搜索并打开 quicksight_role

  4. 映射的用户选项卡上,选择管理映射

  5. 后端角色部分中,为 QuickSight 输入 Amazon 托管 IAM 角色的 ARN。以下为示例。

    arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0

  6. 选择映射

  7. 对要使用的每个 OpenSearch 域重复此过程。