授权连接到 Amazon 服务 OpenSearch - 亚马逊 QuickSight
使用 VPC 连接使用 OpenSearch 权限
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

重要:我们已经重新设计了 Amazon QuickSight 分析工作空间。您可能会遇到无法反映 QuickSight 控制台新外观的屏幕截图或程序化文本。我们正在更新屏幕截图和过程文本。

要查找特征或项目,请使用快速搜索栏

有关新外观 QuickSight的更多信息,请参阅在 Amazon 上引入全新的分析体验 QuickSight

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授权连接到 Amazon 服务 OpenSearch

 适用于:企业版 
   目标受众:系统管理员 

OpenSearch 在 QuickSight 数据集中使用之前, QuickSight 管理员需要在有权访问 OpenSearch 控制台的人员的配合下完成一些任务。

首先,请确定要连接的每个 OpenSearch 域。然后为每个域收集以下信息:

  • OpenSearch 域名。

  • 该域使用的 OpenSearch 版本。

  • 域名的亚马逊资源名称 (ARN)。 OpenSearch

  • HTTPS 端点。

  • OpenSearch 仪表板 URL(如果您使用仪表板)。您可以通过将“/dashboards/”附加到端点来推断控制面板 URL。

  • 如果域具有 VPC 终端节点,请在 OpenSearch 服务控制台的 VPC 选项卡上收集所有相关信息:

    • VPC ID

    • VPC 安全组

    • 关联的一个或多个 IAM 角色

    • 相关的可用区

    • 关联的子网

  • 如果域有一个常规端点(不是 VPC 端点),请注意使用公共网络。

  • 每日自动快照的开始时间(如果您的用户想知道)。

在继续操作之前, QuickSight 管理员会启用从 QuickSight 到 OpenSearch 服务的授权连接。您从中连接的每项 Amazon 服务都需要此过程 QuickSight。对于用作数据源的每项服务,您只需 Amazon Web Services 账户 为每项 Amazon 服务执行一次此操作即可。

对于 OpenSearch 服务,授权过程会将 Amazon 托管策略AWSQuickSightOpenSearchPolicy添加到您的 Amazon Web Services 账户。

重要

确保您的 OpenSearch 域的 IAM 策略与中的权限不冲突AWSQuickSightOpenSearchPolicy。您可以在 OpenSearch 服务控制台中找到域访问策略。有关更多信息,请参阅《亚马逊 OpenSearch 服务开发者指南》中的配置访问策略

打开或关闭从 QuickSight 到 OpenSearch 服务的连接

  1. 在 Amazon QuickSight 中,选择管理员管理 QuickSight

  2. 选择安全和权限添加或删除

  3. 要启用连接,请选中 Amazon OpenSearch 服务复选框。

    要禁用连接,请清除 “亚马逊 OpenSearch 服务” 复选框。

  4. 选择更新,确认您的选择。

使用 VPC 连接

在某些情况下,您的 OpenSearch 域位于基于 Amazon VPC 服务的虚拟私有云 (VPC) 中。如果是,请确保确定 QuickSight 是否已连接到该 OpenSearch 域使用的 VPC ID。您可以重复使用现有 VPC 连接。如果您不确定它是否起作用,可以对它进行测试。有关更多信息,请参阅 测试与您的 VPC 数据来源的连接

如果您尚未在中 QuickSight 为要使用的 VPC 定义连接,则可以创建一个连接。此任务是一个多步骤的过程,您需要先完成此任务,然后才能继续。要了解如何添加 QuickSight 到 VPC 以及 QuickSight 如何添加从 VPC 的连接,请参阅使用亚马逊连接到 VPC QuickSight

使用 OpenSearch 权限

配置为 QuickSight 连接到 OpenSearch 服务后,可能需要在中启用权限 OpenSearch。对于设置过程的这一部分,您可以使用每个 OpenSearch 域的 OpenSearch 控制面板链接。使用以下列表来帮助确定您需要的权限:

  1. 对于使用精细访问控制的域,以角色的形式配置权限。此过程类似于在中使用范围缩小策略。 QuickSight

  2. 对于您为其创建角色的每个域,添加角色映射。

有关更多信息,请参阅下面的。

如果您的 OpenSearch 域启用了精细访问控制,则需要配置一些权限,以便可以从中访问该域。 QuickSight对于要使用的每个域,执行以下步骤。

以下过程使用 OpenSearch 仪表板,这是一种可与之配合使用的开源工具 OpenSearch。您可以在 OpenSearch 服务控制台的域控制面板上找到仪表板的链接。

向域添加权限以允许其进行访问 QuickSight

  1. 打开您要 OpenSearch 使用的域名的控制面 OpenSearch 板。URL 为 opensearch-domain-endpoint/dashboards/

  2. 在导航窗格中,选择安全性

    如果您未看到导航窗格,请使用左上角的菜单图标将其打开。要保持菜单处于打开状态,请选择左下角的悬浮导航

  3. 依次选择角色创建角色

  4. 将角色命名为 quicksight_role

    您可以选择其他名称,但我们推荐使用这个名称,因为我们在文档中使用的就是这个名称,因此更容易予以支持。

  5. 集群权限下,添加以下权限:

    • cluster:monitor/main

    • cluster:monitor/health

    • cluster:monitor/state

    • indices:data/read/scroll

    • indices:data/read/scroll/clear,

  6. 索引权限下,将 * 指定为索引模式。

  7. 对于索引权限,请添加以下权限:

    • indices:admin/get

    • indices:admin/mappings/fields/get*

    • indices:data/read/search*

  8. 选择 创建

  9. 对您计划使用的每个 OpenSearch 域名重复此过程。

使用以下过程,为在上一个过程中添加的权限添加角色映射。您可能会发现,在单个流程中添加权限和角色映射会更有效率。为清楚起见,这些说明是分开的。

为您添加的 IAM 角色创建角色映射

  1. 打开您要 OpenSearch 使用的域名的控制面 OpenSearch 板。URL 为 opensearch-domain-endpoint/dashboards/

  2. 在导航窗格中,选择安全性

  3. 从列表中搜索并打开 quicksight_role

  4. 映射的用户选项卡上,选择管理映射

  5. 后端角色部分,输入 Amazon由托管的 IAM 角色的 ARN。 QuickSight以下为示例。

    arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0

  6. 选择映射

  7. 对要使用的每个 OpenSearch 域重复此过程。