Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwenden der OpenSearch Benutzeroberfläche in Amazon OpenSearch Service
OpenSearch UI (Benutzerschnittstelle) ist ein modernisiertes operatives Analyseerlebnis für Amazon OpenSearch Service, das Ihnen eine einheitliche Ansicht für die Interaktion mit Daten aus mehreren Quellen bietet. Im Gegensatz zu OpenSearch Dashboards, die nur mit der einen Domain oder Sammlung funktionieren, die sie hostet, wird die OpenSearch Benutzeroberfläche in der gehostet. AWS Cloud Auf diese Weise kann die OpenSearch Benutzeroberfläche eine hohe Verfügbarkeit erreichen und bei Cluster-Upgrades funktionsfähig bleiben. Außerdem kann eine native Verbindung mit mehreren Datenquellen hergestellt werden. Informationen zu OpenSearch Dashboards finden Sie unter. [Verwenden von OpenSearch Dashboards mit Amazon Service OpenSearch](dashboards.md)
Im Folgenden sind die wichtigsten Funktionen der OpenSearch Benutzeroberfläche aufgeführt:
+ **Unterstützung mehrerer Datenquellen** — Die OpenSearch Benutzeroberfläche kann eine Verbindung zu mehreren Datenquellen herstellen, um eine umfassende Ansicht zu erstellen. Dazu gehören OpenSearch Domains und serverlose Sammlungen sowie integrierte AWS Datenquellen wie Amazon CloudWatch, Amazon Security Lake und Amazon Simple Storage Service (Amazon S3).
+ **Keine Ausfallzeiten bei Upgrades** — die OpenSearch Benutzeroberfläche wird im AWS Cloud gehostet. Dies bedeutet, dass es betriebsbereit OpenSearch bleibt und während Upgrade-Prozessen Daten aus Clustern abrufen kann.
+ **Arbeitsbereiche** — Kuratierte Bereiche für die Zusammenarbeit im Team für verschiedene Workflows wie Observability, Security Analytics und Search. Du kannst die Datenschutzeinstellungen definieren und die Berechtigungen für Mitarbeiter in deinem Workspace verwalten.
+ **Single Sign-On** — Die OpenSearch Benutzeroberfläche arbeitet mit einem AWS IAM Identity Center SAML-Verbund AWS Identity and Access Management (IAM) zusammen, um die Integration mit deinen Identitätsanbietern zu ermöglichen und deinen Endbenutzern eine Single-Sign-On-Erfahrung zu bieten.
+ **GENAI-gestützte Analytik** — Die OpenSearch Benutzeroberfläche unterstützt die Generierung von Abfragen in natürlicher Sprache, sodass Sie die richtigen Abfragen für Ihre Analyse generieren können. OpenSearch UI arbeitet auch mit Amazon Q Developer zusammen, um den Amazon Q-Chat bereitzustellen und bei der Generierung von Visualisierungen, Warnungszusammenfassungen, Erkenntnissen und empfohlenen Anomaliedetektoren zu helfen.
+ **Unterstützung mehrerer Abfragesprachen** — Die OpenSearch Benutzeroberfläche unterstützt Piped Processing Language (PPL), SQL, Lucene und Dashboards Query Language (DQL).
+ **Regions- und kontenübergreifende Unterstützung** — Die OpenSearch Benutzeroberfläche kann die clusterübergreifende Suchfunktion nutzen, um für aggregierte Analysen und Visualisierungen eine Verbindung zu OpenSearch Domains in verschiedenen Konten und Regionen herzustellen.
Folgen Sie den Anweisungen unter, um loszulegen und Ihre erste OpenSearch Benutzeroberfläche zu erstellen. [Erste Schritte mit der OpenSearch Benutzeroberfläche in Amazon OpenSearch Service](application-getting-started.md)
Informationen zu den neuesten Funktionen, die für die OpenSearch Benutzeroberfläche veröffentlicht wurden, finden Sie unter[Versionsverlauf der Amazon OpenSearch Service-Benutzeroberfläche](application-release-history.md).
**Topics**
+ [Versionsverlauf der Amazon OpenSearch Service-Benutzeroberfläche](application-release-history.md)
+ [Erste Schritte mit der OpenSearch Benutzeroberfläche in Amazon OpenSearch Service](application-getting-started.md)
+ [Agentische KI in Amazon Service OpenSearch](application-ai-assistant.md)
+ [Verschlüsselung der Metadaten von OpenSearch UI-Anwendungen mit vom Kunden verwalteten Schlüsseln](application-encryption-cmk.md)
+ [Aktivieren Sie den SAML-Verbund mit AWS Identity and Access Management](application-enable-SAML-identity-federation.md)
+ [Verwaltung von Datenquellenzuordnungen und Virtual Private Cloud-Zugriffsberechtigungen](application-data-sources-and-vpc.md)
+ [Amazon OpenSearch Service-Workspaces verwenden](application-workspaces.md)
+ [Regions- und kontenübergreifender Datenzugriff](application-cross-region-cross-account.md)
+ [Verwaltung des Zugriffs auf die OpenSearch Benutzeroberfläche von einem VPC-Endpunkt aus](application-access-ui-from-vpc-endpoint.md)
+ [Migrieren gespeicherter Objekte von Dashboards zur Benutzeroberfläche OpenSearch OpenSearch](application-migration.md)
+ [OpenSearch UI-Endpunkte und Kontingente](opensearch-ui-endpoints-quotas.md)
# Versionsverlauf der Amazon OpenSearch Service-Benutzeroberfläche
In der folgenden Tabelle sind alle Versionen des Amazon OpenSearch Service-Supports für OpenSearch UI sowie die Funktionen und Verbesserungen aufgeführt, die in jeder Version enthalten sind.
| Änderungen | Datum der Veröffentlichung | Description |
| --- | --- | --- |
| Neues Feature | 2025-03-10 | OpenSearch Die Benutzeroberfläche unterstützt jetzt kontoübergreifenden Datenzugriff auf Domains. OpenSearch Sie können Anwendungen in einem Konto so konfigurieren, dass sie mithilfe von IAM oder AWS IAM Identity Center Authentifizierung auf Domänen in verschiedenen Konten zugreifen, sowohl für öffentliche als auch für VPC-Domänen. Weitere Informationen finden Sie unter [Kontoübergreifender Datenzugriff auf Domains OpenSearch](application-cross-account-data-access-domains.md). |
| Neues Feature | 2025-12-29 | OpenSearch Die Benutzeroberfläche unterstützt jetzt vom Kunden verwaltete Schlüssel (CMK) zur Verschlüsselung von Anwendungsmetadaten. Diese Funktion hilft Ihnen dabei, gesetzliche Vorschriften und Compliance-Anforderungen zu erfüllen, da Sie die volle Kontrolle über die Verschlüsselungsschlüssel haben. Mit dieser Markteinführung wird auch die Größenbeschränkung für Metadaten für gespeicherte Objekte in der OpenSearch Benutzeroberfläche erhöht, sodass Sie komplexe Abfragen, umfangreiche Visualisierungen und umfangreiche Arbeitsbereiche erstellen und speichern können. Weitere Informationen finden Sie unter [Verschlüsselung der Metadaten von OpenSearch UI-Anwendungen mit vom Kunden verwalteten Schlüsseln](application-encryption-cmk.md). |
| Neues Feature | 16.04.2025 | OpenSearch [Die Benutzeroberfläche funktioniert jetzt mit der clusterübergreifenden Suche.](cross-cluster-search.md) Auf diese Weise können Sie die OpenSearch Benutzeroberfläche in einer Region verwenden AWS-Region , um auf Cluster in einer anderen Region zuzugreifen. Dazu wird es als Remote-Cluster konfiguriert, der mit einem Cluster in derselben Region verbunden ist. Weitere Informationen finden Sie unter [Cluster-übergreifende Suche](application-cross-cluster-search.md). |
| Neues Feature | 2025-03-31 | Amazon Q Developer ist jetzt allgemein in Amazon OpenSearch Service verfügbar. Weitere Informationen finden Sie unter [KI-Assistent für Amazon OpenSearch Service](AI-assistant-support.md). |
| Neues Feature | 05.02.2025 | Der Verbund von Security Assertion Markup Language 2.0 (SAML) über AWS Identity and Access Management (IAM) funktioniert jetzt mit der Benutzeroberfläche. OpenSearch Auf diese Weise ist es möglich, ein vom Identitätsanbieter initiiertes Single Sign-On (SSO) -Erlebnis für Ihre Endbenutzer zu schaffen. Weitere Informationen finden Sie unter [Aktivieren Sie den SAML-Verbund mit AWS Identity and Access Management](application-enable-SAML-identity-federation.md). |
| Neue Integration | 2024-12-01 | Die Zero-ETL-Integration mit Amazon CloudWatch vereinfacht die Analyse und Visualisierung von Protokolldaten und reduziert so den technischen Aufwand und die Betriebskosten. Weitere Informationen finden Sie im *AWS News-Blog* unter [New Amazon CloudWatch and Amazon OpenSearch Service launchen ein integriertes Analyseerlebnis](https://aws.amazon.com/blogs/aws/new-amazon-cloudwatch-and-amazon-opensearch-service-launch-an-integrated-analytics-experience/). |
| Neue Integration | 2024-12-01 | Die Zero-ETL-Integration mit Amazon Security Lake ermöglicht es Unternehmen, ihre Sicherheitsdaten effizient zu durchsuchen, zu analysieren und umsetzbare Erkenntnisse aus ihnen zu gewinnen. Weitere Informationen finden Sie im *AWS News-Blog* unter [Einführung der Integration von Amazon OpenSearch Service und Amazon Security Lake zur Vereinfachung von Sicherheitsanalysen](https://aws.amazon.com/blogs/aws/introducing-amazon-opensearch-service-zero-etl-integration-for-amazon-security-lake/). |
| Erstversion | 2024-11-07 | Die erste öffentliche Version von UI. OpenSearch Weitere Informationen finden Sie im *AWS Big Data-Blog* unter [Amazon OpenSearch Service launcht die OpenSearch Benutzeroberfläche der nächsten Generation](https://aws.amazon.com/blogs/big-data/amazon-opensearch-service-launches-the-next-generation-opensearch-ui/). |
# Erste Schritte mit der OpenSearch Benutzeroberfläche in Amazon OpenSearch Service
In Amazon OpenSearch Service ist eine *Anwendung* eine Instanz der OpenSearch Benutzeroberfläche (OpenSearch UI). Jede Anwendung kann mehreren Datenquellen zugeordnet werden, und eine einzelne Quelle kann mehreren Anwendungen zugeordnet werden. Sie können mehrere Anwendungen für verschiedene Administratoren mithilfe verschiedener unterstützter Authentifizierungsoptionen erstellen.
Verwenden Sie die Informationen in diesem Thema, um Sie durch den Prozess der Erstellung einer OpenSearch Benutzeroberflächenanwendung mit dem AWS-Managementkonsole oder dem zu führen AWS CLI.
**Topics**
+ [Erforderliche Berechtigungen für die Erstellung von Amazon OpenSearch Service-Anwendungen](#application-prerequisite-permissions)
+ [Eine OpenSearch UI-Anwendung erstellen](#create-application)
+ [Verwaltung von Anwendungsadministratoren](#managing-application-administrators)
## Erforderliche Berechtigungen für die Erstellung von Amazon OpenSearch Service-Anwendungen
Bevor Sie eine Anwendung erstellen, stellen Sie sicher, dass Ihnen die erforderlichen Berechtigungen für die Aufgabe erteilt wurden. Wenden Sie sich bei Bedarf an einen Kontoadministrator, um Unterstützung zu erhalten.
### Allgemeine Berechtigungen
Um mit Anwendungen in OpenSearch Service arbeiten zu können, benötigen Sie die in der folgenden Richtlinie aufgeführten Berechtigungen. Die Berechtigungen dienen den folgenden Zwecken:
+ Die fünf `es:*Application` Berechtigungen sind erforderlich, um eine Anwendung zu erstellen und zu verwalten.
+ Die drei `es:*Tags` Berechtigungen sind erforderlich, um der Anwendung Tags hinzuzufügen, aufzulisten und zu entfernen.
+ Die `es:GetDirectQueryDataSource` Berechtigungen `es:DescribeDomain` und sind erforderlich`aoss:BatchGetCollection`, um Datenquellen zuzuordnen.
+ Die `opensearch:*DirectQuery*` Berechtigungen `aoss:APIAccessAll``es:ESHttp*`, und 4 sind für den Zugriff auf Datenquellen erforderlich.
+ Das `iam:CreateServiceLinkedRole` gibt Amazon OpenSearch Service die Erlaubnis, eine serviceverknüpfte Rolle (SLR) in Ihrem Konto zu erstellen. Diese Rolle wird verwendet und ermöglicht es der OpenSearch UI-Anwendung, CloudWatch Amazon-Metriken in Ihrem Konto zu veröffentlichen. Weitere Informationen finden Sie unter [Berechtigungen](slr-aos.md#slr-permissions) im Thema [Verwenden von serviceverknüpften Rollen zum Erstellen von VPC-Domänen und direkten Abfragen von Datenquellen](slr-aos.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"es:CreateApplication",
"es:DeleteApplication",
"es:GetApplication",
"es:ListApplications",
"es:UpdateApplication",
"es:AddTags",
"es:ListTags",
"es:RemoveTags",
"aoss:APIAccessAll",
"es:ESHttp*",
"opensearch:StartDirectQuery",
"opensearch:GetDirectQuery",
"opensearch:CancelDirectQuery",
"opensearch:GetDirectQueryResult",
"aoss:BatchGetCollection",
"aoss:ListCollections",
"es:DescribeDomain",
"es:DescribeDomains",
"es:ListDomainNames",
"es:GetDirectQueryDataSource",
"es:ListDirectQueryDataSources"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService"
}
]
}
```
------
### Berechtigungen zum Erstellen einer Anwendung, die die IAM Identity Center-Authentifizierung verwendet (optional)
Standardmäßig werden Dashboard-Anwendungen mithilfe von AWS Identity and Access Management (IAM) authentifiziert, um die Berechtigungen für AWS Ressourcenbenutzer zu verwalten. Sie können sich jedoch dafür entscheiden, ein Single Sign-On-Erlebnis bereitzustellen, indem Sie IAM Identity Center verwenden, sodass Sie Ihre vorhandenen Identitätsanbieter für die Anmeldung bei UI-Anwendungen verwenden können. OpenSearch In diesem Fall wählen Sie im Verfahren weiter unten in diesem Thema die Option **Authentifizierung mit IAM Identity Center** aus und gewähren dann IAM Identity Center-Benutzern die für den Zugriff auf die OpenSearch UI-Anwendung erforderlichen Berechtigungen.)
Um eine Anwendung zu erstellen, die die IAM Identity Center-Authentifizierung verwendet, benötigen Sie die folgenden Berechtigungen. Ersetzen Sie *placeholder values* durch Ihre Informationen. Wenden Sie sich bei Bedarf an einen Kontoadministrator, um Unterstützung zu erhalten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IDCPermissions",
"Effect": "Allow",
"Action": [
"es:CreateApplication",
"es:DeleteApplication",
"es:GetApplication",
"es:ListApplications",
"es:UpdateApplication",
"es:AddTags",
"es:ListTags",
"es:RemoveTags",
"aoss:BatchGetCollection",
"aoss:ListCollections",
"es:DescribeDomain",
"es:DescribeDomains",
"es:ListDomainNames",
"es:GetDirectQueryDataSource",
"es:ListDirectQueryDataSources",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:PutApplicationGrant",
"sso:PutApplicationAccessScope",
"sso:PutApplicationAuthenticationMethod",
"sso:ListInstances",
"sso:DescribeApplicationAssignment",
"sso:DescribeApplication",
"sso:CreateApplicationAssignment",
"sso:ListApplicationAssignments",
"sso:DeleteApplicationAssignment",
"sso-directory:SearchGroups",
"sso-directory:SearchUsers",
"sso:ListDirectoryAssociations",
"identitystore:DescribeUser",
"identitystore:DescribeGroup",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "SLRPermission",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService"
},
{
"Sid": "PassRolePermission",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/iam-role-for-identity-center"
}
]
}
```
------
## Eine OpenSearch UI-Anwendung erstellen
Erstellen Sie mithilfe eines der folgenden Verfahren eine Anwendung, die einen Anwendungsnamen, eine Authentifizierungsmethode und Administratoren angibt.
**Topics**
+ [Erstellen einer OpenSearch UI-Anwendung, die die IAM-Authentifizierung in der Konsole verwendet](#create-application-iam-authentication-console)
+ [Erstellen einer OpenSearch UI-Anwendung, die AWS IAM Identity Center Authentifizierung in der Konsole verwendet](#create-application-iam-identity-center-authentication-console)
+ [Erstellen einer OpenSearch UI-Anwendung, die AWS IAM Identity Center Authentifizierung mit dem verwendet AWS CLI](#create-application-iam-identity-center-authentication-cli)
### Erstellen einer OpenSearch UI-Anwendung, die die IAM-Authentifizierung in der Konsole verwendet
**Um eine OpenSearch UI-Anwendung zu erstellen, die die IAM-Authentifizierung in der Konsole verwendet**
1. Melden Sie sich zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home) bei der Amazon OpenSearch Service-Konsole an.
1. Wählen Sie im linken Navigationsbereich **OpenSearch UI (Dashboards)** aus.
1. Wählen Sie **Create application** aus.
1. Geben Sie **unter Anwendungsname** einen Namen für die Anwendung ein.
1. Aktivieren Sie nicht das Kontrollkästchen **Authentifizierung mit IAM Identity Center**. Informationen zum Erstellen einer Anwendung mit Authentifizierung über finden Sie AWS IAM Identity Center weiter unten [Erstellen einer OpenSearch UI-Anwendung, die AWS IAM Identity Center Authentifizierung in der Konsole verwendet](#create-application-iam-identity-center-authentication-console) in diesem Thema.
1. (Optional) Sie werden automatisch als Administrator der Anwendung hinzugefügt, die Sie erstellen. Im **Verwaltungsbereich für OpenSearch Anwendungsadministratoren** können Sie anderen Benutzern Administratorrechte gewähren.
**Anmerkung**
Die Administratorrolle für OpenSearch UI-Anwendungen gewährt Berechtigungen zum Bearbeiten und Löschen einer OpenSearch UI-Anwendung. Anwendungsadministratoren können auch Arbeitsbereiche in einer OpenSearch UI-Anwendung erstellen, bearbeiten und löschen.
Um anderen Benutzern Administratorrechte zu gewähren, wählen Sie eine der folgenden Optionen:
+ **Spezifischen Benutzern Administratorrechte gewähren — Wählen Sie im** Feld **OpenSearchAnwendungsadministratoren** in der Popupliste „**Eigenschaften**“ die Option **IAM-Benutzer** oder
**AWS IAM Identity Center Benutzer** und wählen Sie dann die einzelnen Benutzer aus, denen Administratorrechte erteilt werden sollen.
+ Allen Benutzern **Administratorrechte gewähren — Allen Benutzern** in Ihrer Organisation oder Ihrem Konto werden Administratorrechte gewährt.
1. (Optional) Konfigurieren Sie die Verschlüsselungseinstellungen. Standardmäßig werden OpenSearch UI-Metadaten mit AWS eigenen Schlüsseln verschlüsselt. Informationen zur Verwendung Ihres eigenen vom Kunden verwalteten Schlüssels (CMK) für die Verschlüsselung finden Sie unter[Verschlüsselung der Metadaten von OpenSearch UI-Anwendungen mit vom Kunden verwalteten Schlüsseln](application-encryption-cmk.md).
1. (Optional) Wenden Sie im Bereich **Tags** ein oder mehrere name/value Tag-Schlüsselpaare auf die Anwendung an.
Tags sind optionale Metadaten, die Sie einer Ressource zuweisen. Mithilfe von Tags können Sie eine Ressource unterschiedlich kategorisieren, beispielsweise nach Zweck, Besitzer oder Umgebung.
1. Wählen Sie **Erstellen** aus.
### Erstellen einer OpenSearch UI-Anwendung, die AWS IAM Identity Center Authentifizierung in der Konsole verwendet
Um eine OpenSearch UI-Anwendung zu erstellen, die AWS IAM Identity Center Authentifizierung verwendet, benötigen Sie die weiter oben in diesem Thema unter beschriebenen IAM-Berechtigungen. [Berechtigungen zum Erstellen einer Anwendung, die die IAM Identity Center-Authentifizierung verwendet (optional)](#prerequisite-permissions-idc)
**So erstellen Sie eine OpenSearch UI-Anwendung, die AWS IAM Identity Center Authentifizierung in der Konsole verwendet**
1. Melden Sie sich zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home) bei der Amazon OpenSearch Service-Konsole an.
1. Wählen Sie im linken Navigationsbereich **OpenSearch UI (Dashboards)** aus.
1. Wählen Sie **Create application** aus.
1. Geben Sie **unter Anwendungsname** einen Namen für die Anwendung ein.
1. (Optional) Gehen Sie wie folgt vor, um Single Sign-On für Ihre Organisation oder Ihr Konto zu aktivieren:
1. Aktivieren Sie das Kontrollkästchen **Authentifizierung mit IAM Identity Center**, wie in der folgenden Abbildung gezeigt:
![\[Der Bereich „Single Sign-On-Authentifizierung“, bei dem das Feld „Authentifizierung mit IAM Identity Center“ ausgewählt ist.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/ui-Single-sign-on-authentication.png)
1. Führen Sie eine der folgenden Aktionen aus:
+ Wählen Sie in der **Anwendungsliste „IAM-Rolle für Identity Center**“ eine bestehende IAM-Rolle aus, die die erforderlichen Berechtigungen für den Zugriff auf die Benutzeroberfläche und die zugehörigen Datenquellen für IAM Identity Center bereitstellt. OpenSearch In den Richtlinien im nächsten Aufzählungszeichen finden Sie die Berechtigungen, über die die Rolle verfügen muss.
+ Erstellen Sie eine neue Rolle mit den erforderlichen Berechtigungen. Verwenden Sie die folgenden Verfahren im *IAM-Benutzerhandbuch* mit den angegebenen Optionen, um eine neue Rolle und mit den erforderlichen Berechtigungsrichtlinien und Vertrauensrichtlinien zu erstellen.
+ Verfahren: [IAM-Richtlinien erstellen (Konsole)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/access_policies_create-console.html)
Fügen Sie die folgenden Richtlinien in das **JSON-Feld** des Policy-Editors ein, während Sie die Schritte in diesem Verfahren ausführen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IdentityStoreOpenSearchDomainConnectivity",
"Effect": "Allow",
"Action": [
"identitystore:DescribeUser",
"identitystore:ListGroupMembershipsForMember",
"identitystore:DescribeGroup"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledViaLast": "es.amazonaws.com"
}
}
},
{
"Sid": "OpenSearchDomain",
"Effect": "Allow",
"Action": [
"es:ESHttp*"
],
"Resource": "*"
},
{
"Sid": "OpenSearchServerless",
"Effect": "Allow",
"Action": [
"aoss:APIAccessAll"
],
"Resource": "*"
}
]
}
```
------
+ Verfahren: [Erstellen Sie eine Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html)
Wenn Sie die Schritte in diesem Verfahren ausführen, ersetzen Sie den Platzhalter JSON im Feld **Benutzerdefinierte Vertrauensrichtlinie** durch Folgendes:
**Tipp**
Wenn Sie die Vertrauensrichtlinie zu einer vorhandenen Rolle hinzufügen, fügen Sie die Richtlinie auf der Registerkarte **Vertrauensverhältnis** der Rolle hinzu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "application.opensearchservice.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Effect": "Allow",
"Principal": {
"Service": "application.opensearchservice.amazonaws.com"
},
"Action": "sts:SetContext",
"Condition": {
"ForAllValues:ArnEquals": {
"sts:RequestContextProviders": "arn:aws:iam::123456789012:oidc-provider/portal.sso.us-east-1.amazonaws.com/apl/application-id"
}
}
}
]
}
```
------
1. Wenn in Ihrer Organisation oder Ihrem Konto bereits eine IAM Identity Center-Instance erstellt wurde, meldet die Konsole, dass Amazon OpenSearch Dashboards bereits mit einer Organisationsinstanz von IAM Identity Center verbunden ist, wie in der folgenden Abbildung dargestellt.
![\[Im Bereich „Amazon OpenSearch Dashboard ist mit einer Account-Instance von IAM Identity Center verbunden“ wird die URL der vorhandenen IAM Identity Center-Kontoinstanz angezeigt.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/ui-connected-instance.png)
Wenn IAM Identity Center in Ihrer Organisation oder Ihrem Konto noch nicht verfügbar ist, können Sie oder ein Administrator mit den erforderlichen Berechtigungen eine Organisations- oder Kontoinstanz erstellen. Der Bereich **Amazon OpenSearch Dashboards mit IAM Identity Center Connect** bietet Optionen für beide, wie in der folgenden Abbildung dargestellt:
![\[Der Bereich „Amazon OpenSearch Dashboards mit IAM Identity Center Connect“ bietet Schaltflächen zum Erstellen einer Organisations- oder Konto-Instance.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/ui-no-connected-instance.png)
In diesem Fall können Sie zu Testzwecken eine Account-Instance in IAM Identity Center erstellen oder einen Administrator auffordern, eine Organisations-Instance im IAM Identity Center zu erstellen. Weitere Informationen finden Sie in folgenden Themen im *AWS IAM Identity Center -Benutzerhandbuch*:
**Anmerkung**
Wenn Sie OpenSearch UI-Anwendungen in einer anderen als Ihrer IAM Identity Center-Organisationsinstanz erstellen möchten, finden Sie weitere Informationen unter [Verwenden AWS-Region von IAM Identity](https://docs.aws.amazon.com/singlesignon/latest/userguide/multi-region-iam-identity-center.html) Center in mehreren Instanzen. AWS-Regionen
+ [Organisationsinstanzen von IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/organization-instances-identity-center.html)
+ [Konto-Instances von IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/account-instances-identity-center.html).
+ [Aktivieren AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html)
1. (Optional) Sie werden automatisch als Administrator der Anwendung hinzugefügt, die Sie erstellen. Im **Verwaltungsbereich für OpenSearch Anwendungsadministratoren** können Sie anderen Benutzern Administratorrechte gewähren, wie in der folgenden Abbildung dargestellt:
![\[Der Bereich „Verwaltung von OpenSearch Anwendungsadministratoren“ bietet Optionen für die Gewährung von Administratorrechten für ausgewählte Benutzer oder für alle Benutzer.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/ui-admins-management.png)
**Anmerkung**
Die Administratorrolle für OpenSearch UI-Anwendungen gewährt Berechtigungen zum Bearbeiten und Löschen einer OpenSearch UI-Anwendung. Anwendungsadministratoren können auch Arbeitsbereiche in einer OpenSearch UI-Anwendung erstellen, bearbeiten und löschen.
Um anderen Benutzern Administratorrechte zu gewähren, wählen Sie eine der folgenden Optionen:
+ **Spezifischen Benutzern Administratorrechte gewähren — Wählen Sie im** Feld **OpenSearchAnwendungsadministratoren** in der Popupliste „**Eigenschaften**“ die Option **IAM-Benutzer** oder
**AWS IAM Identity Center Benutzer** und wählen Sie dann die einzelnen Benutzer aus, denen Administratorrechte erteilt werden sollen.
+ Allen Benutzern **Administratorrechte gewähren — Allen Benutzern** in Ihrer Organisation oder Ihrem Konto werden Administratorrechte gewährt.
1. (Optional) Wenden Sie im Bereich „**Tags**“ ein oder mehrere name/value Tag-Schlüsselpaare auf die Anwendung an.
Tags sind optionale Metadaten, die Sie einer Ressource zuweisen. Mithilfe von Tags können Sie eine Ressource unterschiedlich kategorisieren, beispielsweise nach Zweck, Besitzer oder Umgebung.
1. Wählen Sie **Erstellen** aus.
### Erstellen einer OpenSearch UI-Anwendung, die AWS IAM Identity Center Authentifizierung mit dem verwendet AWS CLI
Um eine OpenSearch UI-Anwendung zu erstellen, die AWS IAM Identity Center Authentifizierung mithilfe von verwendet AWS CLI, verwenden Sie den Befehl [create-application](https://docs.aws.amazon.com/cli/latest/reference/opensearch/create-application.html) mit den folgenden Optionen:
+ `--name`— Der Name der Anwendung.
+ `--iam-identity-center-options`— (Optional) Die IAM Identity Center-Instanz und die IAM-Rolle, die für die Authentifizierung und Zugriffskontrolle verwendet OpenSearch werden.
Ersetzen Sie *placeholder values* durch Ihre Informationen.
```
aws opensearch create-application \
--name application-name \
--iam-identity-center-options "
{
\"enabled\":true,
\"iamIdentityCenterInstanceArn\":\"arn:aws:sso:::instance/sso-instance\",
\"iamRoleForIdentityCenterApplicationArn\":\"arn:aws:iam::account-id:role/role-name\"
}
"
```
## Verwaltung von Anwendungsadministratoren
Ein OpenSearch UI-Anwendungsadministrator ist eine definierte Rolle mit der Berechtigung, eine OpenSearch UI-Anwendung zu bearbeiten und zu löschen.
Standardmäßig sind Sie als Ersteller einer OpenSearch UI-Anwendung der erste Administrator der OpenSearch UI-Anwendung.
### Verwaltung von OpenSearch UI-Administratoren mithilfe der Konsole
Sie können einer OpenSearch UI-Anwendung zusätzliche Administratoren hinzufügen AWS-Managementkonsole, entweder während des Workflows zur Anwendungserstellung oder auf der Seite **Bearbeiten**, nachdem die Anwendung erstellt wurde.
Die Administratorrolle einer OpenSearch UI-Anwendung gewährt Berechtigungen zum Bearbeiten und Löschen einer OpenSearch UI-Anwendung. Anwendungsadministratoren können auch Arbeitsbereiche in einer OpenSearch UI-Anwendung erstellen, bearbeiten und löschen.
Auf einer Anwendungsdetailseite können Sie nach dem Amazon-Ressourcennamen (ARN) eines IAM-Prinzipals oder nach dem Namen eines IAM Identity Center-Benutzers suchen.
**Um OpenSearch UI-Administratoren über die Konsole zu verwalten**
1. Melden Sie sich zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home) bei der Amazon OpenSearch Service-Konsole an.
1. Wählen Sie im linken Navigationsbereich **OpenSearch UI (Dashboards)** aus.
1. Wählen Sie im **OpenSearch Anwendungsbereich** den Namen einer vorhandenen Anwendung aus.
1. Wählen Sie **Edit (Bearbeiten)** aus.
1. Um anderen Benutzern Administratorrechte zu gewähren, wählen Sie eine der folgenden Optionen:
+ **Spezifischen Benutzern Administratorrechte gewähren — Wählen Sie im** Feld **OpenSearchAnwendungsadministratoren** in der Popupliste „**Eigenschaften**“ die Option **IAM-Benutzer** oder
**AWS IAM Identity Center Benutzer** und wählen Sie dann die einzelnen Benutzer aus, denen Administratorrechte erteilt werden sollen.
+ Allen Benutzern **Administratorrechte gewähren — Allen Benutzern** in Ihrer Organisation oder Ihrem Konto werden Administratorrechte gewährt.
1. Wählen Sie **Aktualisieren** aus.
Sie können weitere Administratoren entfernen, aber jede OpenSearch UI-Anwendung muss mindestens einen Administrator behalten.
### Verwaltung von OpenSearch UI-Administratoren mit dem AWS CLI
Sie können OpenSearch UI-Anwendungsadministratoren mit dem erstellen und aktualisieren AWS CLI.
#### Erstellen von OpenSearch Benutzeroberflächenadministratoren mit dem AWS CLI
Im Folgenden finden Sie Beispiele für das Hinzufügen von IAM-Prinzipalen und IAM Identity Center-Benutzern als Administratoren bei der Erstellung einer OpenSearch UI-Anwendung.
##### Beispiel 1: Erstellen Sie eine OpenSearch UI-Anwendung, die einen IAM-Benutzer als Administrator hinzufügt
Führen Sie den folgenden Befehl aus, um eine OpenSearch UI-Anwendung zu erstellen, die einen IAM-Benutzer als Administrator hinzufügt. Ersetzen Sie *placeholder values* durch Ihre Informationen.
```
aws opensearch create-application \
--name application-name \
--app-configs "
{
\"key\":\"opensearchDashboards.dashboardAdmin.users\",
\"value\":\"arn:aws:iam::account-id:user/user-id\"
}
"
```
##### Beispiel 2: Erstellen Sie eine OpenSearch UI-Anwendung, die IAM Identity Center aktiviert und eine IAM Identity Center-Benutzer-ID als OpenSearch UI-Anwendungsadministrator hinzufügt
Führen Sie den folgenden Befehl aus, um eine OpenSearch UI-Anwendung zu erstellen, die IAM Identity Center aktiviert und eine IAM Identity Center-Benutzer-ID als UI-Anwendungsadministrator hinzufügt. OpenSearch Ersetzen Sie *placeholder values* durch Ihre Informationen.
`key`gibt das festzulegende Konfigurationselement an, z. B. die Administratorrolle für die OpenSearch UI-Anwendung. Gültige Werte sind `opensearchDashboards.dashboardAdmin.users` und `opensearchDashboards.dashboardAdmin.groups`.
*xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx*steht für den Wert, der dem Schlüssel zugewiesen wurde, z. B. den Amazon-Ressourcennamen (ARN) eines IAM-Benutzers.
```
aws opensearch create-application \
--name myapplication \
--iam-identity-center-options "
{
\"enabled\":true,
\"iamIdentityCenterInstanceArn\":\"arn:aws:sso:::instance/ssoins-instance-id\",
\"iamRoleForIdentityCenterApplicationArn\":\"arn:aws:iam::account-id:role/role-name\"
}
" \
--app-configs "
{
\"key\":\"opensearchDashboards.dashboardAdmin.users\",
\"value\":\"xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx\"
}
"
```
#### Aktualisierung von OpenSearch UI-Administratoren mithilfe der AWS CLI
Im Folgenden finden Sie Beispiele für die Aktualisierung der IAM-Prinzipale und der IAM Identity Center-Benutzer, die einer vorhandenen Anwendung als Administratoren zugewiesen wurden. OpenSearch
##### Beispiel 1: Fügen Sie einen IAM-Benutzer als Administrator für eine bestehende Anwendung hinzu OpenSearch
Führen Sie den folgenden Befehl aus, um eine OpenSearch UI-Anwendung zu aktualisieren und einen IAM-Benutzer als Administrator hinzuzufügen. Ersetzen Sie *placeholder values* durch Ihre Informationen.
```
aws opensearch update-application \
--id myapplication \
--app-configs "
{
\"key\":\"opensearchDashboards.dashboardAdmin.users\",
\"value\":\"arn:aws:iam::account-id:user/user-id\"
}
"
```
##### Beispiel 2: Aktualisieren Sie eine OpenSearch UI-Anwendung, um eine IAM Identity Center-Benutzer-ID als OpenSearch UI-Anwendungsadministrator hinzuzufügen
Führen Sie den folgenden Befehl aus, um eine OpenSearch UI-Anwendung zu aktualisieren und eine IAM Identity Center-Benutzer-ID als OpenSearch UI-Anwendungsadministrator hinzuzufügen. Ersetzen Sie *placeholder values* durch Ihre Informationen.
`key`gibt das festzulegende Konfigurationselement an, z. B. die Administratorrolle für die OpenSearch UI-Anwendung. Gültige Werte sind `opensearchDashboards.dashboardAdmin.users` und `opensearchDashboards.dashboardAdmin.groups`.
*xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx*steht für den Wert, der dem Schlüssel zugewiesen wurde, z. B. den Amazon-Ressourcennamen (ARN) eines IAM-Benutzers.
```
aws opensearch update-application \
--id myapplication \
--app-configs "
{
\"key\":\"opensearchDashboards.dashboardAdmin.users\",
\"value\":\"xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx\"
}
"
```
# Agentische KI in Amazon Service OpenSearch
OpenSearch Die Benutzeroberfläche umfasst eine Reihe von KI-Funktionen für Agenturen, die darauf ausgelegt sind, Betriebsanalysen zu vereinfachen und die Untersuchung von Vorfällen für Ihre Ingenieur- und Support-Teams zu beschleunigen.
Wählen Sie auf jeder Seite Ihrer OpenSearch UI-Anwendung die Schaltfläche „**Ask AI**“, um den Agentic Chat zu öffnen. Agentic Chat versteht den Kontext der Seite, die Sie sich gerade ansehen, verwendet Agententools, um die zugrunde liegenden Daten zu analysieren, aktualisiert Abfragen, um Ergebnisse in Discover anzuzeigen, und beantwortet Ihre Fragen klar und präzise. Wenn eine komplexe Ursachenanalyse eine eingehendere Untersuchung erfordert, können Sie den Investigation Agent veranlassen, in einem mehrstufigen Workflow selbstständig zu planen, auszuführen und zu reflektieren und strukturierte Hypothesen zu erstellen, die durch Datenbeweise gestützt werden. Beide Behördenfunktionen werden durch Agentic Memory unterstützt. Dabei handelt es sich um eine Speicherebene, die den Kontext innerhalb Ihrer Konversation oder Untersuchung beibehält, sodass Sie in verschiedenen Websitzungen weiterhin Folgefragen mit demselben, konsistenten Kontext stellen können.
![\[Die Discover-Seite in der OpenSearch Benutzeroberfläche zeigt, wie Agentic Chat anhand der Eingabe in natürlicher Sprache eine PPL-Abfrage generiert, „findet alle Anfragen mit einer Latenz von mehr als 10 Sekunden“. Im Bereich „Frag AI“ werden die Erklärung der Anfrage und die Schaltfläche Untersuchung starten angezeigt.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/agentic-chat-discover-ppl.png)
## Die wichtigsten Funktionen
+ **Agentic Chat — Agentic Chat** ist in die Ask AI-Funktion auf jeder Seite der OpenSearch Benutzeroberfläche integriert. Es versteht Ihren aktuellen Kontext und ruft Tools zur Datenanalyse auf, um Ihre Fragen bestmöglich zu beantworten. Geben Sie auf Discover natürliche Sprache in die Chat-Oberfläche ein, um PPL-Abfragen (Piped Processing Language) zu generieren und zu iterieren. Sie müssen also kein PPL-Experte sein, um umsetzbare Erkenntnisse zu erhalten. Sie können Konversationen auch direkt von Visualisierungen aus starten, sodass Agentic Chat Anomalien in Ihren Diagrammen identifizieren, mit den zugrunde liegenden Daten korrelieren und Analysen erstellen kann. Wenn eine komplexe Ursachenanalyse erforderlich ist, verwenden Sie den `/investigate` Slash-Befehl, um den Investigation Agent auf der Grundlage der laufenden Konversation oder mit neuen Anweisungen zu starten.
+ **Investigation Agent** — Ein zielorientierter Agent für eingehende Recherchen, den Sie aktivieren, indem Sie `/investigate` im Chat etwas eingeben oder auf den Funktionsseiten auf die Schaltfläche **Untersuchung starten** klicken. Geben Sie ein Ermittlungsziel ein, z. B. „Finden Sie die Ursache für diesen Latenzanstieg“. Der Investigation Agent plant eigenständig anhand Ihrer Daten und des angegebenen Ziels, führt Abfragen und Analysen durch und erstellt in einem mehrstufigen Arbeitsablauf Nachforschungen. Wenn die Untersuchung abgeschlossen ist, in der Regel innerhalb weniger Minuten, werden strukturierte Hypothesen generiert, die nach Wahrscheinlichkeit geordnet sind und jeweils durch Datenbeweise gestützt werden. Sie bietet volle Transparenz bei jedem Schritt der Argumentation, sodass Sie die Ergebnisse überprüfen und ihnen vertrauen können.
+ **Agentic Memory** — Eine vom Service verwaltete Speicherebene, die den Kontext Ihrer Konversation oder Untersuchung beibehält, sodass Sie in einem konsistenten Kontext weiterhin Fragen stellen oder Nachforschungen anstellen können. Agentic Memory ermöglicht es sowohl Agentic Chat als auch dem Investigation Agent, die Kontinuität während einer Sitzung aufrechtzuerhalten.
## Preis- und Nutzungsbeschränkungen
Die Nutzung der KI-Funktionen von Agentic ist kostenlos. Token-basierte Nutzungsbeschränkungen gelten pro Konto, um Missbrauch zu verhindern.
Die agentischen KI-Funktionen verwenden ein Basismodell in Amazon Bedrock. Alle Sicherheits- und Datenverwaltungskonfigurationen von Amazon Bedrock gelten für die KI-Funktionen der Agentur. Weitere Informationen finden Sie unter [Datenschutz in Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/userguide/data-protection.html).
## Sicherheit
Die KI-Funktionen von Agency funktionieren innerhalb Ihres bestehenden Sicherheits-Frameworks und umgehen oder überschreiben keine konfigurierten Zugriffskontrollen. Wenn Sie mit Agentic Chat interagieren oder einen Investigation Agent starten, authentifizieren sich die KI-Funktionen anhand Ihrer aktuellen IAM- oder IAM Identity Center-Anmeldeinformationen und übernehmen alle zugehörigen Berechtigungen. Der KI-Assistent kann nur Datenquellen, Indizes und Visualisierungen abfragen, auf die Sie bereits über Ihre bestehenden Richtlinien für die rollenbasierte Zugriffskontrolle (RBAC) expliziten Zugriff haben.
Wenn Ihre OpenSearch Domain eine detaillierte Zugriffskontrolle mit Sicherheit auf Feld- oder Dokumentebene implementiert, respektiert die KI diese Einschränkungen und kann keine Daten aus eingeschränkten Feldern oder Dokumenten abrufen, die außerhalb Ihres Berechtigungsbereichs liegen. Ebenso werden alle von Agentic Chat generierten PPL-Abfragen oder Datenabrufe im Rahmen von Untersuchungen in Ihrem Benutzerkontext ausgeführt, sodass sichergestellt ist, dass alle konfigurierten Sicherheitsrichtlinien vollständig durchgesetzt werden.
Dieses Modell der Rechtevererbung stellt sicher, dass die Aktivierung von KI-Funktionen nicht zu neuen Sicherheitslücken führt oder dass Administratoren separate Berechtigungsstrukturen für KI-Interaktionen verwalten müssen.
## Aktivierung und Deaktivierung von KI-Funktionen von Agenturen
Die KI-Funktionen von Agency werden automatisch für neue OpenSearch UI-Anwendungen und für bestehende Anwendungen aktiviert, sofern Sie die KI-Funktionen in einer Ihrer Domänen nicht ausdrücklich deaktiviert haben. OpenSearch
Um die KI-Funktionen zu aktivieren oder zu deaktivieren, können Sie entweder die AWS-Managementkonsole oder die API verwenden:
+ **Konsole** — Navigieren Sie zur Detailseite der OpenSearch UI-Anwendung und aktualisieren Sie die KI-Funktionen von dort aus.
![\[Die Seite mit den Funktionen des KI-Assistenten verwalten in der Konsole zeigt das Kontrollkästchen Chatbot- und Agentenuntersuchungsfunktion aktivieren und die Schaltfläche Aktualisieren.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/agentic-ai-manage-features.png)
+ **API** — Verwenden Sie die [RegisterCapability](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_RegisterCapability.html)API, um die KI-Funktionen zu aktivieren, oder verwenden Sie die [DeregisterCapability](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DeregisterCapability.html)API, um sie zu deaktivieren.
## Verfügbarkeit in Regionen
Die agentischen KI-Funktionen sind im Folgenden verfügbar: AWS-Regionen
+ Asien-Pazifik (Tokio) – ap-northeast-1
+ Asien-Pazifik (Sydney) – ap-southeast-2
+ Europa (Frankfurt) – eu-central-1
+ Europa (Stockholm) – eu-north-1
+ Europa (Spanien) – eu-south-2
+ Europa (Irland) – eu-west-1
+ USA Ost (Nord-Virginia) – us-east-1
+ USA Ost (Ohio) – us-east-2
+ USA West (Oregon) – us-west-2
**Topics**
+ [Die wichtigsten Funktionen](#application-ai-assistant-key-capabilities)
+ [Preis- und Nutzungsbeschränkungen](#application-ai-assistant-pricing)
+ [Sicherheit](#application-ai-assistant-security)
+ [Aktivierung und Deaktivierung von KI-Funktionen von Agenturen](#application-ai-assistant-enable-disable)
+ [Verfügbarkeit in Regionen](#application-ai-assistant-regions)
+ [Agenten-Chat bei Amazon Service OpenSearch](application-agentic-chat.md)
+ [Ermittlungsagent bei Amazon OpenSearch Service](application-investigation-agent.md)
+ [Agentenspeicher im Amazon Service OpenSearch](application-agentic-memory.md)
# Agenten-Chat bei Amazon Service OpenSearch
Agentic Chat ist ein KI-Assistent, der in jede Seite der Benutzeroberfläche eingebettet ist. OpenSearch Wählen Sie die Schaltfläche „**KI fragen**“, um das Chat-Panel zu öffnen, in dem Sie Fragen zu Ihren Daten stellen, Anfragen generieren und Untersuchungen einleiten können. Agentic Chat versteht den Kontext der Seite, die Sie sich in Discover and Investigation ansehen, und verwendet Agententools, um die zugrunde liegenden Daten zu analysieren.
![\[Die Discover-Seite in der OpenSearch Benutzeroberfläche, auf der die Schaltfläche „Ask AI“ in der oberen rechten Ecke hervorgehoben ist.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/agentic-chat-ask-ai-button.png)
Wenn Sie das Chat-Panel öffnen, bietet Agentic Chat Optionen, die Ihnen den Einstieg erleichtern: Stellen Sie Fragen zu Ihren Daten, untersuchen Sie ein Problem oder erläutern Sie ein Konzept. Wenn Sie zuvor eine Konversation gestartet haben, bleibt sie beim Navigieren zwischen den Seiten im Chat-Panel sichtbar, sodass Sie dort weitermachen können, wo Sie aufgehört haben. Wählen Sie alternativ die Schaltfläche **Neuer Chat** in der oberen rechten Ecke, um eine neue Konversation zu beginnen.
![\[Das Agentic-Chat-Panel mit der Willkommensnachricht von AI Assistant mit Optionen, um Fragen zu Ihren Daten zu stellen, ein Problem zu untersuchen oder ein Konzept zu erläutern.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/agentic-chat-ask-ai-panel.png)
## Agentic Chat mit Discover verwenden
Auf der Discover-Seite in Observability-Workspaces können Sie natürliche Sprache in der Chat-Oberfläche eingeben, um PPL-Abfragen zu generieren. Agentic Chat übersetzt Ihre Fragen in PPL, führt die Abfrage aus und zeigt die Ergebnisse direkt in der Discover-Ansicht an. Sie müssen kein PPL-Experte sein, um aus Ihren Daten umsetzbare Erkenntnisse zu gewinnen.
Um eine generierte Abfrage zu verfeinern, stellen Sie Folgefragen in natürlicher Sprache, z. B. „Fügen Sie einen Filter für den Statuscode 500 hinzu“. Agentic Chat versteht den Kontext der aktuellen Abfrage und passt ihn entsprechend an. Sie können auch darum bitten, Aggregationen anzupassen, Zeitbereiche zu ändern oder den Ergebnissen zusätzliche Felder hinzuzufügen. Bei jeder Iteration wird die Discover-Ansicht mit den neuen Abfrageergebnissen aktualisiert.
## Verwenden von Agentic Chat mit Visualisierungen
Sie können eine Konversation mit Agentic Chat direkt von einer Visualisierung aus starten. Öffnen Sie das Kontextmenü in einem Visualisierungsfenster und wählen Sie **Ask** AI. Agentic Chat analysiert die Visualisierung, identifiziert Anomalien in Ihren Diagrammen, korreliert mit den zugrunde liegenden Daten und generiert Analysen.
![\[Eine Visualisierung in der OpenSearch Benutzeroberfläche, in der die Option Ask AI im Kontextmenü angezeigt wird, wobei das Agentic Chat-Bedienfeld die Visualisierung analysiert.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/agentic-chat-visualization.png)
## Eine Untersuchung vom Chat aus starten
Wenn eine komplexe Ursachenanalyse erforderlich ist, können Sie den Investigation Agent direkt vom Agentic Chat aus starten. Verwenden Sie den `/investigate` Slash-Befehl in der Chat-Eingabe oder klicken Sie auf den Feature-Seiten auf die Schaltfläche **Untersuchung starten**.
Weitere Informationen zum Investigation Agent finden Sie unter[Ermittlungsagent bei Amazon OpenSearch Service](application-investigation-agent.md).
## Unterstützte Tools
Agentic Chat verwendet die folgenden Tools, um Ihre Daten zu analysieren und Fragen zu beantworten. Um die meisten up-to-date verfügbaren Tools zu sehen, geben Sie in der Chat-Oberfläche „Welche Tools können Sie verwenden“ ein.
**Frontend-Tools**
Diese Tools aktualisieren die OpenSearch Benutzeroberfläche:
+ `create_investigation`— Erstellt ein neues Notizbuch für behördliche Untersuchungen mit Details wie Zielen, Symptomen, Index und Zeitraum.
+ `execute_ppl_query`— Führt PPL-Abfragen für den aktuellen Datensatz aus und zeigt die Ergebnisse auf der Discover-Seite an.
+ `update_time_range`— Aktualisiert den globalen Zeitbereichsfilter auf der aktuellen Discover-Seite (z. B. „letzte 24 Stunden“ oder „letzte Woche“).
**Backend-Tools**
Diese Tools interagieren direkt mit OpenSearch Daten und APIs:
+ `SearchIndexTool`— Durchsucht einen Index mithilfe von DSL-Abfragen.
+ `MsearchTool`— Führt mehrere Suchoperationen in einer einzigen Anfrage aus.
+ `CountTool`— Gibt die Anzahl der Dokumente zurück, die einer Abfrage entsprechen.
+ `ExplainTool`— Erklärt, warum ein Dokument mit einer Abfrage übereinstimmt oder nicht.
+ `ListIndexTool`— Listet Indizes im Cluster mit optionalen Details auf.
+ `IndexMappingTool`— Ruft Indexzuordnungen und Einstellungen ab.
+ `GetShardsTool`— Ruft Shard-Informationen für einen Index ab.
+ `ClusterHealthTool`— Gibt Informationen zum Clusterstatus zurück.
+ `LogPatternAnalysisTool`— Analysiert Protokollmuster, vergleicht Zeitbereiche oder führt eine Trace-Sequenzanalyse durch.
+ `MetricChangeAnalysisTool`— Vergleicht die Perzentilverteilungen numerischer Felder zwischen zwei Zeitbereichen.
+ `DataDistributionTool`— Analysiert Feldwertverteilungen in einem Zielzeitraum, optional im Vergleich zu einem Basiswert.
+ `GenericOpenSearchApiTool`— Ein flexibles Tool für den direkten Aufruf eines beliebigen OpenSearch API-Endpunkts.
# Ermittlungsagent bei Amazon OpenSearch Service
Der Investigation Agent ist ein zielorientierter Agent für eingehende Recherchen in der OpenSearch Benutzeroberfläche, der komplexe Probleme in Ihrem Namen selbstständig untersucht. Er plant anhand Ihrer Daten und des angegebenen Ziels, führt Abfragen und Analysen durch und führt Analysen durch und erstellt in einem mehrstufigen Arbeitsablauf Nachforschungen. Wenn die Untersuchung abgeschlossen ist, in der Regel innerhalb weniger Minuten, werden strukturierte Hypothesen generiert, die nach Wahrscheinlichkeit geordnet sind und jeweils durch Datenbeweise untermauert werden. Sie bietet volle Transparenz bei jedem Schritt der Argumentation, sodass Sie die Ergebnisse überprüfen und ihnen vertrauen können.
## Beginn einer Untersuchung
Sie können eine Untersuchung auf zwei Arten starten:
+ Wählen Sie auf den Seiten Discover, Visualization oder anderen unterstützten Funktionen die Schaltfläche **Untersuchung starten** aus. Es wird ein Dialogfeld angezeigt, in dem Sie Ihr Untersuchungsziel eingeben und aus vorgeschlagenen Vorlagen wie „Ursachenanalyse“ oder „Leistungsprobleme“ auswählen können.
+ Geben Sie im Agentic Chat den `/investigate` Slash-Befehl mit Ihrem Ermittlungsziel in die Chat-Eingabe ein.
![\[Das Dialogfeld Untersuchung starten zeigt ein Textfeld für das Untersuchungsziel und vorgeschlagene Vorlagen für Ursachenanalysen und Leistungsprobleme.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/investigation-agent-start.png)
Weitere Informationen zu Agentic Chat finden Sie unter. [Agenten-Chat bei Amazon Service OpenSearch](application-agentic-chat.md)
## Überprüfung der Untersuchungsergebnisse
Nach Abschluss der Untersuchung legt der Ermittlungsbeauftragte eine Primärhypothese mit einem Vertrauensniveau und unterstützenden Beweisen vor. Auf der Ergebnisseite werden die unternommenen Untersuchungsschritte, die relevanten Ergebnisse nach Wichtigkeit geordnet und alternative Hypothesen angezeigt.
![\[Auf der Seite mit den Untersuchungsergebnissen werden eine Primärhypothese mit den Optionen „Annehmen“ und „Ausschließen“, die relevanten Ergebnisse nach Wichtigkeit geordnet und alternative Hypothesen angezeigt.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/investigation-agent-results.png)
Sie können die Ergebnisse jeder Hypothese überprüfen und dann „**Akzeptieren**“ wählen, um die Hypothese zu bestätigen, oder „**Ausschließen**“, um sie zurückzuweisen. Alternative Hypothesen mit geringerer Wahrscheinlichkeit stehen ebenfalls zur Überprüfung zur Verfügung. Sie können jede alternative Hypothese als endgültige Schlussfolgerung wählen, wenn sie Ihrer Einschätzung besser entspricht.
## Erneute Untersuchung
Wenn die Untersuchungsergebnisse genauer geklärt werden müssen oder wenn der Ermittlungsbeauftragte feststellt, dass die Untersuchungsfrage anhand der verfügbaren Datensätze nicht beantwortet werden kann, können Sie die Option Erneut **untersuchen** verwenden, um die Untersuchung anzupassen und erneut durchzuführen. Wählen Sie **Erneut untersuchen**, um das ursprüngliche Ziel zu bearbeiten, den Zeitraum anzupassen und optional die vorhandenen Hypothesen und Ergebnisse in die neue Untersuchung einzubeziehen.
![\[Das Dialogfeld „Problem erneut untersuchen“ enthält Optionen zur Bearbeitung des ursprünglichen Ziels, zur Anpassung des Zeitrahmens und zum Einbeziehen vorhandener Hypothesen und Ergebnisse in die neue Untersuchung.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/investigation-agent-reinvestigate.png)
# Agentenspeicher im Amazon Service OpenSearch
Agentic Memory ist eine vom Service verwaltete Speicherebene, die Agentic Chat und den Investigation Agent unterstützt. Dabei wird der Kontext innerhalb Ihrer Konversation oder Untersuchung beibehalten, sodass Sie über verschiedene Funktionsseiten, Browser-Tabs und Seitenaktualisierungen hinweg ein einheitliches Erlebnis haben. Agentic Memory funktioniert automatisch und erfordert keine Benutzerkonfiguration.
Agentic Memory basiert auf dem Agent Memory Framework. OpenSearch Der Arbeitsspeicher ist aus Datenschutzgründen nach Benutzer-ID isoliert.
## Datenschutz
Agentic Memory kann kostenlos verwendet werden. In Agentic Memory gespeicherte Kundendaten werden mit einem vom Service verwalteten Schlüssel verschlüsselt. Wenn Sie die CMK-Verschlüsselung (Customer Managed Key) für Ihre OpenSearch UI-Anwendung aktiviert haben, werden Ihre Speicherdaten stattdessen mit Ihrem CMK verschlüsselt. Der Speicher wird in einer vom Service verwalteten Amazon OpenSearch Serverless-Sammlung gespeichert.
Weitere Informationen zur CMK-Verschlüsselung finden Sie unter. [Verschlüsselung der Metadaten von OpenSearch UI-Anwendungen mit vom Kunden verwalteten Schlüsseln](application-encryption-cmk.md)
## Einschränkungen
Agentic Memory kann den Kontext nicht über verschiedene Konversations-Threads hinweg speichern.
# Verschlüsselung der Metadaten von OpenSearch UI-Anwendungen mit vom Kunden verwalteten Schlüsseln
Visuelle Elemente und Konfigurationen werden als Metadaten für Ihre OpenSearch UI-Anwendungen gespeichert. Dazu gehören gespeicherte Abfragen, Visualisierungen und Dashboards. Daten aus den zugehörigen Datenquellen werden nicht in den Metadaten gespeichert. Informationen zur Verschlüsselung von Daten in Ihren Datenquellen finden Sie unter [Datenschutz in Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/data-protection.html) für OpenSearch Domains und [Verschlüsselung in Amazon OpenSearch Serverless für serverlose](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-encryption.html) Sammlungen.
Ihre OpenSearch UI-Metadaten sind durch Verschlüsselung im Ruhezustand geschützt. Dies verhindert unbefugten Zugriff. Die Verschlüsselung verwendet AWS Key Management Service (AWS KMS) zum Speichern und Verwalten der Verschlüsselungsschlüssel. Standardmäßig werden OpenSearch UI-Metadaten mit AWS eigenen Schlüsseln verschlüsselt.
Sie können auch die CMK-Funktion (Customer Managed Key) verwenden, um Ihre eigenen Verschlüsselungsschlüssel zu verwalten. Auf diese Weise können Sie gesetzliche Vorschriften und Compliance-Anforderungen erfüllen. Um CMK verwenden zu können, müssen Sie eine neue OpenSearch UI-Anwendung erstellen und CMK im Erstellungsprozess aktivieren. Es wird derzeit nicht unterstützt, eine bestehende OpenSearch UI-Anwendung von einem AWS eigenen Schlüssel auf CMK zu aktualisieren.
Wann sollten vom Kunden verwaltete Schlüssel verwendet werden:
+ Ihr Unternehmen hat gesetzliche Compliance-Anforderungen für das Schlüsselmanagement
+ Sie benötigen Prüfprotokolle für die Verwendung von Verschlüsselungsschlüsseln
+ Sie möchten die Zeitpläne für die Schlüsselrotation kontrollieren
+ Sie müssen eine Integration in bestehende Workflows für die Schlüsselverwaltung vornehmen
Wenn Sie einen vom Kunden verwalteten Schlüssel verwenden, haben Sie die volle Kontrolle über den Schlüssel. Dies beinhaltet die Fähigkeit:
+ Schlüsselrichtlinien festlegen und erhalten
+ IAM-Richtlinien und Erteilungen festlegen und erhalten
+ Aktivieren und deaktivieren Sie den Schlüssel
+ Dreht das kryptografische Material des Schlüssels
+ Fügen Sie dem Schlüssel Tags hinzu
+ Schlüsselaliase erstellen
+ Planen Sie das Löschen des Schlüssels
**Anmerkung**
Der vom Kunden verwaltete Schlüssel muss sich in derselben Datei befinden AWS-Region wie die OpenSearch UI-Anwendung. Sie können keinen Schlüssel aus einer anderen Region verwenden.
**Topics**
+ [Voraussetzungen für die Verwendung von vom Kunden verwalteten Schlüsseln](#application-encryption-cmk-prerequisites)
+ [Eine Anwendung mit vom Kunden verwalteter Schlüsselverschlüsselung mithilfe der Konsole erstellen](#application-encryption-cmk-create-console)
+ [Erstellen einer Anwendung mit vom Kunden verwalteter Schlüsselverschlüsselung mit dem AWS CLI](#application-encryption-cmk-create-cli)
+ [Überwachung der Verwendung von vom Kunden verwalteten Schlüsseln](#application-encryption-cmk-monitoring)
+ [Die Verschlüsselungseinstellungen werden aktualisiert](#application-encryption-cmk-update)
## Voraussetzungen für die Verwendung von vom Kunden verwalteten Schlüsseln
Bevor Sie einen vom Kunden verwalteten Schlüssel zum Verschlüsseln der Metadaten Ihrer OpenSearch UI-Anwendung verwenden können, müssen Sie in einen symmetrischen Verschlüsselungsschlüssel erstellen. AWS KMS Anweisungen zum Erstellen von Schlüsseln finden Sie unter [Schlüssel erstellen](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) im *AWS KMS Entwicklerhandbuch*.
Die Schlüsselrichtlinie für Ihren vom Kunden verwalteten Schlüssel muss die OpenSearch Benutzerschnittstelle zur Verwendung des Schlüssels berechtigen. Verwenden Sie die folgende wichtige Richtlinie und ersetzen Sie sie durch Ihre eigenen Informationen: *placeholder values*
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowOpenSearchUIToUseKey",
"Effect": "Allow",
"Principal": {
"Service": [
"application.opensearchservice.amazonaws.com"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "AllowKeyAdministration",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account-id:root"
},
"Action": "kms:*",
"Resource": "*"
}
]
}
```
Die Richtlinie enthält zwei Anweisungen:
+ Die erste Anweisung ermöglicht es der OpenSearch Benutzeroberfläche, den Schlüssel für Verschlüsselungsvorgänge zu verwenden.
+ Die zweite Anweisung ermöglicht es Benutzern in Ihrem Bereich AWS-Konto , den Schlüssel zu verwalten. Dazu gehören Berechtigungen zum Aktualisieren der Schlüsselrichtlinie, zum Aktivieren oder Deaktivieren des Schlüssels und zum Planen der Löschung des Schlüssels. Sie können diese Berechtigungen weiter einschränken, indem Sie den Root-Principal durch bestimmte IAM-Benutzer oder -Rollen ersetzen.
Weitere Informationen zu wichtigen Richtlinien finden Sie unter [Verwenden von Schlüsselrichtlinien AWS KMS im AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) *Entwicklerhandbuch*.
## Eine Anwendung mit vom Kunden verwalteter Schlüsselverschlüsselung mithilfe der Konsole erstellen
Wenn Sie eine OpenSearch UI-Anwendung in der Konsole erstellen, können Sie einen vom Kunden verwalteten Schlüssel zum Verschlüsseln der Metadaten der Anwendung angeben.
**Um mithilfe der Konsole eine OpenSearch UI-Anwendung mit vom Kunden verwalteter Schlüsselverschlüsselung zu erstellen**
1. Melden Sie sich zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home) bei der Amazon OpenSearch Service-Konsole an.
1. Wählen Sie im linken Navigationsbereich **OpenSearch UI (Dashboards)** aus.
1. Wählen Sie **Create application** aus.
1. Geben Sie **unter Anwendungsname** einen Namen für die Anwendung ein.
1. Konfigurieren Sie die Authentifizierungs- und Administratoreinstellungen nach Bedarf. Weitere Informationen finden Sie unter [Erste Schritte mit der OpenSearch Benutzeroberfläche in Amazon OpenSearch Service](application-getting-started.md).
1. Wählen Sie im Abschnitt **Verschlüsselung** für **Verschlüsselung im Ruhezustand** die Option Vom **Kunden verwalteten Schlüssel verwenden** aus.
1. Wählen Sie einen vorhandenen, vom Kunden verwalteten Schlüssel aus der Liste aus, oder wählen Sie **Schlüssel** erstellen, um einen neuen Schlüssel zu erstellen AWS KMS.
**Anmerkung**
Der Schlüssel muss sich in derselben AWS-Region Anwendung befinden, die Sie erstellen.
1. (Optional) Fügen Sie der Anwendung Tags hinzu.
1. Wählen Sie **Erstellen** aus.
## Erstellen einer Anwendung mit vom Kunden verwalteter Schlüsselverschlüsselung mit dem AWS CLI
Um eine OpenSearch Benutzeroberflächenanwendung mit vom Kunden verwalteter Schlüsselverschlüsselung mit dem zu erstellen AWS CLI, verwenden Sie den Befehl [create-application](https://docs.aws.amazon.com/cli/latest/reference/opensearch/create-application.html) mit dem `--kms-key-arn` Parameter.
Ersetzen Sie *placeholder values* durch Ihre Informationen.
```
aws opensearch create-application \
--name my-application \
--kms-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
```
Wenn Sie den `--kms-key-arn` Parameter nicht angeben, OpenSearch verwendet einen AWS-verwalteten Schlüssel, um die Metadaten der Anwendung zu verschlüsseln.
## Überwachung der Verwendung von vom Kunden verwalteten Schlüsseln
Wenn Sie einen vom Kunden verwalteten Schlüssel mit einer OpenSearch UI-Anwendung verwenden, wird jede Verwendung des Schlüssels in AWS CloudTrail Protokollen AWS KMS aufgezeichnet. Sie können diese Protokolle verwenden, um zu überwachen, wie und wann Ihr Schlüssel verwendet wird. Die Protokolle zeigen, welcher Benutzer oder Dienst auf den Schlüssel zugegriffen hat.
AWS AWS KMS wechselt jedes Jahr automatisch die vom Kunden verwalteten Schlüssel. Sie können Schlüssel auch manuell nach Bedarf drehen. Weitere Informationen zur Schlüsselrotation finden Sie unter [Rotation von KMS-Schlüsseln](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) im *AWS KMS Entwicklerhandbuch*.
Weitere Informationen zur Überwachung der Schlüsselnutzung finden Sie unter [Protokollieren von AWS KMS API-Aufrufen mit AWS CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html) im *AWS KMS Entwicklerhandbuch*.
**Anmerkung**
Für die Verwendung von vom Kunden verwalteten Schlüsseln fallen AWS KMS Gebühren an. Die Gebühren richten sich nach der Anzahl der gespeicherten API-Anfragen und Schlüssel. Preisdetails finden Sie unter Preise für den [AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
## Die Verschlüsselungseinstellungen werden aktualisiert
Nachdem Sie eine OpenSearch UI-Anwendung erstellt haben, können Sie ihre Verschlüsselungseinstellungen nicht mehr ändern. Wenn Sie einen anderen vom Kunden verwalteten Schlüssel verwenden müssen, müssen Sie eine neue Anwendung erstellen. Wenn Sie zwischen AWS-verwalteten und kundenverwalteten Schlüsseln wechseln müssen, müssen Sie auch eine neue Anwendung mit den gewünschten Verschlüsselungseinstellungen erstellen.
**Wichtig**
Bevor Sie einen vom Kunden verwalteten Schlüssel deaktivieren oder löschen, sollten Sie Folgendes beachten:
Wenn Sie den Schlüssel deaktivieren, verliert die Anwendung den Zugriff auf ihre verschlüsselten Metadaten. Sie müssen denselben Schlüssel erneut aktivieren, um den Zugriff wiederherzustellen.
Wenn Sie den Schlüssel löschen, kann nicht mehr auf die gespeicherten Objekte der Anwendung zugegriffen werden. Dazu gehören Abfragen, Visualisierungen und Dashboards. Gelöschte Schlüssel können nicht wiederhergestellt werden.
Wir empfehlen, Ihren Schlüssel-ARN zu dokumentieren, bevor Sie Änderungen am Schlüsselstatus vornehmen.
**Nächste Schritte**
Nachdem Sie die CMK-Verschlüsselung für Ihre Anwendung konfiguriert haben, können Sie:
+ Ordnen Sie Ihrer Anwendung Datenquellen zu. Weitere Informationen finden Sie unter [Verwaltung von Datenquellenzuordnungen und Virtual Private Cloud-Zugriffsberechtigungen](application-data-sources-and-vpc.md).
+ Erstellen Sie Arbeitsbereiche für Ihr Team. Weitere Informationen finden Sie unter [Amazon OpenSearch Service-Workspaces verwenden](application-workspaces.md).
+ Richten Sie die AWS CloudTrail Überwachung der Schlüsselnutzung ein. Weitere Informationen finden Sie unter [Überwachung der Verwendung von vom Kunden verwalteten Schlüsseln](#application-encryption-cmk-monitoring).
# Aktivieren Sie den SAML-Verbund mit AWS Identity and Access Management
OpenSearch Die Benutzeroberfläche unterstützt Security Assertion Markup Language 2.0 (SAML), einen offenen Standard, den viele Identitätsanbieter verwenden. Dies ermöglicht einen Identitätsverbund mit AWS Identity and Access Management (IAM). Mit dieser Unterstützung können Benutzer in Ihrem Konto oder Ihrer Organisation direkt auf die OpenSearch Benutzeroberfläche zugreifen, indem sie IAM-Rollen übernehmen. Sie können ein vom Identitätsanbieter initiiertes (IdP) Single Sign-On-Erlebnis für Ihre Endbenutzer einrichten, bei dem sie sich beim externen Identitätsanbieter authentifizieren und direkt zu Ihrer definierten Seite in der Benutzeroberfläche weitergeleitet werden können. OpenSearch Sie können auch eine differenzierte Zugriffskontrolle implementieren, indem Sie Ihre Endbenutzer oder Gruppen so konfigurieren, dass sie unterschiedliche IAM-Rollen mit unterschiedlichen Berechtigungen für den Zugriff auf die Benutzeroberfläche und die zugehörigen Datenquellen annehmen. OpenSearch
In diesem Thema step-by-step finden Sie Anweisungen zur Konfiguration der SAML-Verwendung mit der Benutzeroberfläche. OpenSearch In diesen Verfahren verwenden wir als Beispiel die Schritte zur Konfiguration der Okta-Anwendung für Identitäts- und Zugriffsverwaltung. Die Konfigurationsschritte für andere Identitätsanbieter wie Azure Active Directory und Ping sind ähnlich.
**Topics**
+ [Schritt 1: Richten Sie die Identitätsanbieter-Anwendung (Okta) ein](#SAML-identity-federation-step-1)
+ [Schritt 2: Richten Sie die AWS Konfiguration für Okta ein](#SAML-identity-federation-step-2)
+ [Schritt 3: Erstellen Sie die Amazon OpenSearch Service-Zugriffsrichtlinie in IAM](#SAML-identity-federation-step-3)
+ [Schritt 4: Überprüfen Sie das vom Identitätsanbieter initiierte Single Sign-On-Erlebnis mit SAML](#SAML-identity-federation-step-4)
+ [Schritt 5: Konfigurieren Sie die auf SAML-Attributen basierende, feinkörnige Zugriffskontrolle](#SAML-identity-federation-step-5)
## Schritt 1: Richten Sie die Identitätsanbieter-Anwendung (Okta) ein
Um SAML mit OpenSearch UI zu verwenden, müssen Sie zunächst Ihren Identitätsanbieter einrichten.
**Aufgabe 1: Okta-Benutzer erstellen**
1. Melden Sie sich bei Ihrer Okta-Organisation unter [https://login.okta.com/](https://login.okta.com/)als Benutzer mit Administratorrechten an.
1. Wählen Sie in der Admin-Konsole im Navigationsbereich unter **Verzeichnis** die Option **Personen** aus.
1. Wählen Sie **Person hinzufügen** aus.
1. Geben Sie **unter Vorname** den Vornamen des Benutzers ein.
1. Geben Sie **unter Nachname** den Nachnamen des Benutzers ein.
1. Geben Sie unter **Benutzername** den Benutzernamen des Benutzers im E-Mail-Format ein.
1. Wählen Sie **Ich werde ein Passwort festlegen** und ein Passwort eingeben
1. (Optional) Deaktivieren Sie das Feld **Benutzer muss das Passwort bei der ersten Anmeldung ändern**, wenn Sie nicht möchten, dass der Benutzer das Passwort bei der ersten Anmeldung ändert.
1. Wählen Sie **Speichern**.
**Aufgabe 2: Gruppen erstellen und zuweisen**
1. Melden Sie sich bei Ihrer Okta-Organisation unter [https://login.okta.com/](https://login.okta.com/)als Benutzer mit Administratorrechten an.
1. Wählen Sie in der Admin-Konsole im Navigationsbereich unter **Verzeichnis** die Option **Gruppen** aus.
1. Wählen Sie **Add Group (Gruppe hinzufügen)** aus.
1. Geben Sie einen Gruppennamen ein und wählen Sie **Speichern**.
1. Wählen Sie die neu erstellte Gruppe aus und klicken Sie dann auf **Personen zuweisen**.
1. Wählen Sie das Pluszeichen (**\$1**) und dann „**Fertig**“.
1. (Optional) Wiederholen Sie die Schritte 1—6, um weitere Gruppen hinzuzufügen.
**Aufgabe 3: Okta-Anwendungen erstellen**
1. Melden Sie sich bei Ihrer Okta-Organisation unter [https://login.okta.com/](https://login.okta.com/)als Benutzer mit Administratorrechten an.
1. Wählen Sie in der Admin-Konsole im Navigationsbereich unter **Anwendungen** die Option **Anwendungen** aus.
1. Wählen Sie **Create App Integration** (App-Integration erstellen).
1. **Wählen Sie SAML 2.0 als Anmeldemethode und klicken Sie dann auf Weiter.**
1. **Geben Sie einen Namen für Ihre App-Integration ein (z. B.**OpenSearch\$1UI**) und wählen Sie dann Weiter.**
1. Geben Sie die folgenden Werte in die App ein. Sie müssen keine anderen Werte ändern:
1. 1. Geben Sie für **Single Sign On URL** die kommerziellen AWS Regionen oder die **https://signin.aws.amazon.com/saml** für Ihre Region spezifische URL ein.
1. 2. Geben Sie als **Zielgruppen-URI (SP Entity ID)** ein**urn:amazon:webservices**.
1. 3. Geben Sie als **Namens-ID-Format** ein**EmailAddress**.
1. Wählen Sie **Weiter** aus.
1. Wählen Sie **Ich bin ein Okta-Kunde, der eine interne App hinzufügt**, und wählen Sie dann **Dies ist eine interne App, die wir erstellt haben** aus.
1. Wählen Sie **Finish** (Abschließen).
1. Wählen Sie „**Aufgaben**“ und dann „**Zuweisen**“.
1. Wählen Sie **Zu Gruppen zuweisen** und dann neben den Gruppen, die Sie hinzufügen möchten, die Option **Zuweisen** aus.
1. Wählen Sie **Fertig** aus.
**Aufgabe 4: Richten Sie die erweiterte Okta-Konfiguration ein**
Nachdem Sie die benutzerdefinierte SAML-Anwendung erstellt haben, führen Sie die folgenden Schritte aus:
1. Melden Sie sich bei Ihrer Okta-Organisation unter [https://login.okta.com/](https://login.okta.com/)als Benutzer mit Administratorrechten an.
Wählen Sie auf der Administratorkonsole im Bereich **Allgemein** unter **SAML-Einstellungen** die Option **Bearbeiten** aus.
1. Wählen Sie **Weiter** aus.
1. Stellen Sie den **Standard-Relay-Status** auf den OpenSearch UI-Endpunkt ein und verwenden Sie dabei das folgende Format:
`https://region.console.aws.amazon.com/aos/home?region=region#opensearch/applications/application-id/redirectToDashboardURL`.
Im Folgenden wird ein Beispiel gezeigt:
`https://us-east-2.console.aws.amazon.com/aos/home?region=us-east-2#opensearch/applications/abc123def4567EXAMPLE/redirectToDashboardURL`
1. Fügen Sie unter **Attributanweisungen (optional)** die folgenden Eigenschaften hinzu:
1. **Geben Sie die IAM-Rolle und den Identitätsanbieter mithilfe des Role-Attributs in einem kommagetrennten Format an.** Sie werden dieselbe IAM-Rolle und denselben Identitätsanbieter in einem späteren Schritt beim Einrichten der Konfiguration verwenden. AWS
1. Legen Sie **user.login für** fest. **RoleSessionName** Dies wird als Kennung für die temporären Anmeldeinformationen verwendet, die ausgestellt werden, wenn die Rolle übernommen wird.
Als Referenz:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/application-enable-SAML-identity-federation.html)
1. Nachdem Sie die Attributeigenschaften hinzugefügt haben, klicken Sie auf **Weiter** und anschließend auf **Fertig stellen.**
Ihre Attribute sollten ein ähnliches Format wie in der folgenden Abbildung haben. Der **Standard-Relay-State-Wert** ist die URL zur Definition der Landingpage für Endbenutzer in Ihrem Konto oder Ihrer Organisation, nachdem diese die Single Sign-On-Validierung von Okta abgeschlossen haben. Sie können es auf eine beliebige Seite in der OpenSearch Benutzeroberfläche festlegen und diese URL dann den vorgesehenen Endbenutzern zur Verfügung stellen.
![\[Im Bereich „SAML 2.0" werden die Standard-Relay-Status-URL und die Metadaten-URL für eine Anwendung gemeldet.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/ui-saml-2.0-area-okta.png)
## Schritt 2: Richten Sie die AWS Konfiguration für Okta ein
Führen Sie die folgenden Aufgaben aus, um Ihre AWS Konfiguration für Okta einzurichten.
**Aufgabe 1: Sammeln Sie Okta-Informationen**
Für diesen Schritt müssen Sie Ihre Okta-Informationen sammeln, damit Sie sie später konfigurieren können. AWS
1. Melden Sie sich bei Ihrer Okta-Organisation unter [https://login.okta.com/](https://login.okta.com/)als Benutzer mit Administratorrechten an.
1. Wählen Sie auf der Registerkarte **Anmelden** in der unteren rechten Ecke der Seite die Option **SAML-Setup-Anweisungen anzeigen** aus.
1. Notieren Sie sich den Wert für die **Single Sign-On-URL des Identity Providers**. Sie können diese URL verwenden, wenn Sie eine Verbindung zu einem SQL-Client eines Drittanbieters wie [SQL Workbench/J](https://www.sql-workbench.eu/) herstellen.
1. Verwenden Sie die Identitätsanbieter-Metadaten in Block 4 und speichern Sie dann die Metadatendatei im XML-Format (z. B.). `metadata.xml`
**Aufgabe 2: Erstellen Sie den IAM-Anbieter**
Gehen Sie wie folgt vor, um Ihren IAM-Anbieter zu erstellen:
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich unter **Access Management** die Option **Identity Providers** aus.
1. Wählen Sie **Add provider** (Anbieter hinzufügen) aus.
1. Wählen Sie als **Anbietertyp** die Option **SAML** aus.
1. Geben Sie für **den Anbieternamen** einen Namen ein.
1. Wählen Sie für **Metadaten-Dokument** die **Option Datei auswählen** und laden Sie die Metadatendatei (.xml) hoch, die Sie zuvor heruntergeladen haben.
1. Wählen Sie **Add provider** (Anbieter hinzufügen) aus.
**Aufgabe 3: IAM-Rolle erstellen**
Gehen Sie wie folgt vor, um Ihre AWS Identity and Access Management Rolle zu erstellen:
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Wählen Sie im Navigationsbereich unter **Zugriffsverwaltung** die Option **Rollen** aus.
1. Wählen Sie **Rolle erstellen** aus.
1. Wählen Sie für **Vertrauenswürdigen Entitätstyp** die Option **SAML 2.0-Verbund** aus.
1. Wählen Sie für einen **SAML 2.0-basierten Anbieter** den Identitätsanbieter aus, den Sie zuvor erstellt haben.
1. Wählen Sie **Programmatisch und Zugriff zulassen** aus. AWS-Managementkonsole
1. Wählen Sie **Weiter** aus.
1. Aktivieren Sie in der Liste der **Berechtigungsrichtlinien** die Kontrollkästchen für Richtlinien, die OpenSearch Dienstberechtigungen gewähren, z. B. für AWS verwaltete Richtlinien **AmazonOpenSearchServiceFullAccess**.
1. Wählen Sie **Weiter** aus.
1. Geben Sie im Bereich **Überprüfung** in das Feld **Rollenname** den Namen Ihrer Rolle ein, zum Beispiel**oktarole**.
1. (Optional) Geben Sie unter **Beschreibung** eine kurze Beschreibung des Zwecks der Rolle ein.
1. Wählen Sie **Rolle erstellen** aus.
1. Navigieren Sie zu der Rolle, die Sie gerade erstellt haben, wählen Sie die Registerkarte **Vertrauensbeziehungen** und dann **Vertrauensrichtlinie bearbeiten** aus.
1. Wählen **Sie im Bereich Aussage bearbeiten** unter **Aktionen für STS hinzufügen** das Feld für aus **TagSession**.
1. Wählen Sie **Richtlinie aktualisieren**.
## Schritt 3: Erstellen Sie die Amazon OpenSearch Service-Zugriffsrichtlinie in IAM
Erfahren Sie, wie Sie Ihre IAM-Rollen für die OpenSearch Zugriffskontrolle konfigurieren. Mit IAM-Rollen können Sie eine differenzierte Zugriffskontrolle für Ihre Okta-Benutzergruppen für den Zugriff auf Ressourcen implementieren. OpenSearch In diesem Thema wird die rollenbasierte IAM-Konfiguration anhand von zwei Beispielgruppen veranschaulicht.
------
#### [ Sample group: Alice ]
Anforderung:
```
GET _plugins/_security/api/roles/alice-group
```
Ergebnis:
```
{
"alice-group": {
"reserved": false,
"hidden": false,
"cluster_permissions": [
"unlimited"
],
"index_permissions": [
{
"index_patterns": [
"alice*"
],
"dls": "",
"fls": [],
"masked_fields": [],
"allowed_actions": [
"indices_all"
]
}
],
"tenant_permissions": [
{
"tenant_patterns": [
"global_tenant"
],
"allowed_actions": [
"kibana_all_write"
]
}
],
"static": false
}
}
```
------
#### [ Sample group: Bob ]
Anforderung:
```
GET _plugins/_security/api/roles/bob-group
```
Ergebnis:
```
{
"bob-group": {
"reserved": false,
"hidden": false,
"cluster_permissions": [
"unlimited"
],
"index_permissions": [
{
"index_patterns": [
"bob*"
],
"dls": "",
"fls": [],
"masked_fields": [],
"allowed_actions": [
"indices_all"
]
}
],
"tenant_permissions": [
{
"tenant_patterns": [
"global_tenant"
],
"allowed_actions": [
"kibana_all_write"
]
}
],
"static": false
}
}
```
------
Sie können die Amazon OpenSearch Service-Domänenrollen mithilfe der Backend-Rollenzuweisung IAM-Rollen zuordnen, wie im folgenden Beispiel gezeigt:
```
{
"bob-group": {
"hosts": [],
"users": [],
"reserved": false,
"hidden": false,
"backend_roles": [
"arn:aws:iam::111222333444:role/bob-group"
],
"and_backend_roles": []
},
"alice-group": {
"hosts": [],
"users": [],
"reserved": false,
"hidden": false,
"backend_roles": [
"arn:aws:iam::111222333444:role/alice-group"
],
"and_backend_roles": []
}
}
```
## Schritt 4: Überprüfen Sie das vom Identitätsanbieter initiierte Single Sign-On-Erlebnis mit SAML
Öffnen Sie die URL für **Default Relay State, um die Okta-Authentifizierungsseite** zu öffnen. Geben Sie die Anmeldeinformationen eines Endbenutzers ein. Sie werden automatisch zur OpenSearch Benutzeroberfläche weitergeleitet.
Sie können Ihre aktuellen Anmeldeinformationen überprüfen, indem Sie auf das Benutzersymbol unten im Navigationsbereich klicken, wie in der folgenden Abbildung dargestellt:
![\[Wenn Sie auf der Okta-Seite „Einstellungen und Einstellungen“ das Benutzersymbol auswählen, werden die Anmeldeinformationen des aktuellen Benutzers angezeigt.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/ui-okta-user-icon.png)
Sie können die detaillierten Zugriffsberechtigungen für den Benutzer auch überprüfen, indem Sie unten im Navigationsbereich auf die Entwicklertools zugreifen und Abfragen in der Konsole ausführen. Im Folgenden finden Sie Beispielabfragen.
------
#### [ Example 1: Displays information about the current user ]
Anforderung:
```
GET _plugins/_security/api/account
```
Ergebnis:
```
{
"user_name": "arn:aws:iam::XXXXXXXXXXXX:role/bob-group",
"is_reserved": false,
"is_hidden": false,
"is_internal_user": false,
"user_requested_tenant": null,
"backend_roles": [
"arn:aws:iam::XXXXXXXXXXXX:role/bob-group"
],
"custom_attribute_names": [],
"tenants": {
"global_tenant": true,
"arn:aws:iam::XXXXXXXXXXXX:role/bob-group": true
},
"roles": [
"bob-group"
]
}
```
------
#### [ Example 2: Displays actions permitted for a user ]
Anforderung:
```
GET bob-test/_search
```
Ergebnis:
```
{
"took": 390,
"timed_out": false,
"_shards": {
"total": 5,
"successful": 5,
"skipped": 0,
"failed": 0
},
"hits": {
"total": {
"value": 1,
"relation": "eq"
},
"max_score": 1,
"hits": [
{
"_index": "bob-test",
"_id": "ui01N5UBCIHpjO8Jlvfy",
"_score": 1,
"_source": {
"title": "Your Name",
"year": "2016"
}
}
]
}
}
```
------
#### [ Example 3: Displays actions not permitted for a user ]
Anforderung:
```
GET alice-test
```
Ergebnis:
```
{
"error": {
"root_cause": [
{
"type": "security_exception",
"reason": "no permissions for [indices:admin/get] and User [name=arn:aws:iam::111222333444:role/bob-group, backend_roles=[arn:aws:iam::111222333444:role/bob-group], requestedTenant=null]"
}
],
"type": "security_exception",
"reason": "no permissions for [indices:admin/get] and User [name=arn:aws:iam::111222333444:role/bob-group, backend_roles=[arn:aws:iam::111222333444:role/bob-group], requestedTenant=null]"
},
"status": 403
}
```
------
## Schritt 5: Konfigurieren Sie die auf SAML-Attributen basierende, feinkörnige Zugriffskontrolle
Mit Amazon OpenSearch Service können Sie eine differenzierte Zugriffskontrolle mit SAML verwenden, um Benutzer und Gruppen von Ihrem Identitätsanbieter dynamisch OpenSearch differenzierten Benutzern und Rollen für die Zugriffskontrolle zuzuordnen. Sie können diese Rollen auf bestimmte OpenSearch Domänen und serverlose Sammlungen beschränken und Berechtigungen auf Indexebene und Sicherheit auf Dokumentebene definieren.
**Anmerkung**
Weitere Informationen zur detaillierten Zugriffskontrolle finden Sie unter. [Feinkörnige Zugriffskontrolle in Amazon Service OpenSearch](fgac.md)
**Topics**
+ [SAML-Attribute für eine differenzierte Zugriffskontrolle](#saml-fgac-key-attributes)
+ [Aufgabe 1: Konfigurieren Sie Okta für eine differenzierte Zugriffskontrolle](#configure-okta-fgac)
+ [Aufgabe 2: SAML in der Domäne konfigurieren OpenSearch](#configure-opensearch-domain-fgac)
+ [Aufgabe 3: SAML in OpenSearch serverlosen Sammlungen konfigurieren](#saml-configure-collections)
### SAML-Attribute für eine differenzierte Zugriffskontrolle
**SubjectKey**
Ordnet ein eindeutiges Benutzerattribut zu, z. B. E-Mail oder Benutzername, das den Benutzer für die Authentifizierung identifiziert.
**RolesKey**
Ordnet Gruppen- oder Rollenattributen in Ihrem IdP zu, die die Rollen oder Berechtigungen für die Autorisierung festlegen.
### Aufgabe 1: Konfigurieren Sie Okta für eine differenzierte Zugriffskontrolle
**So konfigurieren Sie Okta für eine differenzierte Zugriffskontrolle**
1. **Fügen Sie im Abschnitt Attributanweisungen ein neues Attribut für den OpenSearch Benutzerprinzipal hinzu:**
+ Name: `UserName`
+ Wert: `${user-email}`
Dieses Attribut wird in der detaillierten Konfiguration der Zugriffskontrolle für OpenSearch die Authentifizierung als **Betreffschlüssel** verwendet.
1. Fügen Sie im Abschnitt Group Attribute **Statement ein Gruppenattribut** für Rollen hinzu:
+ Name: `groups`
+ Filter: `OpenSearch_xxx`
Dieses Attribut wird als **Rollenschlüssel** für die Zuordnung von Gruppen zu OpenSearch detaillierten Zugriffskontrollrollen für die Autorisierung verwendet.
### Aufgabe 2: SAML in der Domäne konfigurieren OpenSearch
**Um SAML in der Domäne zu konfigurieren OpenSearch**
1. Identifizieren Sie in der AWS Management Console die OpenSearch Dienstdomäne, für die Sie eine differenzierte Zugriffskontrolle für die Benutzer der OpenSearch Benutzeroberfläche aktivieren möchten.
1. Navigieren Sie zur Detailseite der jeweiligen Domain.
1. Wählen Sie die Registerkarte **Sicherheitskonfiguration** und klicken Sie auf **Bearbeiten**.
1. Erweitern Sie **SAML über IAM Federate**.
1. Geben Sie das `subjectKey` und ein`roleKey`, das Sie in Okta definiert haben.
1. Wählen Sie **Änderungen speichern** aus.
Sie können auch eine detaillierte Zugriffskontrolle mit dem konfigurieren. AWS CLI
```
aws opensearch create-domain \
--domain-name testDomain \
--engine-version OpenSearch_1.3 \
--cluster-config InstanceType=r5.xlarge.search,InstanceCount=1,DedicatedMasterEnabled=false,ZoneAwarenessEnabled=false,WarmEnabled=false \
--access-policies '{"Version": "2012-10-17", "Statement":[{"Effect":"Allow","Principal":{"AWS":"*"},"Action":"es:*","Resource":"arn:aws:es:us-east-1:12345678901:domain/neosaml10/*"}]}' \
--domain-endpoint-options '{"EnforceHTTPS":true,"TLSSecurityPolicy":"Policy-Min-TLS-1-2-2019-07"}' \
--node-to-node-encryption-options '{"Enabled":true}' \
--encryption-at-rest-options '{"Enabled":true}' \
--advanced-security-options '{"Enabled":true,"InternalUserDatabaseEnabled":true,"MasterUserOptions":{"MasterUserName":"********","MasterUserPassword":"********"}, "IAMFederationOptions":{"Enabled": true,"SubjectKey":"TestSubjectKey","RolesKey":"TestRolesKey"}}' \
--ebs-options "EBSEnabled=true,VolumeType=gp2,VolumeSize=300" \
--no-verify-ssl \
--endpoint-url https://es.us-east-1.amazonaws.com \
--region us-east-1
```
Um eine bestehende Domain zu aktualisieren:
```
aws opensearch update-domain-config \
--domain-name testDomain \
--advanced-security-options '{"Enabled":true,"InternalUserDatabaseEnabled":true,"MasterUserOptions":{"MasterUserName":"********","MasterUserPassword":"********"}, "IAMFederationOptions":{"Enabled": true,"SubjectKey":"TestSubjectKey","RolesKey":"TestRolesKey"}}' \
--ebs-options "EBSEnabled=true,VolumeType=gp2,VolumeSize=300" \
--no-verify-ssl \
--endpoint-url https://es.us-east-1.amazonaws.com \
--region us-east-1
```
### Aufgabe 3: SAML in OpenSearch serverlosen Sammlungen konfigurieren
**So konfigurieren Sie eine auf SAML basierende, detaillierte Zugriffskontrolle in Serverless OpenSearch**
1. Öffnen Sie den AWS-Managementkonsole und navigieren Sie zu Amazon OpenSearch Service.
1. Wählen Sie im Navigationsbereich unter **Serverless** die Option **Security** und anschließend **Authentication** aus.
1. **Wählen Sie im Abschnitt **IAM Federation** die Option Bearbeiten aus.**
Mit dieser Konfiguration können Sie die auf SAML-Attributen basierende, feinkörnige Zugriffskontrolle steuern. IAM Federation ist standardmäßig deaktiviert.
1. Wählen Sie **IAM-Verbund aktivieren** aus.
1. Geben Sie die `roleKey` Werte `subjectKey` und ein, die Sie in Okta definiert haben.
Weitere Informationen finden Sie unter [SAML-Attribute für eine differenzierte Zugriffskontrolle](#saml-fgac-key-attributes).
1. Wählen Sie **Speichern** aus.
1. Wählen Sie im Navigationsbereich unter **Serverless** die Option **Datenzugriffsrichtlinie** aus.
1. Aktualisieren Sie entweder eine bestehende Richtlinie oder erstellen Sie eine neue.
1. Erweitern Sie eine Regel, wählen Sie **Prinzipale hinzufügen** und dann **IAM Federation users and** groups aus.
1. **Fügen Sie die erforderlichen Principals hinzu und klicken Sie auf Speichern.**
1. Wählen Sie **Grant (Erteilen)**.
1. Gehen Sie im Rahmen dieser Regel wie folgt vor:
+ Wählen Sie die Berechtigungen aus, die Sie für die ausgewählten Principals definieren möchten.
+ Geben Sie die Sammlungen an, für die Sie die Berechtigungen anwenden möchten.
+ Definieren Sie optional Berechtigungen auf Indexebene.
**Anmerkung**
Sie können mehrere Regeln erstellen, um verschiedenen Gruppen von Prinzipalen unterschiedliche Berechtigungen zuzuweisen.
1. Wenn Sie fertig sind, wählen Sie **Speichern** aus.
1. Wählen Sie **Erstellen** aus.
Alternativ können Sie CLI verwenden, um die Sicherheitskonfigurationen für Sammlungen zu erstellen, wie unten angegeben:
```
aws opensearchserverless create-security-config --region "region" --type iamfederation --name "configuration_name" --description "description" --iam-federation-options '{"groupAttribute":"GroupKey","userAttribute":"UserKey"}'
```
# Verwaltung von Datenquellenzuordnungen und Virtual Private Cloud-Zugriffsberechtigungen
Verwenden Sie die Verfahren in diesem Abschnitt, um Datenquellenzuordnungen zu verwalten und alle erforderlichen Zugriffsberechtigungen für eine Virtual Private Cloud (VPC) zu konfigurieren.
**Topics**
+ [Zuordnen einer Datenquelle zu einer UI-Anwendung OpenSearch](#application-data-source-association)
+ [Verwaltung des Zugriffs auf Domänen in einer VPC](#application-manage-vpc-access)
+ [Konfiguration des Zugriffs auf OpenSearch serverlose Sammlungen in einer VPC](#application-configure-vpc-access-serverless-connections)
## Zuordnen einer Datenquelle zu einer UI-Anwendung OpenSearch
Nachdem Sie eine OpenSearch UI-Anwendung erstellt haben, können Sie die Konsole verwenden oder AWS CLI sie einer oder mehreren Datenquellen zuordnen. Danach können Endbenutzer Daten aus diesen Datenquellen abrufen, um sie zu durchsuchen, mit Dashboards zu arbeiten usw.
### Ordnen Sie eine Datenquelle einer OpenSearch UI-Anwendung (Konsole) zu
**So verknüpfen Sie mithilfe der Konsole eine Datenquelle mit einer OpenSearch UI-Anwendung**
1. Melden Sie sich zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home) bei der Amazon OpenSearch Service-Konsole an.
1. Wählen Sie **OpenSearch UI (Dashboards)** und dann den Namen einer OpenSearch UI-Anwendung.
1. Wählen Sie im Bereich **Zugeordnete Datenquellen** die Option **Datenquellen verwalten** aus.
1. Wählen Sie aus den OpenSearch Domänen und Sammlungen aus, die Sie der Anwendung zuordnen möchten.
**Tipp**
Wenn Sie die Datenquellen, nach denen Sie suchen, nicht finden, wenden Sie sich an Ihre Administratoren, um Ihnen die erforderlichen Berechtigungen zu erteilen. Weitere Informationen finden Sie unter [Berechtigungen zum Erstellen einer Anwendung, die die IAM Identity Center-Authentifizierung verwendet (optional)](application-getting-started.md#prerequisite-permissions-idc).
1. Wählen Sie **Weiter** und dann **Speichern** aus.
Nachdem Sie der Anwendung eine Datenquelle zugeordnet haben, ist die Schaltfläche „**Anwendung starten**“ auf der Anwendungsdetailseite aktiviert. Sie können „**Anwendung starten**“ wählen, um die OpenSearch Seite **Willkommen auf zu** öffnen, auf der Sie Workspaces erstellen und verwalten können.
Informationen zum Arbeiten mit Workspaces finden Sie unter. [Amazon OpenSearch Service-Workspaces verwenden](application-workspaces.md)
## Verwaltung des Zugriffs auf Domänen in einer VPC
Wenn der Anwendung eine OpenSearch Domain in einer VPC zugeordnet war, muss ein VPC-Administrator den Zugriff zwischen OpenSearch UI und VPC über die Konsole oder autorisieren. AWS CLI
### Verwaltung des Zugriffs auf Domänen in einer VPC (Konsole)
**Um den Zugriff auf eine VPC-Domain zu konfigurieren, verwenden Sie: AWS-Managementkonsole**
1. Melden Sie sich zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home) bei der Amazon OpenSearch Service-Konsole an.
1. Wählen Sie im linken Navigationsbereich **Domains** und anschließend den Namen der VPC-Domain aus.
–oder–
Wählen Sie **Create Domain** aus und konfigurieren Sie dann die Details für die Domain.
1. Wählen Sie die Registerkarte **VPC-Endpoints** und dann Principal **autorisieren** aus.
1. Wählen Sie im Dialogfeld **Prinzipale autorisieren** die Option **Prinzipale aus anderen AWS Diensten autorisieren und wählen Sie dann **OpenSearch Anwendungen** (Dashboard) aus** der Liste aus.
1. Klicken Sie auf **Authorize**.
### Zugriff auf Domänen in einer VPC verwalten ()AWS CLI
**So autorisieren Sie eine VPC-Domain mit dem AWS CLI**
Führen Sie den folgenden Befehl aus AWS CLI, um die VPC-Domäne mit dem zu autorisieren. Ersetzen Sie *placeholder values* durch Ihre Informationen.
```
aws opensearch authorize-vpc-endpoint-access \
--domain-name domain-name \
--service application.opensearchservice.amazonaws.com \
--region region-id
```
**So widerrufen Sie eine VPC-Domänenzuweisung mithilfe der Konsole**
Wenn eine Zuordnung nicht mehr benötigt wird, kann der VPC-Domaininhaber den Zugriff mithilfe des folgenden Verfahrens widerrufen.
1. Melden Sie sich zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home) bei der Amazon OpenSearch Service-Konsole an.
1. Wählen Sie im linken Navigationsbereich **Domains** und anschließend den Namen der VPC-Domain aus.
1. Wählen Sie die Registerkarte **VPC-Endpoints** und dann die Schaltfläche für die **OpenSearch Anwendungszeile (Dashboard)**.
1. Wählen Sie **Zugriff widerrufen** aus.
**Um eine VPC-Domänenzuweisung zu widerrufen, verwenden Sie den AWS CLI**
Führen Sie den folgenden Befehl aus, um eine VPC-Domänenzuweisung mit der OpenSearch UI-Anwendung zu widerrufen. Ersetzen Sie *placeholder values* durch Ihre Informationen.
```
aws opensearch revoke-vpc-endpoint-access \
--domain-name domain-name \
--service application.opensearchservice.amazonaws.com \
--region region-id
```
## Konfiguration des Zugriffs auf OpenSearch serverlose Sammlungen in einer VPC
Wenn eine Amazon OpenSearch Serverless-Sammlung in einer VPC mit der Anwendung verknüpft war, kann ein VPC-Administrator den Zugriff autorisieren, indem er eine neue Netzwerkrichtlinie erstellt und sie der Sammlung anhängt.
### Konfiguration des Zugriffs auf OpenSearch serverlose Sammlungen in einer VPC (Konsole)
**So konfigurieren Sie den Zugriff auf OpenSearch serverlose Sammlungen in einer VPC mithilfe der Konsole**
1. Melden Sie sich zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home) bei der Amazon OpenSearch Service-Konsole an.
1. Wählen Sie in der linken Navigationsleiste **Netzwerkrichtlinien**, wählen Sie den Namen der Netzwerkrichtlinie aus und klicken Sie dann auf **Bearbeiten**.
–oder–
Wählen Sie **Netzwerkrichtlinie erstellen** und konfigurieren Sie dann die Details für die Richtlinie.
1. Wählen Sie im Bereich **Zugriffstyp** die Option **Privat (empfohlen)** und dann **privaten AWS Dienstzugriff** aus.
1. Wählen Sie im Suchfeld **Service** und dann aus`application.opensearchservice.amazonaws.com`.
1. Wählen Sie im Bereich **Ressourcentyp** das Feld **Zugriff auf OpenSearch Endpunkt aktivieren** aus.
1. Wählen **Sie unter Sammlung (en) durchsuchen oder bestimmte Präfixausdrücke** in das Suchfeld die Option **Sammlungsname und geben Sie dann den Namen** der Sammlungen ein, die mit der Netzwerkrichtlinie verknüpft werden sollen, oder wählen Sie ihn aus.
1. Wählen Sie **Erstellen** für eine neue Netzwerkrichtlinie oder **Aktualisieren** für eine bestehende Netzwerkrichtlinie.
### Konfiguration des Zugriffs auf OpenSearch serverlose Sammlungen in einer VPC ()AWS CLI
**Um den Zugriff auf OpenSearch serverlose Sammlungen in einer VPC zu konfigurieren, verwenden Sie den AWS CLI**
1. Erstellen Sie eine JSON-Datei ähnlich der folgenden. Ersetzen Sie *placeholder values* durch Ihre Informationen.
```
{
"Description" : "policy-description",
"Rules": [{
"ResourceType" : "collection",
"Resource" : ["collection/collection_name"]
}],
"SourceServices" : [
"application.opensearchservice.amazonaws.com"
],
"AllowFromPublic" : false
}
```
1. Erstellen oder aktualisieren Sie eine Netzwerkrichtlinie für eine Sammlung in einer VPC, damit sie mit OpenSearch UI-Anwendungen funktioniert.
------
#### [ Create a network policy ]
Führen Sie den folgenden Befehl aus. Ersetzen Sie *placeholder values* durch Ihre Informationen.
```
aws opensearchserverless create-security-policy \
--type network \
--region region \
--endpoint-url endpoint-url \
--name network-policy-name \
--policy file:/path_to_network_policy_json_file
```
Die vom System zurückgegebenen Informationen ähneln den Folgenden:
```
{
"securityPolicyDetail": {
"createdDate": ******,
"lastModifiedDate": ******,
"name": "network-policy-name",
"policy": [
{
"SourceVPCEs": [],
"AllowFromPublic": false,
"Description": "",
"Rules": [
{
"Resource": [
"collection/network-policy-name"
],
"ResourceType": "collection"
}
],
"SourceServices": [
"application.opensearchservice.amazonaws.com"
]
}
],
"policyVersion": "******",
"type": "network"
}
}
```
------
#### [ Update a network policy ]
Führen Sie den folgenden Befehl aus. Ersetzen Sie *placeholder values* durch Ihre Informationen.
```
aws opensearchserverless update-security-policy \
--type network \
--region region \
--endpoint-url endpoint-url \
--name network-policy-name \
--policy-version "policy_version_from_output_of_network_policy_creation" \
--policy file:/path_to_network_policy_json_file
```
Die vom System zurückgegebenen Informationen ähneln den Folgenden:
```
{
"securityPolicyDetail": {
"createdDate": ******,
"lastModifiedDate": ******,
"name": "network-policy-name",
"policy": [
{
"SourceVPCEs": [],
"AllowFromPublic": false,
"Description": "",
"Rules": [
{
"Resource": [
"collection/network-policy-name"
],
"ResourceType": "collection"
}
],
"SourceServices": [
"application.opensearchservice.amazonaws.com"
]
}
],
"policyVersion": "******",
"type": "network"
}
}
```
------
# Amazon OpenSearch Service-Workspaces verwenden
Amazon OpenSearch Service unterstützt die Erstellung mehrerer anwendungsfallspezifischer Arbeitsbereiche. Jeder Workspace bietet ein kuratiertes Erlebnis für beliebte Anwendungsfälle wie Observability, Security Analytics und Search. Workspace unterstützt auch die Verwaltung von Mitarbeitern, sodass du deinen Workspace nur mit deinen vorgesehenen Mitarbeitern teilen und die jeweiligen Berechtigungen verwalten kannst.
## Arbeitsbereiche für OpenSearch UI-Anwendungen erstellen
Nachdem eine OpenSearch UI-Anwendung erstellt und mit Datenquellen verknüpft und Benutzerberechtigungen für die Anwendung konfiguriert wurden, können Sie die OpenSearch UI-Anwendung starten, um Arbeitsbereiche zu erstellen.
Um mit der Erstellung eines Arbeitsbereichs zu beginnen, können Sie auf der Detailseite der **Anwendung auf die Schaltfläche Anwendung starten** klicken oder die URL der OpenSearch UI-Anwendung verwenden, um die Startseite der OpenSearch UI-Anwendung in einem neuen Browserfenster zu öffnen.
Die OpenSearch UI-Anwendung bietet Optionen zum Erstellen von Arbeitsbereichen und listet alle vorhandenen Arbeitsbereiche auf der Startseite auf, sortiert nach Anwendungsfällen.
![\[Im Bereich „Meine Arbeitsbereiche“ in der Konsole können fünf verschiedene Arten von Arbeitsbereichen erstellt werden: Observability, Security Analytics, Search, Essentials und Analytics. Sie können auch alle vorhandenen Workspaces im Bereich „Meine Workspaces“ einsehen.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/workspaces.png)
Weitere Informationen zu den unterstützten Arten von Arbeitsbereichen finden Sie unter. [Typen von Arbeitsbereichen](#application-workspaces-types)
## Datenschutz im Workspace und Mitarbeiter
Du kannst eine Datenschutzeinstellung für einen Workspace als Standardberechtigungsstufe für alle Benutzer definieren. Du kannst dies tun, während du einen Workspace erstellst oder einen bestehenden Workspace modifizierst (auf der Workspace-Registerkarte **Mitarbeiter**). Es stehen drei Datenschutzoptionen zur Auswahl:
+ **Privat für Mitwirkende** — Nur Mitarbeiter, die du ausdrücklich zum Workspace hinzufügst, können auf den Workspace zugreifen. Du kannst für jeden Mitarbeiter Berechtigungsstufen definieren.
+ ****Jeder kann sie ansehen**** — Jeder, der Zugriff auf die OpenSearch UI-Anwendung hat, kann auf den Workspace zugreifen und seine Assets einsehen, aber er kann keine Änderungen im Workspace vornehmen.
+ ****Jeder kann bearbeiten**** — Jeder, der Zugriff auf die OpenSearch UI-Anwendung hat, kann auf den Workspace zugreifen, die darin enthaltenen Assets anzeigen und Änderungen an den Assets im Workspace vornehmen.
Auf der Workspace-Registerkarte **Mitarbeiter** können Sie IAM-Benutzer oder Rollen und AWS IAM Identity Center Benutzer als Mitarbeiter in einem Workspace hinzufügen. Es gibt drei Berechtigungsstufen, aus denen Mitarbeiter wählen können:
+ **Schreibgeschützt** — Der Mitarbeiter kann nur die Assets im Workspace sehen. Diese Einstellung wird außer Kraft gesetzt, wenn der Workspace so konfiguriert ist, dass die Datenschutzeinstellung **Jeder bearbeiten kann** verwendet wird.
+ **Lesen und Schreiben** — Der Mitarbeiter kann Assets im Workspace anzeigen und bearbeiten. Wenn der Workspace so konfiguriert ist, dass er die Datenschutzeinstellung **Jeder kann einsehen** verwendet, kann der Mitarbeiter trotzdem bearbeiten.
+ **Administrator** — Der Mitarbeiter kann die Einstellungen aktualisieren und den Workspace löschen. Der Mitarbeiter kann auch die Datenschutzeinstellungen des Workspace ändern und Mitarbeiter verwalten. Der Benutzer, der den Workspace erstellt, wird automatisch zum Workspace-Administrator ernannt.
## Typen von Arbeitsbereichen
Amazon OpenSearch Service bietet fünf Workspace-Typen mit jeweils unterschiedlichen Funktionen für die verschiedenen Anwendungsfälle:
+ Der **Observability-Arbeitsbereich** wurde entwickelt, um durch die Überwachung von Protokollen, Metriken und Traces einen Überblick über den Zustand, die Leistung und Zuverlässigkeit des Systems zu erhalten.
+ Der Arbeitsbereich **Security Analytics** dient der Erkennung und Untersuchung potenzieller Sicherheitsbedrohungen und Sicherheitslücken in Ihren Systemen und Daten.
+ Der Arbeitsbereich **Suchen** dient dazu, relevante Informationen in den Datenquellen Ihres Unternehmens schnell zu finden und zu untersuchen.
+ Der Arbeitsbereich **Essentials** wurde für OpenSearch Serverless als Datenquelle konzipiert und ermöglicht die Analyse von Daten, um Erkenntnisse zu gewinnen, Muster und Trends zu erkennen und schnell datengestützte Entscheidungen zu treffen. **In einem Essentials-Arbeitsbereich können Sie relevante Informationen aus den Datenquellen Ihres Unternehmens suchen und untersuchen.**
+ Der **Analytics-Arbeitsbereich** (alle Funktionen) wurde für vielseitige Anwendungsfälle konzipiert und unterstützt alle in der OpenSearch Service-Benutzeroberfläche (Dashboards) verfügbaren Funktionen.
# Regions- und kontenübergreifender Datenzugriff
OpenSearch Die Benutzeroberfläche unterstützt den Zugriff auf Daten aus OpenSearch Domänen über verschiedene AWS-Konto s und AWS-Region s. Sie können je nach Ihren Anforderungen zwischen zwei Ansätzen wählen. In der folgenden Tabelle werden die beiden Ansätze verglichen.
**Anmerkung**
Sowohl der kontenübergreifende Datenzugriff als auch die clusterübergreifende Suche funktionieren nur mit OpenSearch Domänen. Keiner der beiden Ansätze unterstützt OpenSearch serverlose Sammlungen.
| Aspekt | Kontoübergreifender Datenzugriff | Cluster-übergreifende Suche |
| --- | --- | --- |
| Feature | Ordnen Sie Domänen von anderen Konten als direkte Datenquellen in der Benutzeroberfläche zu OpenSearch | Fragen Sie Daten über verbundene Domänen hinweg mithilfe clusterübergreifender Suchverbindungen ab |
| Mechanismus | Direkter Zugriff — Die OpenSearch Benutzeroberfläche stellt eine direkte Verbindung zur Zieldomäne in einem anderen Konto her | Indirekter Zugriff — erfordert eine lokale Domain im selben Konto wie die OpenSearch Benutzeroberfläche, um Anfragen an Remotedomänen weiterzuleiten |
| Kontoübergreifende Unterstützung | Ja | Ja |
| Regionsübergreifende Unterstützung | Nein — Quell- und Zieldomänen müssen sich in derselben befinden AWS-Region | Ja — Quell- und Zieldomänen können unterschiedliche AWS-Region s haben |
| Daten domänenübergreifend vereinheitlichen | Nein — jede Domain wird unabhängig als separate Datenquelle abgefragt | Ja — mit einer einzigen Abfrage können Ergebnisse aus mehreren verbundenen Domänen zusammengefasst werden |
| Authentifizierungsmethoden | IAM und AWS IAM Identity Center | IAM (mit detaillierter Zugriffskontrolle) |
| Komplexität der Einrichtung | Niedriger — für die Validierung ist eine kontoübergreifende IAM-Rolle erforderlich | Höher — erfordert clusterübergreifende Verbindungen, Zugriffsrichtlinien für beide Domänen und eine differenzierte Zugriffskontrolle |
| Sichtbarkeit der Datenquelle in der Benutzeroberfläche OpenSearch | Jede kontoübergreifende Domäne wird als separate Datenquelle angezeigt | Auf Remotedomänen wird über die Verbindungsaliase der lokalen Quelldomäne zugegriffen |
| Schreibzugriff auf die Remotedomäne | Ja — wird durch die Zugriffsrichtlinie der Zieldomäne gesteuert | Nein — die clusterübergreifende Suche bietet schreibgeschützten Zugriff auf Remotedomänen |
**Topics**
+ [Kontoübergreifender Datenzugriff auf Domains OpenSearch](application-cross-account-data-access-domains.md)
+ [Cluster-übergreifende Suche](application-cross-cluster-search.md)
# Kontoübergreifender Datenzugriff auf Domains OpenSearch
Sie können Ihre OpenSearch UI-Anwendungen in einem Konto konfigurieren, um auf OpenSearch Domains in verschiedenen Konten zuzugreifen. Wenn Sie eine OpenSearch UI-Anwendung mit kontoübergreifenden Datenquellen erstellen, geben Sie eine an`iamRoleForDataSourceArn`, die auf eine IAM-Rolle im Zielkonto verweist. OpenSearch UI validiert die Anfrage, indem sie diese Rolle übernimmt und anruft, um die Barrierefreiheit der Domain `es:DescribeDomain` zu überprüfen. Die kontoübergreifende Rolle wird nur für die Überprüfung der Kontrollebene verwendet. Der Zugriff auf die Datenebene wird separat durch die Zugriffsrichtlinie der Zieldomäne gesteuert.
**Beispiel-Code**
Die Codebeispiele in diesem Thema dienen nur zur Veranschaulichung. Sie demonstrieren grundlegende Funktionen und enthalten möglicherweise keine Funktionen zur Fehlerbehandlung, bewährte Sicherheitsmethoden oder produktionsreife Funktionen. Bevor Sie den Beispielcode in der Produktion verwenden, überprüfen und ändern Sie ihn, sodass er Ihren spezifischen Anforderungen entspricht, und testen Sie ihn anschließend gründlich in Ihrer Umgebung.
## Die wichtigsten Konzepte
Quellkonto
Das AWS-Konto , das Ihre OpenSearch UI-Anwendung hostet.
Zielkonto
Der AWS-Konto Ort, an dem sich die OpenSearch Domain befindet.
Kontoübergreifende Rolle
Eine IAM-Rolle im Zielkonto, die nur für die Überprüfung der Kontrollebene verwendet wird. Für diese Rolle ist nur die `es:DescribeDomain` Genehmigung erforderlich.
IAM Identity Center-Anwendungsrolle
Eine IAM-Rolle im Quellkonto, die für den Zugriff auf die Benutzerdatenebene von IAM Identity Center verwendet wird.
## Voraussetzungen
Bevor Sie den kontoübergreifenden Datenzugriff einrichten, stellen Sie sicher, dass Sie über Folgendes verfügen:
+ AWS CLI installiert und konfiguriert
+ Zugriff sowohl auf die Quell- als auch auf die AWS-Konto Zieldateien
+ Für IAM Identity Center-Flows: Eine AWS IAM Identity Center Organisationsinstanz
## Szenarien
Wählen Sie das Szenario aus, das Ihrer Authentifizierungsmethode und Domänenkonfiguration entspricht:
+ [Szenario 1: IAM-Benutzer, der auf eine öffentliche Domain zugreift](#cross-account-scenario-1)
+ [Szenario 2: IAM Identity Center-Benutzer, der auf eine öffentliche Domain zugreift](#cross-account-scenario-2)
+ [Szenario 3: IAM-Benutzer greift auf eine VPC-Domäne zu](#cross-account-scenario-3)
+ [Szenario 4: IAM Identity Center-Benutzer, der auf eine VPC-Domäne zugreift](#cross-account-scenario-4)
## Szenario 1: IAM-Benutzer, der auf eine öffentliche Domain zugreift
### Schritt 1: Erstellen Sie die kontoübergreifende IAM-Rolle (Zielkonto)
Erstellen Sie eine IAM-Rolle im Zielkonto, die es dem Quellkonto ermöglicht, diese Rolle für die Domänenvalidierung zu übernehmen.
**Um die kontoübergreifende Rolle zu erstellen**
1. Erstellen Sie eine Vertrauensrichtlinie, die es dem Quellkonto ermöglicht, die Rolle zu übernehmen:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::source-account-id:root"
},
"Action": "sts:AssumeRole"
}]
}
```
1. Erstellen Sie die Rolle:
```
aws iam create-role \
--role-name OpenSearchUIAccessRole \
--assume-role-policy-document file://trust-policy.json
```
1. Erstellen Sie eine Berechtigungsrichtlinie mit nur der `es:DescribeDomain` folgenden Aktion:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "es:DescribeDomain",
"Resource": "arn:aws:es:region:target-account-id:domain/*"
}]
}
```
1. Hängen Sie die Berechtigungsrichtlinie an die Rolle an:
```
aws iam put-role-policy \
--role-name OpenSearchUIAccessRole \
--policy-name ValidationOnly \
--policy-document file://permissions-policy.json
```
### Schritt 2: Erstellen Sie die OpenSearch Domain (Zielkonto)
Erstellen Sie eine OpenSearch Domain im Zielkonto mit aktivierter detaillierter Zugriffskontrolle und Verschlüsselung:
```
aws opensearch create-domain \
--domain-name domain-name \
--engine-version OpenSearch_2.19 \
--cluster-config InstanceType=m5.large.search,InstanceCount=1 \
--ebs-options "EBSEnabled=true,VolumeType=gp3,VolumeSize=100" \
--advanced-security-options '{"Enabled":true,"InternalUserDatabaseEnabled":true,"MasterUserOptions":{"MasterUserName":"admin","MasterUserPassword":"master-password"}}' \
--node-to-node-encryption-options '{"Enabled":true}' \
--encryption-at-rest-options '{"Enabled":true}' \
--domain-endpoint-options '{"EnforceHTTPS":true,"TLSSecurityPolicy":"Policy-Min-TLS-1-2-2019-07"}' \
--access-policies '{"Version":"2012-10-17", "Statement":[{"Effect":"Allow","Principal":{"AWS":"*"},"Action":"es:ESHttp*","Resource":"arn:aws:es:region:target-account-id:domain/domain-name/*"}]}' \
--region region
```
Warten Sie, bis der Domainstatus erreicht ist, `Active` bevor Sie fortfahren.
### Schritt 3: Erstellen Sie die OpenSearch UI-Anwendung (Quellkonto)
Erstellen Sie die Anwendung im Quellkonto mit der kontoübergreifenden Datenquelle:
```
aws opensearch create-application \
--region region \
--name "cross-account-iam-app" \
--data-sources '[{
"dataSourceArn":"arn:aws:es:region:target-account-id:domain/domain-name",
"dataSourceDescription":"Cross-account domain",
"iamRoleForDataSourceArn":"arn:aws:iam::target-account-id:role/OpenSearchUIAccessRole"
}]' \
--app-configs '[{"key":"opensearchDashboards.dashboardAdmin.users","value":"[\"*\"]"}]'
```
### Schritt 4: Verifizieren und darauf zugreifen
Rufen Sie die Anwendungsdetails ab, um die Endpunkt-URL abzurufen:
```
aws opensearch get-application \
--region region \
--id application-id
```
+ Navigieren Sie in der Antwort zur URL des Anwendungsendpunkts.
+ Melden Sie sich mit IAM-Anmeldeinformationen an.
+ Der IAM-Benutzer signiert Datenebenenanfragen mit seinen eigenen Anmeldeinformationen.
+ Die Zugriffsrichtlinie für die Zieldomäne steuert, auf welche Daten der Benutzer zugreifen kann.
## Szenario 2: IAM Identity Center-Benutzer, der auf eine öffentliche Domain zugreift
### Schritt 1: Erstellen Sie die kontoübergreifende IAM-Rolle (Zielkonto)
Erstellen Sie eine IAM-Rolle im Zielkonto, die es dem Quellkonto ermöglicht, diese Rolle für die Domänenvalidierung zu übernehmen.
**Um die kontoübergreifende Rolle zu erstellen**
1. Erstellen Sie eine Vertrauensrichtlinie, die es dem Quellkonto ermöglicht, die Rolle zu übernehmen:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::source-account-id:root"
},
"Action": "sts:AssumeRole"
}]
}
```
1. Erstellen Sie die Rolle:
```
aws iam create-role \
--role-name OpenSearchUIAccessRole \
--assume-role-policy-document file://trust-policy.json
```
1. Erstellen Sie eine Berechtigungsrichtlinie mit nur der `es:DescribeDomain` folgenden Aktion:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "es:DescribeDomain",
"Resource": "arn:aws:es:region:target-account-id:domain/*"
}]
}
```
1. Hängen Sie die Berechtigungsrichtlinie an die Rolle an:
```
aws iam put-role-policy \
--role-name OpenSearchUIAccessRole \
--policy-name ValidationOnly \
--policy-document file://permissions-policy.json
```
### Schritt 2: Erstellen Sie die OpenSearch Domain (Zielkonto)
Erstellen Sie eine OpenSearch Domain im Zielkonto. Verwenden Sie denselben Befehl wie[Schritt 2: Erstellen Sie die OpenSearch Domain (Zielkonto)](#scenario-1-step-2), aktualisieren Sie jedoch die Zugriffsrichtlinie, um die IAM Identity Center-Anwendungsrolle vom Quellkonto aus zuzulassen:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::source-account-id:role/NeoIdCAppRole"
},
"Action": "es:ESHttp*",
"Resource": "arn:aws:es:region:target-account-id:domain/domain-name/*"
}]
}
```
Warten Sie, bis der Domainstatus erreicht ist, `Active` bevor Sie fortfahren.
### Schritt 3: Erstellen Sie die IAM-Rolle für die IAM Identity Center-Anwendung (Quellkonto)
Erstellen Sie eine IAM-Rolle in dem Quellkonto, das OpenSearch UI für den Zugriff auf die Benutzerdatenebene von IAM Identity Center verwendet.
**Um die IAM Identity Center-Anwendungsrolle zu erstellen**
1. Erstellen Sie eine Vertrauensrichtlinie:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "application.opensearchservice.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Effect": "Allow",
"Principal": {
"Service": "application.opensearchservice.amazonaws.com"
},
"Action": "sts:SetContext",
"Condition": {
"ForAllValues:ArnEquals": {
"sts:RequestContextProviders": "arn:aws:iam::source-account-id:oidc-provider/portal.sso.region.amazonaws.com/apl/application-id"
}
}
}
]
}
```
1. Erstellen Sie eine Berechtigungsrichtlinie:
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "OpenSearchDomain",
"Effect": "Allow",
"Action": ["es:ESHttp*"],
"Resource": "*"
}]
}
```
1. Erstellen Sie die Rolle und fügen Sie die Richtlinien hinzu:
```
aws iam create-role \
--role-name NeoIdCAppRole \
--assume-role-policy-document file://neoidc-trust-policy.json
aws iam put-role-policy \
--role-name NeoIdCAppRole \
--policy-name NeoIdCAppPermissions \
--policy-document file://neoidc-permissions-policy.json
```
### Schritt 4: Erstellen Sie die OpenSearch UI-Anwendung mit IAM Identity Center (Quellkonto)
```
aws opensearch create-application \
--region region \
--name "cross-account-idc-app" \
--iam-identity-center-options '{
"enabled":true,
"iamIdentityCenterInstanceArn":"arn:aws:sso:::instance/ssoins-instance-id",
"iamRoleForIdentityCenterApplicationArn":"arn:aws:iam::source-account-id:role/NeoIdCAppRole"
}' \
--data-sources '[{
"dataSourceArn":"arn:aws:es:region:target-account-id:domain/domain-name",
"dataSourceDescription":"Cross-account domain",
"iamRoleForDataSourceArn":"arn:aws:iam::target-account-id:role/OpenSearchUIAccessRole"
}]' \
--app-configs '[{"key":"opensearchDashboards.dashboardAdmin.users","value":"[\"*\"]"}]'
```
### Schritt 5: IAM Identity Center-Benutzer und -Gruppen erstellen und zuweisen
**Erstellen Sie einen IAM Identity Center-Benutzer**
Führen Sie den folgenden Befehl aus. Ersetzen Sie *placeholder values* durch Ihre Informationen.
```
aws identitystore create-user \
--identity-store-id d-directory-id \
--user-name user-email \
--display-name "display-name" \
--name Formatted=string,FamilyName=last-name,GivenName=first-name \
--emails Value=user-email,Type=work,Primary=true
```
**Erstellen Sie eine IAM Identity Center-Gruppe und fügen Sie den Benutzer hinzu**
Führen Sie die folgenden Befehle aus:
```
aws identitystore create-group \
--identity-store-id d-directory-id \
--display-name "OpenSearchUsers" \
--description "Users with OpenSearch access"
aws identitystore create-group-membership \
--identity-store-id d-directory-id \
--group-id group-id \
--member-id UserId=user-id
```
**Weisen Sie den Benutzer oder die Gruppe der Anwendung zu**
Führen Sie den folgenden Befehl aus:
```
aws sso-admin create-application-assignment \
--application-arn "arn:aws:sso:::source-account-id:application/ssoins-instance-id/apl-application-id" \
--principal-id user-id-or-group-id \
--principal-type USER
```
**Konfigurieren Sie die Back-End-Rollenzuordnung auf der Zieldomäne**
Ordnen Sie die IAM Identity Center-Gruppe einer OpenSearch Sicherheitsrolle in der Zieldomäne zu:
```
curl -XPUT "https://domain-endpoint/_plugins/_security/api/rolesmapping/all_access" \
-u admin:master-password \
-H 'Content-Type: application/json' \
-d '{
"backend_roles": ["group-id"],
"hosts": [],
"users": []
}'
```
### Schritt 6: Überprüfen und Zugreifen
```
aws opensearch get-application \
--region region \
--id application-id
```
+ Navigieren Sie zur URL des Anwendungsendpunkts.
+ Melden Sie sich mit den Benutzeranmeldedaten für das IAM Identity Center an.
+ Datenanfragen von IAM Identity Center-Benutzern werden mit der IAM Identity Center-Anwendungsrolle signiert, nicht mit der kontoübergreifenden Rolle.
+ Backend-Rollenzuordnungen auf der Domain steuern die Datenzugriffsberechtigungen.
## Szenario 3: IAM-Benutzer greift auf eine VPC-Domäne zu
### Schritt 1: Erstellen Sie die kontoübergreifende IAM-Rolle (Zielkonto)
Erstellen Sie eine IAM-Rolle im Zielkonto, die es dem Quellkonto ermöglicht, diese Rolle für die Domänenvalidierung zu übernehmen.
**Um die kontoübergreifende Rolle zu erstellen**
1. Erstellen Sie eine Vertrauensrichtlinie, die es dem Quellkonto ermöglicht, die Rolle zu übernehmen:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::source-account-id:root"
},
"Action": "sts:AssumeRole"
}]
}
```
1. Erstellen Sie die Rolle:
```
aws iam create-role \
--role-name OpenSearchUIAccessRole \
--assume-role-policy-document file://trust-policy.json
```
1. Erstellen Sie eine Berechtigungsrichtlinie mit nur der `es:DescribeDomain` folgenden Aktion:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "es:DescribeDomain",
"Resource": "arn:aws:es:region:target-account-id:domain/*"
}]
}
```
1. Hängen Sie die Berechtigungsrichtlinie an die Rolle an:
```
aws iam put-role-policy \
--role-name OpenSearchUIAccessRole \
--policy-name ValidationOnly \
--policy-document file://permissions-policy.json
```
### Schritt 2: VPC einrichten (Zielkonto)
Überspringen Sie diesen Schritt, wenn im Zielkonto bereits eine VPC vorhanden ist.
```
# Create VPC
aws ec2 create-vpc \
--cidr-block 10.0.0.0/16 \
--region region
# Create subnet
aws ec2 create-subnet \
--vpc-id vpc-id \
--cidr-block 10.0.1.0/24 \
--availability-zone regiona \
--region region
# Create security group
aws ec2 create-security-group \
--group-name opensearch-vpc-sg \
--description "Security group for OpenSearch VPC domain" \
--vpc-id vpc-id \
--region region
# Allow inbound HTTPS
aws ec2 authorize-security-group-ingress \
--group-id security-group-id \
--protocol tcp \
--port 443 \
--cidr 10.0.0.0/16 \
--region region
```
Erfahren Sie mehr über die [Erstellung von VPC-Domains](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html).
### Schritt 3: VPC-Domain (Zielkonto) erstellen
```
aws opensearch create-domain \
--domain-name vpc-domain-name \
--engine-version OpenSearch_2.19 \
--cluster-config InstanceType=m5.large.search,InstanceCount=1 \
--ebs-options "EBSEnabled=true,VolumeType=gp3,VolumeSize=100" \
--vpc-options "SubnetIds=subnet-id,SecurityGroupIds=security-group-id" \
--advanced-security-options '{"Enabled":true,"InternalUserDatabaseEnabled":true,"MasterUserOptions":{"MasterUserName":"admin","MasterUserPassword":"master-password"}}' \
--node-to-node-encryption-options '{"Enabled":true}' \
--encryption-at-rest-options '{"Enabled":true}' \
--domain-endpoint-options '{"EnforceHTTPS":true,"TLSSecurityPolicy":"Policy-Min-TLS-1-2-2019-07"}' \
--access-policies '{"Version":"2012-10-17", "Statement":[{"Effect":"Allow","Principal":{"AWS":"*"},"Action":"es:ESHttp*","Resource":"arn:aws:es:region:target-account-id:domain/vpc-domain-name/*"}]}' \
--region region
```
Warten Sie, bis der Domainstatus erreicht ist, `Active` bevor Sie fortfahren.
### Schritt 4: Autorisieren Sie den VPC-Endpunkt für den OpenSearch UI-Serviceprinzipal (Zielkonto)
**Wichtig**
Dies ist ein kritischer Schritt, der nur für VPC-Domains gilt. Der OpenSearch UI-Service muss explizit autorisiert sein, auf den VPC-Endpunkt zuzugreifen.
```
# Authorize the service principal
aws opensearch authorize-vpc-endpoint-access \
--domain-name vpc-domain-name \
--service "application.opensearchservice.amazonaws.com" \
--region region
# Verify authorization
aws opensearch list-vpc-endpoint-access \
--domain-name vpc-domain-name \
--region region
```
Erwartete Antwort:
```
{
"AuthorizedPrincipalList": [
{
"PrincipalType": "AWS_SERVICE",
"Principal": "application.opensearchservice.amazonaws.com"
}
]
}
```
### Schritt 5: Erstellen Sie die OpenSearch UI-Anwendung (Quellkonto)
```
aws opensearch create-application \
--region region \
--name "cross-account-vpc-iam-app" \
--data-sources '[{
"dataSourceArn":"arn:aws:es:region:target-account-id:domain/vpc-domain-name",
"dataSourceDescription":"Cross-account VPC domain",
"iamRoleForDataSourceArn":"arn:aws:iam::target-account-id:role/OpenSearchUIAccessRole"
}]' \
--app-configs '[{"key":"opensearchDashboards.dashboardAdmin.users","value":"[\"*\"]"}]'
```
### Schritt 6: Überprüfen und zugreifen
Rufen Sie die Anwendungsdetails ab, um die Endpunkt-URL abzurufen:
```
aws opensearch get-application \
--region region \
--id application-id
```
+ Navigieren Sie in der Antwort zur URL des Anwendungsendpunkts.
+ Melden Sie sich mit IAM-Anmeldeinformationen an.
+ Der IAM-Benutzer signiert Datenebenenanfragen mit seinen eigenen Anmeldeinformationen.
+ Die Zugriffsrichtlinie für die Zieldomäne steuert, auf welche Daten der Benutzer zugreifen kann.
## Szenario 4: IAM Identity Center-Benutzer, der auf eine VPC-Domäne zugreift
### Schritt 1: Erstellen Sie die kontoübergreifende IAM-Rolle (Zielkonto)
Erstellen Sie eine IAM-Rolle im Zielkonto, die es dem Quellkonto ermöglicht, diese Rolle für die Domänenvalidierung zu übernehmen.
**Um die kontoübergreifende Rolle zu erstellen**
1. Erstellen Sie eine Vertrauensrichtlinie, die es dem Quellkonto ermöglicht, die Rolle zu übernehmen:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::source-account-id:root"
},
"Action": "sts:AssumeRole"
}]
}
```
1. Erstellen Sie die Rolle:
```
aws iam create-role \
--role-name OpenSearchUIAccessRole \
--assume-role-policy-document file://trust-policy.json
```
1. Erstellen Sie eine Berechtigungsrichtlinie mit nur der `es:DescribeDomain` folgenden Aktion:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "es:DescribeDomain",
"Resource": "arn:aws:es:region:target-account-id:domain/*"
}]
}
```
1. Hängen Sie die Berechtigungsrichtlinie an die Rolle an:
```
aws iam put-role-policy \
--role-name OpenSearchUIAccessRole \
--policy-name ValidationOnly \
--policy-document file://permissions-policy.json
```
### Schritt 2: VPC einrichten (Zielkonto)
Überspringen Sie diesen Schritt, wenn im Zielkonto bereits eine VPC vorhanden ist.
```
# Create VPC
aws ec2 create-vpc \
--cidr-block 10.0.0.0/16 \
--region region
# Create subnet
aws ec2 create-subnet \
--vpc-id vpc-id \
--cidr-block 10.0.1.0/24 \
--availability-zone regiona \
--region region
# Create security group
aws ec2 create-security-group \
--group-name opensearch-vpc-sg \
--description "Security group for OpenSearch VPC domain" \
--vpc-id vpc-id \
--region region
# Allow inbound HTTPS
aws ec2 authorize-security-group-ingress \
--group-id security-group-id \
--protocol tcp \
--port 443 \
--cidr 10.0.0.0/16 \
--region region
```
Erfahren Sie mehr über die [Erstellung von VPC-Domains](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html).
### Schritt 3: VPC-Domain (Zielkonto) erstellen
Verwenden Sie denselben Befehl wie[Schritt 3: VPC-Domain (Zielkonto) erstellen](#scenario-3-step-3), aktualisieren Sie jedoch die Zugriffsrichtlinie, um die IAM Identity Center-Anwendungsrolle vom Quellkonto aus zuzulassen:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::source-account-id:role/NeoIdCAppRole"
},
"Action": "es:ESHttp*",
"Resource": "arn:aws:es:region:target-account-id:domain/vpc-domain-name/*"
}]
}
```
Warten Sie, bis der Domainstatus erreicht ist, `Active` bevor Sie fortfahren.
### Schritt 4: Autorisieren Sie den VPC-Endpunkt für den OpenSearch UI-Serviceprinzipal (Zielkonto)
**Wichtig**
Dies ist ein kritischer Schritt, der nur für VPC-Domains gilt. Der OpenSearch UI-Service muss explizit autorisiert sein, auf den VPC-Endpunkt zuzugreifen.
```
# Authorize the service principal
aws opensearch authorize-vpc-endpoint-access \
--domain-name vpc-domain-name \
--service "application.opensearchservice.amazonaws.com" \
--region region
# Verify authorization
aws opensearch list-vpc-endpoint-access \
--domain-name vpc-domain-name \
--region region
```
Erwartete Antwort:
```
{
"AuthorizedPrincipalList": [
{
"PrincipalType": "AWS_SERVICE",
"Principal": "application.opensearchservice.amazonaws.com"
}
]
}
```
### Schritt 5: Erstellen Sie die IAM-Rolle für die IAM Identity Center-Anwendung (Quellkonto)
Erstellen Sie eine IAM-Rolle in dem Quellkonto, das OpenSearch UI für den Zugriff auf die Benutzerdatenebene von IAM Identity Center verwendet.
**Um die IAM Identity Center-Anwendungsrolle zu erstellen**
1. Erstellen Sie eine Vertrauensrichtlinie:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "application.opensearchservice.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Effect": "Allow",
"Principal": {
"Service": "application.opensearchservice.amazonaws.com"
},
"Action": "sts:SetContext",
"Condition": {
"ForAllValues:ArnEquals": {
"sts:RequestContextProviders": "arn:aws:iam::source-account-id:oidc-provider/portal.sso.region.amazonaws.com/apl/application-id"
}
}
}
]
}
```
1. Erstellen Sie eine Berechtigungsrichtlinie:
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "OpenSearchDomain",
"Effect": "Allow",
"Action": ["es:ESHttp*"],
"Resource": "*"
}]
}
```
1. Erstellen Sie die Rolle und fügen Sie die Richtlinien hinzu:
```
aws iam create-role \
--role-name NeoIdCAppRole \
--assume-role-policy-document file://neoidc-trust-policy.json
aws iam put-role-policy \
--role-name NeoIdCAppRole \
--policy-name NeoIdCAppPermissions \
--policy-document file://neoidc-permissions-policy.json
```
### Schritt 6: Erstellen Sie die OpenSearch UI-Anwendung mit IAM Identity Center (Quellkonto)
```
aws opensearch create-application \
--region region \
--name "cross-account-vpc-idc-app" \
--iam-identity-center-options '{
"enabled":true,
"iamIdentityCenterInstanceArn":"arn:aws:sso:::instance/ssoins-instance-id",
"iamRoleForIdentityCenterApplicationArn":"arn:aws:iam::source-account-id:role/NeoIdCAppRole"
}' \
--data-sources '[{
"dataSourceArn":"arn:aws:es:region:target-account-id:domain/vpc-domain-name",
"dataSourceDescription":"Cross-account VPC domain",
"iamRoleForDataSourceArn":"arn:aws:iam::target-account-id:role/OpenSearchUIAccessRole"
}]' \
--app-configs '[{"key":"opensearchDashboards.dashboardAdmin.users","value":"[\"*\"]"}]'
```
### Schritt 7: IAM Identity Center-Benutzer und -Gruppen erstellen und zuweisen
**Erstellen Sie einen IAM Identity Center-Benutzer**
Führen Sie den folgenden Befehl aus. Ersetzen Sie *placeholder values* durch Ihre Informationen.
```
aws identitystore create-user \
--identity-store-id d-directory-id \
--user-name user-email \
--display-name "display-name" \
--name Formatted=string,FamilyName=last-name,GivenName=first-name \
--emails Value=user-email,Type=work,Primary=true
```
**Erstellen Sie eine IAM Identity Center-Gruppe und fügen Sie den Benutzer hinzu**
Führen Sie die folgenden Befehle aus:
```
aws identitystore create-group \
--identity-store-id d-directory-id \
--display-name "OpenSearchUsers" \
--description "Users with OpenSearch access"
aws identitystore create-group-membership \
--identity-store-id d-directory-id \
--group-id group-id \
--member-id UserId=user-id
```
**Weisen Sie den Benutzer oder die Gruppe der Anwendung zu**
Führen Sie den folgenden Befehl aus:
```
aws sso-admin create-application-assignment \
--application-arn "arn:aws:sso:::source-account-id:application/ssoins-instance-id/apl-application-id" \
--principal-id user-id-or-group-id \
--principal-type USER
```
**Konfigurieren Sie die Back-End-Rollenzuordnung auf der Zieldomäne**
Ordnen Sie die IAM Identity Center-Gruppe einer OpenSearch Sicherheitsrolle in der Zieldomäne zu:
```
curl -XPUT "https://domain-endpoint/_plugins/_security/api/rolesmapping/all_access" \
-u admin:master-password \
-H 'Content-Type: application/json' \
-d '{
"backend_roles": ["group-id"],
"hosts": [],
"users": []
}'
```
### Schritt 8: Überprüfen und Zugreifen
```
aws opensearch get-application \
--region region \
--id application-id
```
+ Navigieren Sie zur URL des Anwendungsendpunkts.
+ Melden Sie sich mit den Benutzeranmeldedaten für das IAM Identity Center an.
+ Datenanfragen von IAM Identity Center-Benutzern werden mit der IAM Identity Center-Anwendungsrolle signiert, nicht mit der kontoübergreifenden Rolle.
+ Backend-Rollenzuordnungen auf der Domain steuern die Datenzugriffsberechtigungen.
## Verwalten von -Anwendungen
**Aktualisieren Sie eine Anwendung mit kontoübergreifenden Datenquellen**
Führen Sie den folgenden Befehl aus. Ersetzen Sie *placeholder values* durch Ihre Informationen.
```
aws opensearch update-application \
--region region \
--id application-id \
--data-sources '[{
"dataSourceArn":"arn:aws:es:region:target-account-id:domain/domain-1",
"dataSourceDescription":"First cross-account domain",
"iamRoleForDataSourceArn":"arn:aws:iam::target-account-id:role/OpenSearchUIAccessRole"
},{
"dataSourceArn":"arn:aws:es:region:target-account-id:domain/domain-2",
"dataSourceDescription":"Second cross-account domain",
"iamRoleForDataSourceArn":"arn:aws:iam::target-account-id:role/OpenSearchUIAccessRole"
}]'
```
**Wichtig**
Der Aktualisierungsvorgang ersetzt das gesamte Datenquellen-Array. Schließt alle Datenquellen ein, die Sie behalten möchten.
**Anwendungen auflisten**
Führen Sie den folgenden Befehl aus:
```
aws opensearch list-applications \
--region region
```
**Löschen einer Anwendung**
Führen Sie den folgenden Befehl aus:
```
aws opensearch delete-application \
--region region \
--id application-id
```
**VPC-Endpunktzugriff widerrufen**
Führen Sie den folgenden Befehl aus:
```
aws opensearch revoke-vpc-endpoint-access \
--domain-name vpc-domain-name \
--service "application.opensearchservice.amazonaws.com" \
--region region
```
## Kurzreferenz
In den folgenden Tabellen werden die wichtigsten Unterschiede zwischen Domaintypen und Authentifizierungsmethoden zusammengefasst.
**Public Domain im Vergleich zu VPC-Domain**
| Aspekt | Öffentliche Domäne | VPC-Domäne |
| --- | --- | --- |
| VPC-Endpunktautorisierung | Nicht erforderlich | Erforderlich — muss autorisiert werden application.opensearchservice.amazonaws.com |
| Netzwerk-Setup | Keine | VPC, Subnetz, Sicherheitsgruppe mit eingehendem HTTPS (443) |
| IAM-Zugriffsrichtlinie | Erforderlich | Erforderlich |
| Kontoübergreifende Rolle | Für eine kontoübergreifende Nutzung erforderlich | Für kontoübergreifende Konten erforderlich |
**IAM-Benutzer im Vergleich zu IAM Identity Center-Benutzer**
| Aspekt | IAM-Benutzer | IAM Identity Center-Benutzer |
| --- | --- | --- |
| Anmeldeinformationen auf der Datenebene | Eigene IAM-Anmeldeinformationen des Benutzers | IAM Identity Center-Anwendungsrolle |
| Zugriffskontrolle | Domain-Zugriffsrichtlinie | Zuordnungen von Domänenzugriffsrichtlinien und Back-End-Rollen |
| Zusätzliche Einrichtung | Keine | IAM Identity Center-Anwendungsrolle, user/group Erstellung, Anwendungszuweisung, Rollenzuweisung im Backend |
| OpenSearch Konfiguration der UI-Anwendung | Keine IAM Identity Center-Optionen | --iam-identity-center-options erforderlich |
## Wichtige Hinweise
+ Der `iamRoleForDataSourceArn` muss sich im selben Konto befinden wie der`dataSourceArn`.
+ Das `iamRoleForDataSourceArn` ist nur für kontoübergreifende Datenquellen erforderlich. Lassen Sie es für Datenquellen mit demselben Konto weg.
+ Für die kontoübergreifende Rolle ist nur die Genehmigung erforderlich. `es:DescribeDomain` Sie wird niemals für den Zugriff auf die Datenebene verwendet.
+ Für VPC-Domänen müssen sowohl die IAM-Richtlinie als auch die VPC-Endpunktautorisierung konfiguriert werden.
+ Unterstützte Engine-Versionen: OpenSearch 1.3 und höher.
## Fehlerbehebung
| Problem | Auflösung |
| --- | --- |
| Die Anwendungserstellung schlägt mit der Meldung „Zugriff auf die Domäne nicht möglich“ fehl | Stellen Sie sicher, dass die kontoübergreifende Rolle über die es:DescribeDomain erforderlichen Berechtigungen verfügt und dass die Vertrauensrichtlinie das Quellkonto zulässt. |
| VPC-Domänenzuweisung schlägt fehl | Stellen Sie sicher, dass der VPC-Endpunkt für application.opensearchservice.amazonaws.com autorisiert ist. |
| Der Zugriff auf die Datenebene wurde dem IAM-Benutzer verweigert | Vergewissern Sie sich, dass die Zugriffsrichtlinie für die Zieldomäne den IAM-Benutzer oder Rollenprinzipal zulässt. |
| Der Zugriff auf die Datenebene wurde dem IAM Identity Center-Benutzer verweigert | Stellen Sie sicher, dass die Back-End-Rollenzuordnung die IAM Identity Center-Gruppen-ID enthält und dass die Domänenrichtlinie die IAM Identity Center-Anwendungsrolle zulässt. |
| Fehler: Konto stimmt nicht überein | Stellen Sie sicher, dass iamRoleForDataSourceArn es sich um dasselbe Konto handelt wie die Domain indataSourceArn. |
# Cluster-übergreifende Suche
Mithilfe der [clusterübergreifenden Suche](cross-cluster-search.md) in Amazon OpenSearch Serverless können Sie Abfragen und Aggregationen über mehrere verbundene Domains hinweg durchführen.
Die clusterübergreifende Suche in Amazon OpenSearch Serverless verwendet die Konzepte einer *Quelldomäne und einer *Zieldomäne**. Eine clusterübergreifende Suchanfrage stammt von einer Quelldomäne. Die Zieldomäne kann sich in einer anderen AWS-Konto oder AWS-Region (oder beiden) befinden, von der aus die Quelldomäne abgefragt werden soll. Mithilfe der clusterübergreifenden Suche können Sie eine Quelldomäne so konfigurieren, dass sie mit Ihrer OpenSearch Benutzeroberfläche in demselben Konto verknüpft wird, und dann Verbindungen zu Zieldomänen herstellen. Daher können Sie die OpenSearch Benutzeroberfläche mit Daten aus den Zieldomänen verwenden, auch wenn sie sich in einem anderen Konto oder einer anderen Region befinden.
Sie zahlen die [üblichen AWS Datenübertragungsgebühren](https://aws.amazon.com/opensearch-service/pricing/) für Daten, die innerhalb und außerhalb von Amazon OpenSearch Service übertragen werden. Für Datenübertragungen zwischen Knoten innerhalb Ihrer OpenSearch Service-Domain werden Ihnen keine Gebühren berechnet. Weitere Informationen zu Gebühren für eingehende und ausgehende [Daten finden Sie auf der Seite mit den Preisen für *Amazon EC2 On-Demand-Preise* unter Datenübertragung](https://aws.amazon.com/ec2/pricing/on-demand/#Data_Transfer).
Sie können die clusterübergreifende Suche als Mechanismus verwenden, um Ihre OpenSearch Benutzeroberfläche mit Clustern in einem anderen Konto oder einer anderen Region zu verknüpfen. Die Anfragen zwischen Domänen werden bei der Übertragung standardmäßig als Teil der node-to-node Verschlüsselung verschlüsselt.
**Anmerkung**
Das OpenSearch Open-Source-Tool dokumentiert auch die [clusterübergreifende Suche](https://opensearch.org/docs/latest/search-plugins/cross-cluster-search/). Beachten Sie, dass sich die Einrichtung des Open-Source-Tools für Open-Source-Cluster im Vergleich zu verwalteten Amazon OpenSearch Serverless-Domains erheblich unterscheidet.
Vor allem in Amazon OpenSearch Serverless konfigurieren Sie clusterübergreifende Verbindungen mithilfe von, AWS-Managementkonsole anstatt Anfragen zu verwenden`cURL`. Der verwaltete Service verwendet AWS Identity and Access Management (IAM) für die clusterübergreifende Authentifizierung zusätzlich zur detaillierten Zugriffskontrolle.
Wir empfehlen daher, anstelle der Open-Source-Dokumentation die Inhalte in diesem Thema zu verwenden, um die clusterübergreifende Suche für Ihre Domains zu konfigurieren. OpenSearch
**Funktionale Unterschiede bei der Verwendung der clusterübergreifenden Suche**
Im Vergleich zu regulären Domänen weisen Zieldomänen, die mithilfe der clusterübergreifenden Suche erstellt wurden, die folgenden funktionalen Unterschiede und Anforderungen auf:
+ Sie können nicht in den Remote-Cluster schreiben oder `PUT` Befehle für ihn ausführen. Ihr Zugriff auf den Remote-Cluster ist *schreibgeschützt*.
+ Sowohl die Quell- als auch die Zieldomäne müssen Domänen sein. OpenSearch Sie können keine Elasticsearch-Domain oder selbstverwaltete OpenSearch /Elasticsearch-Cluster für die Benutzeroberfläche verbinden. OpenSearch
+ Eine Domain kann maximal 20 Verbindungen zu anderen Domains haben. Dies umfasst sowohl ausgehende als auch eingehende Verbindungen.
+ Die Quelldomäne muss sich auf derselben oder einer höheren Version OpenSearch als die Zieldomäne befinden. Wenn Sie bidirektionale Verbindungen zwischen zwei Domänen einrichten möchten, sollten sich die beiden Domänen in derselben Version befinden. Wir empfehlen, beide Domains auf die neueste Version zu aktualisieren, bevor Sie die Verbindung herstellen. Wenn Sie Domänen aktualisieren müssen, nachdem Sie die bidirektionale Verbindung eingerichtet haben, müssen Sie zuerst die Verbindung löschen und anschließend neu erstellen.
+ Sie können keine benutzerdefinierten Wörterbücher oder SQL mit den Remote-Clustern verwenden.
+ Sie können es nicht verwenden, CloudFormation um Domänen zu verbinden.
+ Sie können die Cluster-übergreifende Suche auf M3- oder (T2 und T3) Burstable Instances nicht verwenden.
+ Die clusterübergreifende Suche funktioniert nicht für Amazon OpenSearch Serverless-Sammlungen.
**Voraussetzungen für die clusterübergreifende Suche für die Benutzeroberfläche OpenSearch**
Bevor Sie die clusterübergreifende Suche mit zwei OpenSearch Domänen einrichten, stellen Sie sicher, dass Ihre Domänen die folgenden Anforderungen erfüllen:
+ Für beide Domänen ist eine differenzierte Zugriffskontrolle aktiviert
+ Node-to-node Die Verschlüsselung ist für beide Domänen aktiviert
**Topics**
+ [Einrichtung von Zugriffsberechtigungen für den region- und kontoübergreifenden Datenzugriff mit clusterübergreifender Suche](#cross-cluster-search-security)
+ [Eine Verbindung zwischen Domänen herstellen](#cross-cluster-search-create-connection)
+ [Testen Sie Ihre Sicherheitseinstellungen für den region- und kontoübergreifenden Datenzugriff mit clusterübergreifender Suche](#cross-cluster-search-security-testing)
+ [Löschen einer Verbindung](#cross-cluster-search-deleting-connection)
## Einrichtung von Zugriffsberechtigungen für den region- und kontoübergreifenden Datenzugriff mit clusterübergreifender Suche
Wenn Sie eine clusterübergreifende Suchanfrage an die Quelldomäne senden, bewertet die Domäne diese Anfrage anhand ihrer Domänenzugriffsrichtlinie. Eine clusterübergreifende Suche erfordert eine differenzierte Zugriffskontrolle. Im Folgenden finden Sie ein Beispiel mit einer Open-Access-Richtlinie für die Quelldomäne.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"*"
]
},
"Action": [
"es:ESHttp*"
],
"Resource": "arn:aws:es:us-east-1:111222333444:domain/src-domain/*"
}
]
}
```
------
**Anmerkung**
Wenn Sie Remote-Indizes in den Pfad einbeziehen, müssen Sie den URI im Domänen-ARN URL-codieren.
Verwenden Sie beispielsweise das folgende ARN-Format:
`:arn:aws:es:us-east-1:111222333444:domain/my-domain/local_index,dst%3Aremote_index`
Verwenden Sie nicht das folgende ARN-Format:
`arn:aws:es:us-east-1:111222333444:domain/my-domain/local_index,dst:remote_index.`
Wenn Sie zusätzlich zur detaillierten Zugriffskontrolle eine restriktive Zugriffsrichtlinie verwenden möchten, muss Ihre Richtlinie mindestens den Zugriff auf zulassen. `es:ESHttpGet` Im Folgenden wird ein Beispiel gezeigt:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111222333444:user/john-doe"
]
},
"Action": "es:ESHttpGet",
"Resource": "arn:aws:es:us-east-1:111122223333:domain/my-domain/*"
}
]
}
```
------
[Eine differenzierte Zugriffskontrolle](fgac.md) für die Quelldomäne bewertet die Anfrage, um festzustellen, ob sie mit gültigen IAM- oder HTTP-Basisanmeldedaten signiert ist. Ist dies der Fall, bewertet die feinkörnige Zugriffskontrolle als Nächstes, ob der Benutzer berechtigt ist, die Suche durchzuführen und auf die Daten zuzugreifen.
Im Folgenden sind die Berechtigungsanforderungen für Suchvorgänge aufgeführt:
+ Wenn mit der Anfrage nur Daten in der Zieldomäne durchsucht werden (z. `dest-alias:dest-index/_search)` B. sind Berechtigungen nur für die Zieldomäne erforderlich).
+ Wenn mit der Anfrage Daten in beiden Domänen durchsucht werden (z. `source-index,dest-alias:dest-index/_search)` B. sind Berechtigungen für beide Domänen erforderlich).
+ Um eine differenzierte Zugriffskontrolle zu verwenden, `indices:admin/shards/search_shards` ist die Berechtigung zusätzlich zu den standardmäßigen Lese- oder Suchberechtigungen für die entsprechenden Indizes erforderlich.
Die Quelldomäne übergibt die Anforderung an die Zieldomäne. Die Zieldomäne wertet diese Anforderung anhand ihrer Domänenzugriffsrichtlinie aus. Um alle Funktionen der OpenSearch Benutzeroberfläche zu unterstützen, z. B. das Indizieren von Dokumenten und das Durchführen von Standardsuchen, müssen vollständige Berechtigungen festgelegt werden. Im Folgenden finden Sie ein Beispiel für unsere empfohlene Richtlinie für die Zieldomäne:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"*"
]
},
"Action": [
"es:ESHttp*"
],
"Resource": "arn:aws:es:us-east-2:111222333444:domain/my-destination-domain/*"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "es:ESCrossClusterGet",
"Resource": "arn:aws:es:us-east-2:111222333444:domain/"
}
]
}
```
------
Wenn Sie nur einfache Suchen durchführen möchten, besteht die Richtlinienmindestanforderung darin, dass die `es:ESCrossClusterGet` Genehmigung für die Zieldomain ohne Unterstützung von Platzhaltern beantragt wird. In der vorherigen Richtlinie würden Sie beispielsweise den Domainnamen als */my-destination-domain* und nicht */my-destination-domain/\$1* angeben.
In diesem Fall führt die Zieldomäne die Suche durch und gibt die Ergebnisse an die Quelldomäne zurück. Die Quelldomäne kombiniert ihre eigenen Ergebnisse (falls vorhanden) mit den Ergebnissen der Zieldomäne und gibt sie an Sie zurück.
## Eine Verbindung zwischen Domänen herstellen
Eine clusterübergreifende Suchverbindung ist unidirektional von der Quelldomäne zur Zieldomäne. Das bedeutet, dass die Zieldomänen (in einem anderen Konto oder einer anderen Region) die Quelldomäne, die lokal auf der OpenSearch Benutzeroberfläche ist, nicht abfragen können. Die Quelldomäne stellt eine *ausgehende* Verbindung zur Zieldomäne her. Die Zieldomäne empfängt eine *eingehende* Verbindungsanfrage von der Quelldomäne.
![\[Dieses Bild zeigt, dass eine clusterübergreifende Suchverbindung unidirektional von der Quelldomäne zur Zieldomäne verläuft.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/ui-oubound-inbound-connections.png)
**Um eine Verbindung zwischen Domänen herzustellen**
1. Melden Sie sich zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home) bei der Amazon OpenSearch Service-Konsole an.
1. Wählen Sie in der linken Navigationsleiste **Domains** aus.
1. Wählen Sie den Namen einer Domain aus, die als Quelldomain dienen soll, und wählen Sie dann den Tab **Verbindungen** aus.
1. Wählen Sie im Bereich **Ausgehende Verbindungen** die Option **Anfrage** aus.
1. Geben Sie unter **Verbindungs-Alias** einen Namen für die Verbindung ein. Der Verbindungsalias wird in der OpenSearch Benutzeroberfläche für die Auswahl der Zieldomänen verwendet.
1. Wählen Sie für **den Verbindungsmodus** **Direct** für clusterübergreifende Suchen oder Replikation.
1. Um anzugeben, dass die Verbindung nicht verfügbare Cluster während einer Suche überspringen soll, aktivieren Sie das Feld **Nicht verfügbare Cluster überspringen**. Wenn Sie diese Option wählen, wird sichergestellt, dass Ihre clusterübergreifenden Abfragen unvollständige Ergebnisse zurückgeben, unabhängig von Ausfällen auf einem oder mehreren Remote-Clustern.
1. Wählen Sie für **Zielcluster** zwischen **Connect einem Cluster in diesem** **verbinden AWS-Konto und Mit einem Cluster in einem anderen** verbinden AWS-Konto.
1. Geben Sie für **Remote Domain ARN** den Amazon-Ressourcennamen (ARN) für den Cluster ein. Der Domain-ARN befindet sich im Bereich **Allgemeine Informationen** auf der Detailseite der Domain.
Die Domain muss die folgenden Anforderungen erfüllen:
+ Der ARN muss das Format haben`arn:partition:es:regionaccount-id:type/domain-id`. Beispiel:
`arn:aws:es:us-east-2:111222333444:domain/my-domain`
+ Die Domain muss für die Verwendung von OpenSearch Version 1.0 (oder höher) oder Elasticsearch Version 6.7 (oder höher) konfiguriert sein.
+ Für die Domain muss eine detaillierte Zugriffskontrolle aktiviert sein.
+ Die Domain muss laufen. OpenSearch
1. Wählen Sie **Anfrage** aus.
Die Cluster-übergreifende Suche überprüft zuerst die Verbindungsanforderung, um sicherzustellen, dass die Voraussetzungen erfüllt sind. Wenn die Domänen nicht kompatibel sind, wechselt die Verbindungsanforderung in den `Validation failed` Status.
Wenn die Verbindungsanforderung erfolgreich validiert wurde, wird sie an die Zieldomäne gesendet, wo sie genehmigt werden muss. Bis diese Genehmigung erteilt wird, bleibt die Verbindung in einem `Pending acceptance` Zustand. Wenn die Verbindungsanforderung in der Zieldomäne akzeptiert wird, ändert sich der Status in `Active` und die Zieldomäne steht für Abfragen zur Verfügung.
Auf der Domänenseite werden die allgemeinen Domänenintegritäts- und Instance-Integritätsdetails Ihrer Zieldomäne angezeigt. Nur Domänenbesitzer haben die Flexibilität, Verbindungen zu oder von ihren Domänen zu erstellen, anzuzeigen, zu entfernen und zu überwachen.
Nachdem die Verbindung hergestellt wurde, wird der gesamte Verkehr, der zwischen den Knoten der verbundenen Domänen fließt, verschlüsselt. Wenn Sie eine VPC-Domäne mit einer Nicht-VPC-Domäne verbinden und die Nicht-VPC-Domäne ein öffentlicher Endpunkt ist, der Datenverkehr aus dem Internet empfangen kann, ist der clusterübergreifende Verkehr zwischen den Domänen weiterhin verschlüsselt und sicher.
## Testen Sie Ihre Sicherheitseinstellungen für den region- und kontoübergreifenden Datenzugriff mit clusterübergreifender Suche
Nachdem Sie die Zugriffsberechtigungen für den region- und kontoübergreifenden Datenzugriff mit clusterübergreifender Suche eingerichtet haben, empfehlen wir, das Setup mithilfe einer Drittanbieterplattform für die kollaborative [https://www.postman.com/](https://www.postman.com/)API-Entwicklung zu testen.
**Um Ihr Sicherheits-Setup einzurichten, verwenden Sie Postman**
1. Indexieren Sie ein Dokument in der Zieldomäne. Im Folgenden finden Sie eine Beispielanforderung:
```
POST https://dst-domain.us-east-1.es.amazonaws.com/books/_doc/1
{
"Dracula": "Bram Stoker"
}
```
1. Wenn Sie diesen Index von der Quelldomäne abfragen möchten, fügen Sie den Verbindungsalias der Zieldomäne in die Abfrage ein. Sie finden den Verbindungsalias auf der Registerkarte Verbindungen in Ihrem Domänen-Dashboard. Im Folgenden finden Sie eine Beispielanforderung und eine gekürzte Antwort:
```
GET https://src-domain.us-east-1.es.amazonaws.com/connection_alias:books/_search
{
...
"hits": [
{
"_index": "source-destination:books",
"_type": "_doc",
"_id": "1",
"_score": 1,
"_source": {
"Dracula": "Bram Stoker"
}
}
]
}
```
1. (Optional) Sie können eine Konfiguration erstellen, die mehrere Domänen in einer einzigen Suche umfasst. Nehmen wir zum Beispiel an, Sie haben Folgendes eingerichtet:
Eine Verbindung zwischen `domain-a` bis`domain-b`, mit dem Namen des Verbindungsalias `cluster_b`
Eine Verbindung zwischen `domain-a` bis`domain-c`, mit einem Verbindungsalias namens `cluster_c`
In diesem Fall umfassen Ihre Suchanfragen den Inhalt `domain-a``domain-b`, und`domain-c`. Im Folgenden finden Sie ein Beispiel für eine Anfrage und eine Antwort:
Anforderung
```
GET https://src-domain.us-east-1.es.amazonaws.com/local_index,cluster_b:b_index,cluster_c:c_index/_search
{
"query": {
"match": {
"user": "domino"
}
}
}
```
Antwort:
```
{
"took": 150,
"timed_out": false,
"_shards": {
"total": 3,
"successful": 3,
"failed": 0,
"skipped": 0
},
"_clusters": {
"total": 3,
"successful": 3,
"skipped": 0
},
"hits": {
"total": 3,
"max_score": 1,
"hits": [
{
"_index": "local_index",
"_type": "_doc",
"_id": "0",
"_score": 1,
"_source": {
"user": "domino",
"message": "This is message 1",
"likes": 0
}
},
{
"_index": "cluster_b:b_index",
"_type": "_doc",
"_id": "0",
"_score": 2,
"_source": {
"user": "domino",
"message": "This is message 2",
"likes": 0
}
},
{
"_index": "cluster_c:c_index",
"_type": "_doc",
"_id": "0",
"_score": 3,
"_source": {
"user": "domino",
"message": "This is message 3",
"likes": 0
}
}
]
}
}
```
Wenn Sie in Ihrer Verbindungseinrichtung nicht ausgewählt haben, dass nicht verfügbare Cluster übersprungen werden sollen, müssen alle Zielcluster, die Sie durchsuchen, verfügbar sein, damit Ihre Suchanfrage erfolgreich ausgeführt werden kann. Andernfalls schlägt die gesamte Anforderung fehl, auch wenn eine der Domänen nicht verfügbar ist, werden keine Suchergebnisse zurückgegeben.
## Löschen einer Verbindung
Durch das Löschen einer Verbindung werden alle clusterübergreifenden Suchvorgänge in der Zieldomäne beendet.
Sie können das folgende Verfahren entweder für die Quell- oder Zieldomäne ausführen, um die Verbindung zu entfernen. Nachdem Sie die Verbindung entfernt haben, bleibt sie mit einem Status von `Deleted` 15 Tagen sichtbar.
Sie können eine Domäne mit aktiven Cluster-übergreifenden Verbindungen nicht löschen. Um eine Domäne zu löschen, entfernen Sie zuerst alle eingehenden und ausgehenden Verbindungen aus dieser Domäne. Damit stellen Sie sicher, dass Sie die Benutzer der Cluster-übergreifenden Domäne berücksichtigen, bevor Sie die Domäne löschen.
**So löschen Sie eine Verbindung**
1. Melden Sie sich zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home) bei der Amazon OpenSearch Service-Konsole an.
1. Wählen Sie in der linken Navigationsleiste **Domains** aus.
1. Wählen Sie den Namen einer zu löschenden Domain und anschließend den Tab **Verbindungen** aus.
1. Wählen Sie den Namen einer Verbindung aus, die gelöscht werden soll.
1. Wählen Sie **Löschen** und bestätigen Sie dann den Löschvorgang.
# Verwaltung des Zugriffs auf die OpenSearch Benutzeroberfläche von einem VPC-Endpunkt aus
Mithilfe von können Sie eine private Verbindung zwischen Ihrer VPC und der OpenSearch Benutzeroberfläche herstellen AWS PrivateLink. Über diese Verbindung können Sie auf OpenSearch UI-Anwendungen zugreifen, als ob sie sich in derselben VPC befinden würden. Auf diese Weise müssen Sie kein Internet-Gateway, kein NAT-Gerät oder keine VPN-Verbindung konfigurieren oder AWS Direct Connect die Verbindung herstellen. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um auf die OpenSearch Benutzeroberfläche zuzugreifen.
Um diese private Verbindung herzustellen, erstellen Sie zunächst einen Schnittstellenendpunkt, der von AWS PrivateLink betrieben wird. In jedem Subnetz, das Sie für den Schnittstellenendpunkt angeben, wird automatisch eine Endpunkt-Netzwerkschnittstelle erstellt. Dabei handelt es sich um vom Anforderer verwaltete Netzwerkschnittstellen, die als Einstiegspunkt für Datenverkehr dienen, der für UI-Anwendungen bestimmt ist. OpenSearch
## Erstellen einer privaten Verbindung zwischen einer VPC und OpenSearch einer Benutzeroberfläche
Mit dem AWS-Managementkonsole oder AWS CLI können Sie eine private Verbindung für den Zugriff auf die OpenSearch Benutzeroberfläche von einer VPC aus herstellen.
### Erstellen einer privaten Verbindung zwischen einer VPC und der OpenSearch Benutzeroberfläche (Konsole)
**So erstellen Sie mithilfe der Konsole eine private Verbindung zwischen einer VPC und der OpenSearch Benutzeroberfläche**
1. Melden Sie sich zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home) bei der Amazon OpenSearch Service-Konsole an.
1. Wählen Sie in der linken Navigationsleiste unter **Serverless** die Option **VPC-Endpoints** aus.
1. Wählen Sie **Create VPC endpoint** (VPC-Endpunkt) erstellen.
1. Geben Sie **unter Name** einen Namen für den Endpunkt ein.
1. Wählen Sie für **VPC** die VPC aus, von der aus Sie auf OpenSearch UI-Anwendungen zugreifen.
1. Wählen Sie für **Subnetze** ein Subnetz aus, von dem aus Sie auf UI-Anwendungen zugreifen OpenSearch möchten.
**Anmerkung**
Die IP-Adresse und der DNS-Typ eines Endpunkts basieren auf dem Subnetztyp:
Dual-Stack: Wenn alle Subnetze sowohl als auch Adressbereiche IPv4 haben. IPv6
IPv6: Wenn alle Subnetze nur Subnetze sind IPv6 .
IPv4: Wenn alle Subnetze Adressbereiche haben IPv4 .
1. Wählen Sie **unter Sicherheitsgruppen** eine oder mehrere Sicherheitsgruppen aus, die den Endpunkt-Netzwerkschnittstellen zugeordnet werden sollen.
**Anmerkung**
In diesem Schritt schränken Sie die Ports, Protokolle und Quellen für eingehenden Datenverkehr ein, den Sie für Ihren Endpunkt autorisieren. Stellen Sie sicher, dass die Sicherheitsgruppenregeln den Ressourcen, die den VPC-Endpunkt für die Kommunikation mit OpenSearch UI-Anwendungen verwenden, auch die Kommunikation mit der Endpunkt-Netzwerkschnittstelle ermöglichen.
1. 8. Wählen Sie **Endpunkt erstellen** aus.
### Erstellen einer privaten Verbindung zwischen einer VPC und OpenSearch UI ()AWS CLI
**Um eine private Verbindung zwischen einer VPC und der OpenSearch Benutzeroberfläche herzustellen, verwenden Sie den AWS CLI**
Führen Sie den folgenden Befehl aus. Ersetzen Sie *placeholder values* durch Ihre Informationen.
```
aws opensearchserverless create-vpc-endpoint \
--region region \
--endpoint endpoint \
--name vpc_endpoint_name \
--vpc-id vpc_id \
--subnet-ids subnet_ids
```
## Aktualisierung der VPC-Endpunktrichtlinie, um den Zugriff auf die OpenSearch UI-Anwendung zu ermöglichen
Nachdem Sie die private Verbindung erstellt haben, aktualisieren Sie die VPC-Endpunktrichtlinie, um den Zugriff auf die OpenSearch UI-Anwendung in der VPC-Endpunktrichtlinie zu ermöglichen, indem Sie die Anwendungs-ID angeben.
*Informationen zum Aktualisieren einer VPC-Endpunktrichtlinie finden Sie unter [Aktualisieren einer VPC-Endpunktrichtlinie](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#update-vpc-endpoint-policy) im AWS PrivateLink Handbuch.*
Stellen Sie sicher, dass die VPC-Endpunktrichtlinie die folgende Aussage enthält. Ersetzen Sie *placeholder value* durch Ihre Informationen.
```
{
"Statement": [{
"Action": ["opensearch:*"],
"Effect": "Allow",
"Principal": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"opensearch:ApplicationId": ["opensearch-ui-application-id"]
}
}
}]
}
```
## Widerrufen des Zugriffs auf die OpenSearch Benutzeroberfläche in einer VPC-Endpunktrichtlinie
OpenSearch Für die Benutzeroberfläche ist eine ausdrückliche Genehmigung in der VPC-Endpunktrichtlinie erforderlich, damit Benutzer von der VPC aus auf die Anwendung zugreifen können. Wenn Sie nicht mehr möchten, dass Benutzer über die VPC auf die OpenSearch Benutzeroberfläche zugreifen, können Sie die Berechtigung in der Endpunktrichtlinie entfernen. Danach erhalten Benutzer beim Versuch, auf die OpenSearch Benutzeroberfläche zuzugreifen, eine `403 forbidden` Fehlermeldung.
*Informationen zum Aktualisieren einer VPC-Endpunktrichtlinie finden Sie unter [Aktualisieren einer VPC-Endpunktrichtlinie](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#update-vpc-endpoint-policy) im AWS PrivateLink Handbuch.*
Im Folgenden finden Sie ein Beispiel für eine VPC-Endpunktrichtlinie, die den Zugriff auf die UI-Anwendungen von der VPC aus verweigert:
```
{
"Statement": [{
"Action": ["opensearch:*"],
"Effect": "Allow",
"Principal": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"opensearch:ApplicationId": [""]
}
}
}]
}
```
# Migrieren gespeicherter Objekte von Dashboards zur Benutzeroberfläche OpenSearch OpenSearch
Wenn Sie bereits Dashboards, Visualisierungen, Indexmuster und andere gespeicherte Objekte in OpenSearch Dashboards haben, können Sie diese in der Benutzeroberfläche migrieren und wiederverwenden. OpenSearch
Vorteile der Migration zur Benutzeroberfläche: OpenSearch
+ **Hohe Verfügbarkeit** — Die OpenSearch Benutzeroberfläche wird in der gehostet AWS Cloud und bleibt während Domain-Upgrades und Wartungsarbeiten verfügbar, während OpenSearch Dashboards innerhalb der Domain gehostet werden und vorübergehend nicht verfügbar sein werden.
+ **Mehrere Datenquellen** — Die OpenSearch Benutzeroberfläche kann eine konsolidierte zentrale Oberfläche für mehrere Datenquellen bereitstellen, einschließlich OpenSearch Domains, serverloser Sammlungen und Datenverbindungen mit Amazon S3 und Amazon CloudWatch. Jedes OpenSearch Dashboard kann jedoch nur mit einer Domain oder Sammlung funktionieren.
+ Zusätzliche Funktionen wie AI Assistant und Workspaces sind auf der Benutzeroberfläche verfügbar. OpenSearch Erfahre mehr:[Verwenden der OpenSearch Benutzeroberfläche in Amazon OpenSearch Service](application.md).
**Topics**
+ [Überblick über die Migration](#application-migrate-saved-objects-overview)
+ [Voraussetzungen](#application-migrate-saved-objects-prerequisites)
+ [Schritt 1: Exportieren Sie gespeicherte Objekte aus OpenSearch Dashboards](#application-migrate-saved-objects-export)
+ [Schritt 2: Importieren Sie gespeicherte Objekte in die Benutzeroberfläche OpenSearch](#application-migrate-saved-objects-import)
## Überblick über die Migration
Der Migrationsprozess besteht aus den folgenden allgemeinen Schritten:
1. **Exportieren von gespeicherten Objekten aus OpenSearch Dashboards** — Verwenden Sie die Verwaltungsschnittstelle für gespeicherte Objekte in OpenSearch Dashboards oder die Export-API, um Ihre Dashboards, Visualisierungen, Indexmuster und andere Objekte als durch Zeilenumbrüche getrennte JSON-Datei (NDJSON) herunterzuladen.
1. **Erstellen Sie eine OpenSearch UI-Anwendung und einen Workspace** — Falls Sie dies noch nicht getan haben, erstellen Sie eine UI-Anwendung und einen OpenSearch Workspace, um die importierten Objekte zu empfangen.
1. **Registrieren Sie die Datenquelle in der OpenSearch Benutzeroberfläche** — Ordnen Sie Ihre OpenSearch Domain der OpenSearch UI-Anwendung zu und registrieren Sie sie als Datenquelle im Workspace. Indexmuster in Ihren importierten Objekten verweisen auf diese Datenquelle.
1. **Gespeicherte Objekte in die OpenSearch Benutzeroberfläche importieren** — Verwenden Sie die OpenSearch UI Saved Objects Management UI oder die Import-API, um die NDJSON-Datei in den Ziel-Workspace hochzuladen.
1. **Überprüfen Sie die importierten Objekte** — Öffnen Sie Ihre Dashboards und Visualisierungen in der OpenSearch Benutzeroberfläche, um zu überprüfen, ob sie korrekt angezeigt werden und ob Daten aus der zugehörigen Domäne oder Sammlung stammen.
## Voraussetzungen
Überprüfen Sie vor der Migration die folgenden Voraussetzungen:
+ Sie verfügen über die erforderlichen IAM-Berechtigungen, um den Amazon OpenSearch Service aufzurufen und OpenSearch APIs. Weitere Informationen finden Sie unter [Erforderliche Berechtigungen für die Erstellung von Amazon OpenSearch Service-Anwendungen](application-getting-started.md#application-prerequisite-permissions).
+ Sie können auf die Domain oder Sammlung und die OpenSearch Dashboards zugreifen, die Sie migrieren möchten.
+ Sie haben eine OpenSearch UI-Anwendung erstellt. Informationen zum Erstellen einer Anwendung und eines Arbeitsbereichs finden Sie unter[Erste Schritte mit der OpenSearch Benutzeroberfläche in Amazon OpenSearch Service](application-getting-started.md).
+ Sie haben dieselbe Domäne oder Sammlung mit der OpenSearch Benutzeroberflächenanwendung verknüpft. Hinweise zum Zuordnen von Datenquellen finden Sie unter[Verwaltung von Datenquellenzuordnungen und Virtual Private Cloud-Zugriffsberechtigungen](application-data-sources-and-vpc.md).
**Anmerkung**
OpenSearch Die Benutzeroberfläche unterstützt nur OpenSearch Version 1.3 und höher. Stellen Sie sicher, dass auf Ihrer OpenSearch Domain Version 1.3 oder höher ausgeführt wird, bevor Sie versuchen, gespeicherte Objekte zu migrieren.
## Schritt 1: Exportieren Sie gespeicherte Objekte aus OpenSearch Dashboards
Exportieren Sie Ihre gespeicherten Objekte mithilfe der Management-Benutzeroberfläche oder der Export-API aus OpenSearch Dashboards. Beim Export wird eine durch Zeilenumbrüche getrennte JSON-Datei (NDJSON) erzeugt, die alle ausgewählten gespeicherten Objekttypen und ihre Abhängigkeiten enthält.
**Topics**
+ [OpenSearch Manueller Export auf Dashboards](#application-migrate-export-console)
+ [Über API exportieren](#application-migrate-export-api)
### OpenSearch Manueller Export auf Dashboards
**Um gespeicherte Objekte mithilfe der OpenSearch Dashboard-Verwaltungsschnittstelle zu exportieren**
1. Öffnen Sie Ihre OpenSearch Dashboards-Instanz.
1. Wählen Sie im linken Navigationsbereich **Management** aus.
1. Wählen Sie unter **Dashboard-Verwaltung** die Option **Gespeicherte Objekte** aus.
1. Wählen Sie die gespeicherten Objekte aus, die Sie exportieren möchten. Um alle Objekte eines bestimmten Typs zu exportieren, filtern Sie mithilfe der Suchleiste nach Typ. Um alle Objekte zu exportieren, aktivieren Sie das Kontrollkästchen in der Tabellenüberschrift.
1. Wählen Sie **Export** aus.
1. Stellen Sie sicher, dass im Dialogfeld **Gespeicherte Objekte exportieren** die Option **Verwandte Objekte einbeziehen** aktiviert ist. Diese Option umfasst alle Objekte, von denen die ausgewählten gespeicherten Objekte abhängen, z. B. Indexmuster, auf die in Visualisierungen verwiesen wird. Deaktivieren Sie diese Option nur, wenn Sie Abhängigkeiten manuell verwalten möchten.
1. Wählen Sie **Exportieren**, um die `.ndjson` Datei auf Ihren lokalen Computer herunterzuladen.
**Tipp**
Wenn Sie „**Verwandte Objekte einbeziehen**“ wählen, enthält die exportierte NDJSON-Datei alle gespeicherten Objekte, die zum Rendern der ausgewählten Dashboards und Visualisierungen benötigt werden, einschließlich ihrer abhängigen Indexmuster, Visualisierungen und Suchobjekte. Dies vereinfacht den Importschritt und vermeidet fehlende Referenzfehler.
### Über API exportieren
Sie können die Export-API für gespeicherte Objekte von OpenSearch Dashboards verwenden, um gespeicherte Objekte programmgesteuert zu exportieren. Dies ist nützlich, um Migrationen zu automatisieren oder den Exportschritt in eine Pipeline zu integrieren. CI/CD
**Anmerkung**
Wenn für Ihre OpenSearch Domain eine [differenzierte Zugriffskontrolle](fgac.md) aktiviert ist, müssen Sie bei Ihrer Exportanfrage Anmeldeinformationen angeben. Verwenden Sie die HTTP-Basisauthentifizierung, indem Sie das `-u` Kennzeichen mit Ihrem Benutzernamen und Passwort hinzufügen. Weitere Informationen über Authentifizierungsoptionen finden Sie unter [Feinkörnige Zugriffskontrolle in Amazon Service OpenSearch](fgac.md).
Das folgende Beispiel exportiert alle Dashboards mit ihren zugehörigen Objekten. Ersetzen Sie *placeholder values* durch Ihre Informationen.
```
curl -X POST \
"https://dashboards-endpoint/_dashboards/api/saved_objects/_export" \
-u 'master-username:master-password' \
-H "Content-Type: application/json" \
-H "osd-xsrf: true" \
-d '{
"type": ["dashboard", "visualization", "index-pattern", "search"],
"includeReferencesDeep": true,
"excludeExportDetails": false
}' \
-o saved-objects-export.ndjson
```
Wenn in Ihrer Domain keine detaillierte Zugriffskontrolle aktiviert ist, können Sie die Markierung weglassen. `-u`
Um bestimmte gespeicherte Objekte nach ID zu exportieren, verwenden Sie den `objects` Parameter anstelle von: `type`
```
curl -X POST \
"https://dashboards-endpoint/_dashboards/api/saved_objects/_export" \
-u 'master-username:master-password' \
-H "Content-Type: application/json" \
-H "osd-xsrf: true" \
-d '{
"objects": [
{"type": "dashboard", "id": "dashboard-id"},
{"type": "visualization", "id": "visualization-id"}
],
"includeReferencesDeep": true
}' \
-o saved-objects-export.ndjson
```
**Anmerkung**
Um nach gespeicherten Objekten zu suchen IDs, können Sie die API für gespeicherte Objekte verwenden, um alle Objekte eines bestimmten Typs aufzulisten. Das folgende Beispiel listet alle Dashboards auf:
```
curl -X GET \
"https://dashboards-endpoint/_dashboards/api/saved_objects/_find?type=dashboard" \
-u 'master-username:master-password'
```
Die Antwort enthält die ID für jedes gespeicherte Objekt. Sie finden die ID auch in der Browser-URL, wenn Sie das Objekt in OpenSearch Dashboards anzeigen.
## Schritt 2: Importieren Sie gespeicherte Objekte in die Benutzeroberfläche OpenSearch
Nach dem Exportieren der gespeicherten Objekte können Sie die NDJSON-Datei manuell oder über die API in die OpenSearch Benutzeroberfläche importieren.
**Topics**
+ [Manuell auf der Benutzeroberfläche importieren OpenSearch](#application-migrate-import-console)
+ [Über API importieren](#application-migrate-import-api)
### Manuell auf der Benutzeroberfläche importieren OpenSearch
**Um gespeicherte Objekte mithilfe der OpenSearch UI Management UI zu importieren**
1. Öffnen Sie Ihre OpenSearch UI-Anwendung und navigieren Sie zum Ziel-Workspace.
1. Wähle im Workspace in der oberen Navigationsleiste **Assets** aus oder gehe zur Workspace-Asset-Seite.
1. Wählen Sie „**Importieren**“, um das Dialogfeld „**Elemente importieren**“ zu öffnen.
1. Wählen Sie **„Datei auswählen“** und wählen Sie die `.ndjson` Datei aus, die Sie aus OpenSearch Dashboards exportiert haben.
1. Wählen Sie für **Konfliktmanagement** eine der folgenden Optionen:
+ **Neue Objekte mit eindeutigen Elementen erstellen IDs** (Standard) — Generiert neue Objekte IDs für alle importierten Objekte, wodurch Konflikte mit vorhandenen Objekten vermieden werden.
+ **Nach vorhandenen Objekten suchen** — Prüft, ob Konflikte mit vorhandenen Objekten bestehen. Wenn diese Option ausgewählt ist, wählen Sie eine der folgenden Unteroptionen:
+ **Konflikte automatisch überschreiben** — Bestehende Assets mit derselben ID werden automatisch ersetzt.
+ **Bei Konflikten Maßnahmen anfordern** — Sie werden aufgefordert, jeden Konflikt einzeln zu lösen.
1. Wählen Sie **Importieren** aus.
1. Lesen Sie die Importzusammenfassung.
### Über API importieren
Um gespeicherte Objekte mithilfe der API mit AWS Signature Version 4-Authentifizierung zu importieren, müssen Sie zuerst die Datenquellen-ID abrufen und sie dann in der Importanforderung verwenden. Ersetzen Sie *placeholder values* durch Ihre Informationen.
Schritt 1: Holen Sie sich die Datenquellen-ID für Ihren Workspace:
```
curl -X GET \
"https://opensearch-ui-endpoint/w/workspace-id/api/saved_objects/_find?type=data-source" \
--aws-sigv4 "aws:amz:region:opensearch" \
--user "$AWS_ACCESS_KEY_ID:$AWS_SECRET_ACCESS_KEY" \
-H "x-amz-security-token: $AWS_SESSION_TOKEN" \
-H "osd-xsrf: true"
```
**Anmerkung**
Die Antwort enthält die Datenquellen-ID. Sie können die Datenquellen-ID auch in der Browser-URL finden, wenn Sie die Datenquelle in der OpenSearch Benutzeroberfläche anzeigen.
Schritt 2: Importieren Sie die gespeicherten Objekte mithilfe der Datenquellen-ID aus Schritt 1:
```
curl -X POST \
"https://opensearch-ui-endpoint/w/workspace-id/api/saved_objects/_import?overwrite=true&dataSourceId=data-source-id" \
--aws-sigv4 "aws:amz:region:opensearch" \
--user "$AWS_ACCESS_KEY_ID:$AWS_SECRET_ACCESS_KEY" \
-H "x-amz-security-token: $AWS_SESSION_TOKEN" \
-H "osd-xsrf: true" \
-F "file=@saved-objects-export.ndjson"
```
**Anmerkung**
Diese Beispiele verwenden die integrierte `--aws-sigv4` Option von Curl (verfügbar in Curl 7.75 oder höher), um die Anfragen zu signieren. Stellen Sie Ihre AWS Anmeldeinformationen als Umgebungsvariablen ein, bevor Sie die Befehle ausführen: `AWS_ACCESS_KEY_ID``AWS_SECRET_ACCESS_KEY`, und `AWS_SESSION_TOKEN` (falls Sie temporäre Anmeldeinformationen verwenden).
# OpenSearch UI-Endpunkte und Kontingente
Um programmgesteuert eine Verbindung zu einem AWS Dienst herzustellen, verwenden Sie einen Endpunkt. Servicekontingente, auch als Limits bezeichnet, sind die maximale Anzahl von Serviceressourcen oder -vorgängen für Ihr AWS -Konto.
Amazon OpenSearch UI ist die OpenSearch Benutzeroberfläche der nächsten Generation für OpenSearch Dashboards. Sie bietet Endpunkte für den Zugriff auf Ihre OpenSearch Dashboards. In diesem Thema finden Sie die Dienstendpunkte und Dienstkontingente für die Benutzeroberfläche. OpenSearch
Weitere Informationen zu anderen OpenSearch Diensten finden Sie unter [Dienstendpunkte und](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html) Kontingente.
## OpenSearch Benutzeroberflächenendpunkte
OpenSearch Die Benutzeroberfläche ist in den folgenden Regionen verfügbar:
| Name der Region | Region | Endpunkt | Protocol (Protokoll) |
| --- | --- | --- | --- |
| Asien-Pazifik (Mumbai) | ap-south-1 | opensearch.ap-south-1.amazonaws.com es.ap-south-1.amazonaws.com | HTTPS HTTPS |
| Europa (Paris) | eu-west-3 | opensearch.eu-west-3.amazonaws.com es.eu-west-3.amazonaws.com | HTTPS HTTPS |
| USA Ost (Ohio) | us-east-2 | opensearch.us-east-2.amazonaws.com es.us-east-2.amazonaws.com | HTTPS HTTPS |
| Europa (Irland) | eu-west-1 | opensearch.eu-west-1.amazonaws.com es.eu-west-1.amazonaws.com | HTTPS HTTPS |
| Europa (Frankfurt) | eu-central-1 | opensearch.eu-central-1.amazonaws.com es.eu-central-1.amazonaws.com | HTTPS HTTPS |
| Südamerika (São Paulo) | sa-east-1 | opensearch.sa-east-1.amazonaws.com es.sa-east-1.amazonaws.com | HTTPS HTTPS |
| USA Ost (Nord-Virginia) | us-east-1 | opensearch.us-east-1.amazonaws.com es.us-east-1.amazonaws.com | HTTPS HTTPS |
| Europa (London) | eu-west-2 | opensearch.eu-west-2.amazonaws.com es.eu-west-2.amazonaws.com | HTTPS HTTPS |
| Asien-Pazifik (Tokio) | ap-northeast-1 | opensearch.ap-northeast-1.amazonaws.com es.ap-northeast-1.amazonaws.com | HTTPS HTTPS |
| USA West (Oregon) | us-west-2 | opensearch.us-west-2.amazonaws.com es.us-west-2.amazonaws.com | HTTPS HTTPS |
| Asien-Pazifik (Singapur) | ap-southeast-1 | opensearch.ap-southeast-1.amazonaws.com es.ap-southeast-1.amazonaws.com | HTTPS HTTPS |
| Asien-Pazifik (Sydney) | ap-southeast-2 | opensearch.ap-southeast-2.amazonaws.com es.ap-southeast-2.amazonaws.com | HTTPS HTTPS |
| Kanada (Zentral) | ca-central-1 | opensearch.ca-central-1.amazonaws.com es.ca-central-1.amazonaws.com | HTTPS HTTPS |
| Europa (Stockholm) | eu-north-1 | opensearch.eu-north-1.amazonaws.com es.eu-north-1.amazonaws.com | HTTPS HTTPS |
| Asien-Pazifik (Hongkong) | ap-east-1 | opensearch.ap-east-1.amazonaws.com es.ap-east-1.amazonaws.com | HTTPS HTTPS |
| Asien-Pazifik (Seoul) | ap-northeast-2 | opensearch.ap-northeast-2.amazonaws.com es.ap-northeast-2.amazonaws.com | HTTPS HTTPS |
| Asia Pacific (Osaka) | ap-northeast-3 | opensearch.ap-northeast-3.amazonaws.com es.ap-northeast-3.amazonaws.com | HTTPS HTTPS |
| Asien-Pazifik (Hyderabad) | ap-south-2 | opensearch.ap-south-2.amazonaws.com es.ap-south-2.amazonaws.com | HTTPS HTTPS |
| Europa (Spain) | eu-south-2 | opensearch.eu-south-2.amazonaws.com es.eu-south-2.amazonaws.com | HTTPS HTTPS |
| USA West (Nordkalifornien) | us-west-1 | opensearch.us-west-1.amazonaws.com es.us-west-1.amazonaws.com | HTTPS HTTPS |
| Europa (Zürich) | eu-central-2 | opensearch.eu-central-2.amazonaws.com es.eu-central-2.amazonaws.com | HTTPS HTTPS |
| Europa (Milan) | eu-south-1 | opensearch.eu-south-1.amazonaws.com es.eu-south-1.amazonaws.com | HTTPS HTTPS |
## OpenSearch UI-Dienstkontingente
Ihr AWS Konto hat die folgenden Kontingente für OpenSearch UI-Ressourcen.
| Name | Standard | Anpassbar | Hinweise |
| --- | --- | --- | --- |
| OpenSearch UI-Anwendungen pro Konto pro Region | 30 | Ja | Die maximale Anzahl von OpenSearch UI-Anwendungen, die Sie pro Konto und Region erstellen können. Sie können das Limit mithilfe des Service-Kontingents auf 50 erhöhen und es automatisch genehmigen lassen. Um ein höheres Limit zu beantragen, reichen Sie ein Support-Ticket ein. |