Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Paso 1: Crear la integración con Service OpenSearch
El primer paso es crear la integración con el OpenSearch Servicio, lo que solo debe hacer una vez. Al crear la integración, se crearán los siguientes recursos en su cuenta.
Una colección de series OpenSearch Service temporales sin alta disponibilidad.
Una colección es un conjunto de índices de OpenSearch servicios que funcionan juntos para soportar una carga de trabajo.
Dos políticas de seguridad para la colección. Una define el tipo de cifrado, que puede ser con una AWS KMS clave administrada por el cliente o con una clave propiedad del servicio. La otra política define el acceso a la red, lo que permite a la aplicación del OpenSearch servicio acceder a la colección. Para obtener más información, consulta Cifrado de datos en reposo para Amazon OpenSearch Service.
Una política de acceso a los datos del OpenSearch servicio que define quién puede acceder a los datos de la recopilación.
Una fuente de datos de consulta directa del OpenSearch servicio con CloudWatch los registros definidos como fuente.
Una aplicación OpenSearch de servicio con el nombre
aws-analytics. La aplicación se configurará para permitir la creación de un espacio de trabajo. Siaws-analyticsya existe una aplicación denominada, se actualizará para añadir esta colección como fuente de datos.Un espacio OpenSearch de trabajo de servicio que alojará los paneles y permitirá a todas las personas a las que se haya concedido el acceso leer desde el espacio de trabajo.
Permisos necesarios
Para crear la integración, debe iniciar sesión en una cuenta que tenga la política de IAM CloudWatchOpenSearchDashboardsFullAccessgestionada o permisos equivalentes, como se muestra aquí. También debe tener estos permisos para eliminar la integración, crear, editar y eliminar los paneles, y para actualizar el panel manualmente.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "CloudWatchOpenSearchDashboardsIntegration", "Effect": "Allow", "Action": [ "logs:ListIntegrations", "logs:GetIntegration", "logs:DeleteIntegration", "logs:PutIntegration", "logs:DescribeLogGroups", "opensearch:ApplicationAccessAll", "iam:ListRoles", "iam:ListUsers" ], "Resource": "*" }, { "Sid": "CloudWatchLogsOpensearchReadAPIs", "Effect": "Allow", "Action": [ "aoss:BatchGetCollection", "aoss:BatchGetLifecyclePolicy", "es:ListApplications" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsOpensearchCreateServiceLinkedAccess", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService", "Condition": { "StringEquals": { "iam:AWSServiceName": "opensearchservice.amazonaws.com", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsObservabilityCreateServiceLinkedAccess", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/observability.aoss.amazonaws.com/AWSServiceRoleForAmazonOpenSearchServerless", "Condition": { "StringEquals": { "iam:AWSServiceName": "observability.aoss.amazonaws.com", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsCollectionRequestAccess", "Effect": "Allow", "Action": [ "aoss:CreateCollection" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:RequestTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsApplicationRequestAccess", "Effect": "Allow", "Action": [ "es:CreateApplication" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:RequestTag/OpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "OpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsCollectionResourceAccess", "Effect": "Allow", "Action": [ "aoss:DeleteCollection" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsApplicationResourceAccess", "Effect": "Allow", "Action": [ "es:UpdateApplication", "es:GetApplication" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/OpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsCollectionPolicyAccess", "Effect": "Allow", "Action": [ "aoss:CreateSecurityPolicy", "aoss:CreateAccessPolicy", "aoss:DeleteAccessPolicy", "aoss:DeleteSecurityPolicy", "aoss:GetAccessPolicy", "aoss:GetSecurityPolicy" ], "Resource": "*", "Condition": { "StringLike": { "aoss:collection": "cloudwatch-logs-*", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsAPIAccessAll", "Effect": "Allow", "Action": [ "aoss:APIAccessAll" ], "Resource": "*", "Condition": { "StringLike": { "aoss:collection": "cloudwatch-logs-*" } } }, { "Sid": "CloudWatchLogsIndexPolicyAccess", "Effect": "Allow", "Action": [ "aoss:CreateAccessPolicy", "aoss:DeleteAccessPolicy", "aoss:GetAccessPolicy", "aoss:CreateLifecyclePolicy", "aoss:DeleteLifecyclePolicy" ], "Resource": "*", "Condition": { "StringLike": { "aoss:index": "cloudwatch-logs-*", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsDQSRequestQueryAccess", "Effect": "Allow", "Action": [ "es:AddDirectQueryDataSource" ], "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:RequestTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsStartDirectQueryAccess", "Effect": "Allow", "Action": [ "opensearch:StartDirectQuery", "opensearch:GetDirectQuery" ], "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*" }, { "Sid": "CloudWatchLogsDQSResourceQueryAccess", "Effect": "Allow", "Action": [ "es:GetDirectQueryDataSource", "es:DeleteDirectQueryDataSource" ], "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsPassRoleAccess", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:PassedToService": "directquery.opensearchservice.amazonaws.com", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsAossTagsAccess", "Effect": "Allow", "Action": [ "aoss:TagResource" ], "Resource": "arn:aws:aoss:*:*:collection/*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsEsApplicationTagsAccess", "Effect": "Allow", "Action": [ "es:AddTags" ], "Resource": "arn:aws:opensearch:*:*:application/*", "Condition": { "StringEquals": { "aws:ResourceTag/OpenSearchIntegration": [ "Dashboards" ], "aws:CalledViaFirst": "logs.amazonaws.com" }, "ForAllValues:StringEquals": { "aws:TagKeys": "OpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsEsDataSourceTagsAccess", "Effect": "Allow", "Action": [ "es:AddTags" ], "Resource": "arn:aws:opensearch:*:*:datasource/*", "Condition": { "StringEquals": { "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ], "aws:CalledViaFirst": "logs.amazonaws.com" }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } } ] }
Cree la integración
Siga estos pasos para crear la integración.
Para integrar CloudWatch Logs con Amazon OpenSearch Service
Abra la CloudWatch consola en https://console.aws.amazon.com/cloudwatch/
. En el panel de navegación izquierdo, selecciona Logs Insights y, a continuación, selecciona la OpenSearch pestaña Analizar con.
Seleccione Crear integración.
En Nombre de la integración, introduzca un nombre para la integración.
(Opcional) Para cifrar los datos escritos en OpenSearch Service Serverless, introduzca el ARN de la AWS KMS clave que quiere usar en el ARN de la clave de KMS. Para obtener más información, consulta Encryption at rest en la Guía para desarrolladores de Amazon OpenSearch Service.
Para la retención de datos, introduzca el tiempo que desea que se conserven los índices de datos del OpenSearch Servicio. Esto también define el período de tiempo máximo durante el que puede ver los datos en los paneles. Si elige un período de retención de datos más prolongado, se incurrirá en costos adicionales de búsqueda e indexación. Para obtener más información, consulte los precios de OpenSearch Service Serverless
. El período máximo de retención es de 30 días.
La duración de la retención de los datos también se utilizará para crear la política del ciclo de vida de la recopilación de OpenSearch servicios.
En el caso de la función de IAM para escribir en la OpenSearch colección, cree una nueva función de IAM o seleccione una función de IAM existente para utilizarla para escribir en la OpenSearch colección de servicios.
Crear un nuevo rol es el método más sencillo y el rol se creará con los permisos necesarios.
nota
Si crea un rol, tendrá permisos para leer todos los grupos de registros de la cuenta.
Si desea seleccionar un rol existente, debe tener los permisos que aparecen enPermisos que necesita la integración. También puede elegir Usar un rol existente y, a continuación, en la sección Verificar los permisos de acceso del rol seleccionado, elegir Crear rol. De esta forma, puede utilizar los permisos que Permisos que necesita la integración figuran en una plantilla y modificarlos. Por ejemplo, si desea especificar un control más preciso de los grupos de registros.
En el caso de las funciones y los usuarios de IAM que pueden ver los paneles, seleccione cómo desea conceder el acceso a las funciones de IAM y a los usuarios de IAM el acceso al panel de registros vendidos:
Para limitar el acceso al panel de control solo a algunos usuarios, seleccione Seleccionar las funciones de IAM y los usuarios que puedan ver los paneles y, a continuación, en el cuadro de texto, busque y seleccione las funciones de IAM y los usuarios de IAM a los que quiere conceder acceso.
Para conceder acceso al panel a todos los usuarios, seleccione Permitir que todos los roles y usuarios de esta cuenta vean los paneles.
importante
Al seleccionar roles o usuarios, o elegir a todos los usuarios, solo se añaden a la política de acceso a los datos necesaria para acceder a la colección de OpenSearch servicios que almacena los datos del panel. Para que puedan ver los paneles de control de los registros vendidos, también debes conceder a esos roles y usuarios la política de IAM CloudWatchOpenSearchDashboardAccess gestionada.
Elija Crear integración
La creación de la integración tardará unos minutos.
