Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Uso de la OpenSearch interfaz de usuario en Amazon OpenSearch Service
OpenSearch La interfaz de usuario (UI) es una experiencia de análisis operativo modernizada para Amazon OpenSearch Service que proporciona una vista unificada para que puedas interactuar con los datos de múltiples fuentes. A diferencia de OpenSearch Dashboards, que solo funciona con el dominio o colección que lo aloja, la OpenSearch interfaz de usuario está alojada en. Nube de AWS Esto permite que la OpenSearch interfaz de usuario alcance una alta disponibilidad y siga funcionando durante las actualizaciones del clúster, además de conectarse de forma nativa con varias fuentes de datos. Para obtener información sobre los OpenSearch paneles de control, consulte. [Uso de OpenSearch cuadros de mando con Amazon Service OpenSearch](dashboards.md)
Las siguientes son las principales características de la OpenSearch interfaz de usuario:
+ **Soporte para múltiples fuentes de datos**: la OpenSearch interfaz de usuario puede conectarse con múltiples fuentes de datos para crear una vista completa. Esto incluye OpenSearch dominios y colecciones sin servidor, así como fuentes de AWS datos integradas como Amazon CloudWatch, Amazon Security Lake y Amazon Simple Storage Service (Amazon S3).
+ **Sin tiempo de inactividad durante las actualizaciones**: la OpenSearch interfaz de usuario está alojada en. Nube de AWS Esto significa que OpenSearch permanece operativo y puede recuperar datos de los clústeres durante los procesos de actualización.
+ **Espacios de trabajo**: espacios seleccionados para la colaboración en equipo para diversos flujos de trabajo, como observabilidad, análisis de seguridad y búsqueda. Puede definir la configuración de privacidad y administrar los permisos de los colaboradores en su espacio de trabajo.
+ **Inicio de sesión único: la** OpenSearch interfaz de usuario funciona con una federación de SAML a través de AWS Identity and Access Management IAM para integrarse con sus proveedores de identidad AWS IAM Identity Center y crear una experiencia de inicio de sesión único para sus usuarios finales.
+ Análisis **basado en Genai: la OpenSearch interfaz de usuario admite la generación de consultas en lenguaje natural para ayudar a generar las consultas adecuadas para su análisis**. OpenSearch La interfaz de usuario también trabaja con Amazon Q Developer para proporcionar el chat de Amazon Q y ayudar a generar visualizaciones, resúmenes de alertas, información y detectores de anomalías recomendados.
+ **Compatibilidad con varios lenguajes de consulta**: la OpenSearch interfaz de usuario es compatible con el lenguaje de procesamiento canalizado (PPL), SQL, Lucene y el lenguaje de consultas de paneles (DQL).
+ **Soporte multiregional y multicuenta**: la OpenSearch interfaz de usuario puede utilizar la función de búsqueda entre clústeres para conectarse con OpenSearch dominios de diferentes cuentas y regiones para realizar análisis y visualizaciones agregados.
Para empezar y crear tu primera OpenSearch interfaz de usuario, sigue las instrucciones que se indican en. [Introducción a la interfaz OpenSearch de usuario de Amazon OpenSearch Service](application-getting-started.md)
Para obtener información sobre las últimas funciones publicadas para la OpenSearch interfaz de usuario, consulte[Historial de versiones de la interfaz de usuario de Amazon OpenSearch Service](application-release-history.md).
**Topics**
+ [Historial de versiones de la interfaz de usuario de Amazon OpenSearch Service](application-release-history.md)
+ [Introducción a la interfaz OpenSearch de usuario de Amazon OpenSearch Service](application-getting-started.md)
+ [La IA de la agencia en Amazon Service OpenSearch](application-ai-assistant.md)
+ [Cifrar los metadatos de las aplicaciones de OpenSearch interfaz de usuario con claves administradas por el cliente](application-encryption-cmk.md)
+ [Habilitar la federación de SAML con AWS Identity and Access Management](application-enable-SAML-identity-federation.md)
+ [Administración de las asociaciones de orígenes de datos y los permisos de acceso a la nube privada virtual](application-data-sources-and-vpc.md)
+ [Uso de los espacios de trabajo OpenSearch de Amazon Service](application-workspaces.md)
+ [Acceso a datos entre regiones y cuentas](application-cross-region-cross-account.md)
+ [Administrar el acceso a la OpenSearch interfaz de usuario desde un punto final de VPC](application-access-ui-from-vpc-endpoint.md)
+ [Migración de objetos guardados de los OpenSearch paneles a la interfaz de usuario OpenSearch](application-migration.md)
+ [OpenSearch Puntos finales y cuotas de la interfaz de usuario](opensearch-ui-endpoints-quotas.md)
# Historial de versiones de la interfaz de usuario de Amazon OpenSearch Service
En la siguiente tabla se enumeran todas las versiones del soporte de Amazon OpenSearch Service para la OpenSearch interfaz de usuario y las funciones y mejoras incluidas en cada versión.
| Cambio | Fecha de publicación | Description (Descripción) |
| --- | --- | --- |
| Nueva característica | 10/03/2020 | OpenSearch La interfaz de usuario ahora admite el acceso a los datos de varios dominios entre cuentas. OpenSearch Puede configurar las aplicaciones de una cuenta para acceder a los dominios de diferentes cuentas mediante IAM o AWS IAM Identity Center autenticación, tanto para dominios públicos como de VPC. Para obtener más información, consulte [Acceso a datos multicuenta a dominios OpenSearch](application-cross-account-data-access-domains.md). |
| Nueva característica | 29 de diciembre de 2025 | OpenSearch La interfaz de usuario ahora admite claves administradas por el cliente (CMK) para cifrar los metadatos de las aplicaciones. Esta función le ayuda a cumplir los requisitos normativos y de conformidad al proporcionarle un control total sobre las claves de cifrado. Este lanzamiento también aumenta el límite de tamaño de los metadatos de los objetos guardados en la OpenSearch interfaz de usuario, lo que permite crear y almacenar consultas complejas, visualizaciones extensas y espacios de trabajo a gran escala. Para obtener más información, consulte [Cifrar los metadatos de las aplicaciones de OpenSearch interfaz de usuario con claves administradas por el cliente](application-encryption-cmk.md). |
| Nueva característica | 16 de abril de 2025 | OpenSearch [La interfaz de usuario ahora funciona con la búsqueda entre clústeres.](cross-cluster-search.md) Esto te permite usar la OpenSearch interfaz de usuario en uno para acceder Región de AWS a los clústeres de una región diferente. Esto se hace configurándolo como un clúster remoto conectado a un clúster de la misma región. Para obtener más información, consulte [Búsqueda en clústeres](application-cross-cluster-search.md). |
| Nueva característica | 31-03-2021 | Amazon Q Developer ya está disponible de forma general en Amazon OpenSearch Service. Para obtener información, consulte [Asistente de IA para Amazon OpenSearch Service](AI-assistant-support.md). |
| Nueva característica | 05-02-05 | La federación del lenguaje de marcado de aserciones de seguridad 2.0 (SAML) mediante la federación AWS Identity and Access Management (IAM) ahora funciona con la interfaz de usuario. OpenSearch Esto permite crear una experiencia de inicio de sesión único (SSO) iniciada por un proveedor de identidad para los usuarios finales. Para obtener más información, consulte [Habilitar la federación de SAML con AWS Identity and Access Management](application-enable-SAML-identity-federation.md). |
| Nueva integración | 01 de diciembre de 2022 | La integración de Zero-ETL con Amazon CloudWatch simplifica el análisis y la visualización de los datos de registro, lo que reduce los gastos técnicos y operativos. Para obtener más información, consulte [New Amazon CloudWatch y Amazon OpenSearch Service lanzan una experiencia de análisis integrada](https://aws.amazon.com/blogs/aws/new-amazon-cloudwatch-and-amazon-opensearch-service-launch-an-integrated-analytics-experience/) en el *blog de AWS noticias*. |
| Nueva integración | 01/12/2020 | La integración sin ETL con Amazon Security Lake permite a las organizaciones buscar, analizar y obtener información procesable a partir de sus datos de seguridad de manera eficiente. Para obtener más información, consulte [Introducción a la integración de Amazon OpenSearch Service y Amazon Security Lake para simplificar el análisis de seguridad](https://aws.amazon.com/blogs/aws/introducing-amazon-opensearch-service-zero-etl-integration-for-amazon-security-lake/) en el *blog de AWS noticias*. |
| Versión inicial | 07-11-2020 | La versión pública inicial de UI. OpenSearch Para obtener más información, consulta [Amazon OpenSearch Service lanza la OpenSearch interfaz de usuario de próxima generación](https://aws.amazon.com/blogs/big-data/amazon-opensearch-service-launches-the-next-generation-opensearch-ui/) en el *blog sobre AWS macrodatos*. |
# Introducción a la interfaz OpenSearch de usuario de Amazon OpenSearch Service
En Amazon OpenSearch Service, una *aplicación* es una instancia de la interfaz de OpenSearch usuario (OpenSearch UI). Cada aplicación se puede asociar a varios orígenes de datos y un solo origen se puede asociar a varias aplicaciones. Puede crear varias aplicaciones para distintos administradores mediante diferentes opciones de autenticación compatibles.
Utilice la información de este tema como guía en el proceso de creación de una aplicación de OpenSearch interfaz de usuario mediante el Consola de administración de AWS o el AWS CLI.
**Topics**
+ [Permisos necesarios para crear aplicaciones OpenSearch de Amazon Service](#application-prerequisite-permissions)
+ [Crear una aplicación de interfaz de usuario OpenSearch](#create-application)
+ [Administrar los administradores de aplicaciones](#managing-application-administrators)
## Permisos necesarios para crear aplicaciones OpenSearch de Amazon Service
Antes de crear una aplicación, compruebe que se le han concedido los permisos necesarios para la tarea. Si es necesario, póngase en contacto con un administrador de cuentas para obtener ayuda.
### Permisos generales
Para trabajar con las aplicaciones de OpenSearch Service, necesitas los permisos que se muestran en la siguiente política. Los permisos sirven para los siguientes propósitos:
+ Los cinco permisos `es:*Application` son necesarios para crear y administrar una aplicación.
+ Los tres permisos `es:*Tags` son necesarios para agregar, enumerar y eliminar etiquetas de la aplicación.
+ Los permisos `aoss:BatchGetCollection`, `es:DescribeDomain` y `es:GetDirectQueryDataSource` son necesarios para asociar los orígenes de datos.
+ Los permisos `aoss:APIAccessAll`, `es:ESHttp*` y 4 `opensearch:*DirectQuery*` son necesarios para acceder a los orígenes de datos.
+ `iam:CreateServiceLinkedRole`Da permiso a Amazon OpenSearch Service para crear un rol vinculado a un servicio (SLR) en tu cuenta. Esta función se utiliza y permite que la aplicación de OpenSearch interfaz de usuario publique las CloudWatch métricas de Amazon en tu cuenta. Para obtener más información, consulte [Permisos](slr-aos.md#slr-permissions) en el tema [Uso de roles vinculados al servicio para crear dominios de VPC y orígenes de datos de consulta directa](slr-aos.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"es:CreateApplication",
"es:DeleteApplication",
"es:GetApplication",
"es:ListApplications",
"es:UpdateApplication",
"es:AddTags",
"es:ListTags",
"es:RemoveTags",
"aoss:APIAccessAll",
"es:ESHttp*",
"opensearch:StartDirectQuery",
"opensearch:GetDirectQuery",
"opensearch:CancelDirectQuery",
"opensearch:GetDirectQueryResult",
"aoss:BatchGetCollection",
"aoss:ListCollections",
"es:DescribeDomain",
"es:DescribeDomains",
"es:ListDomainNames",
"es:GetDirectQueryDataSource",
"es:ListDirectQueryDataSources"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService"
}
]
}
```
------
### Permisos para crear una aplicación que utilice la autenticación del Centro de identidades de IAM (opcional)
De forma predeterminada, las aplicaciones del panel de control se autentican mediante AWS Identity and Access Management (IAM) para gestionar los permisos de los usuarios de los AWS recursos. Sin embargo, puede optar por ofrecer una experiencia de inicio de sesión único mediante el Centro de identidad de IAM, que le permite utilizar sus proveedores de identidad actuales para iniciar sesión en las aplicaciones de interfaz de usuario. OpenSearch En este caso, seleccionará la opción **Autenticación con el Centro de Identidad de IAM** en el procedimiento que aparece más adelante en este tema y, a continuación, concederá a los usuarios del Centro de Identidad de IAM los permisos necesarios para acceder a la aplicación de interfaz de usuario.) OpenSearch
Para crear una aplicación que utilice la autenticación del Centro de identidades de IAM, necesitará los siguientes permisos. Sustituya *placeholder values* por su propia información. Si es necesario, póngase en contacto con un administrador de cuentas para obtener ayuda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IDCPermissions",
"Effect": "Allow",
"Action": [
"es:CreateApplication",
"es:DeleteApplication",
"es:GetApplication",
"es:ListApplications",
"es:UpdateApplication",
"es:AddTags",
"es:ListTags",
"es:RemoveTags",
"aoss:BatchGetCollection",
"aoss:ListCollections",
"es:DescribeDomain",
"es:DescribeDomains",
"es:ListDomainNames",
"es:GetDirectQueryDataSource",
"es:ListDirectQueryDataSources",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:PutApplicationGrant",
"sso:PutApplicationAccessScope",
"sso:PutApplicationAuthenticationMethod",
"sso:ListInstances",
"sso:DescribeApplicationAssignment",
"sso:DescribeApplication",
"sso:CreateApplicationAssignment",
"sso:ListApplicationAssignments",
"sso:DeleteApplicationAssignment",
"sso-directory:SearchGroups",
"sso-directory:SearchUsers",
"sso:ListDirectoryAssociations",
"identitystore:DescribeUser",
"identitystore:DescribeGroup",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "SLRPermission",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService"
},
{
"Sid": "PassRolePermission",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/iam-role-for-identity-center"
}
]
}
```
------
## Crear una aplicación de interfaz de usuario OpenSearch
Cree una aplicación que especifique el nombre de la aplicación, el método de autenticación y los administradores mediante uno de los siguientes procedimientos.
**Topics**
+ [Crear una aplicación de OpenSearch interfaz de usuario que utilice la autenticación de IAM en la consola](#create-application-iam-authentication-console)
+ [Crear una aplicación de OpenSearch interfaz de usuario que utilice la AWS IAM Identity Center autenticación en la consola](#create-application-iam-identity-center-authentication-console)
+ [Crear una aplicación de OpenSearch interfaz de usuario que utilice la AWS IAM Identity Center autenticación mediante el AWS CLI](#create-application-iam-identity-center-authentication-cli)
### Crear una aplicación de OpenSearch interfaz de usuario que utilice la autenticación de IAM en la consola
**Para crear una aplicación de OpenSearch interfaz de usuario que utilice la autenticación de IAM en la consola**
1. Inicia sesión en la consola OpenSearch de Amazon Service desde [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home).
1. En el panel de navegación izquierdo, selecciona **OpenSearch UI (paneles).**
1. Elija **Creación de aplicación**.
1. En **Nombre de la aplicación**, especifique un nombre para su aplicación.
1. No active la casilla de verificación **Autenticación con el Centro de identidades de IAM**. Para obtener información sobre cómo crear una aplicación con autenticación mediante autenticación AWS IAM Identity Center, consulte [Crear una aplicación de OpenSearch interfaz de usuario que utilice la AWS IAM Identity Center autenticación en la consola](#create-application-iam-identity-center-authentication-console) más adelante en este tema.
1. (Opcional) Se lo agrega automáticamente como administrador de la aplicación que está creando. En el área de **administración de administradores de OpenSearch aplicaciones**, puede conceder permisos de administrador a otros usuarios.
**nota**
El rol de administrador de la aplicación de OpenSearch interfaz de usuario otorga permisos para editar y eliminar una aplicación de OpenSearch interfaz de usuario. Los administradores de aplicaciones también pueden crear, editar y eliminar espacios de trabajo en una aplicación de OpenSearch interfaz de usuario.
Para conceder permisos de administrador a otros usuarios, elija una de las siguientes opciones:
+ **Otorgue el permiso de administrador a usuarios específicos**: en el campo de **administradores de la OpenSearch aplicación**, en la lista emergente **Propiedades**, seleccione usuarios de **IAM** o
**AWS IAM Identity Center usuarios** y, a continuación, elija los usuarios individuales a los que va a conceder los permisos de administrador.
+ **Otorgue permisos de administrador a todos los usuarios**: todos los usuarios de su organización o cuenta tienen permisos de administrador.
1. (Opcional) Configure los ajustes de cifrado. De forma predeterminada, los metadatos de la OpenSearch interfaz de usuario se cifran con las claves AWS propias. Para utilizar su propia clave gestionada por el cliente (CMK) para el cifrado, consulte[Cifrar los metadatos de las aplicaciones de OpenSearch interfaz de usuario con claves administradas por el cliente](application-encryption-cmk.md).
1. (Opcional) En el área **Etiquetas**, aplique uno o más name/value pares de claves de etiquetas a la aplicación.
Las etiquetas son metadatos opcionales que usted asigna a un recurso. Las etiquetas permiten clasificar los recursos de diversas maneras, por ejemplo, según la finalidad, el propietario o el entorno.
1. Seleccione **Crear**.
### Crear una aplicación de OpenSearch interfaz de usuario que utilice la AWS IAM Identity Center autenticación en la consola
Para crear una aplicación de OpenSearch interfaz de usuario que utilice la AWS IAM Identity Center autenticación, debe tener los permisos de IAM descritos anteriormente en este tema en[Permisos para crear una aplicación que utilice la autenticación del Centro de identidades de IAM (opcional)](#prerequisite-permissions-idc).
**Para crear una aplicación de OpenSearch interfaz de usuario que utilice la AWS IAM Identity Center autenticación en la consola**
1. Inicia sesión en la consola OpenSearch de Amazon Service desde [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home).
1. En el panel de navegación izquierdo, selecciona **OpenSearch UI (paneles).**
1. Elija **Creación de aplicación**.
1. En **Nombre de la aplicación**, especifique un nombre para su aplicación.
1. (Opcional) Para habilitar el inicio de sesión único en su organización o cuenta, haga lo siguiente:
1. Seleccione la casilla **Autenticación con el Centro de identidades de IAM**, como se muestra en la siguiente imagen:
![\[El área “Autenticación con inicio de sesión único” con la casilla “Autenticación con el Centro de identidades de IAM” seleccionada.\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/images/ui-Single-sign-on-authentication.png)
1. Realice una de las siguientes acciones:
+ En la lista de **aplicaciones de IAM para Identity Center**, elija una función de IAM existente que proporcione los permisos necesarios para que IAM Identity Center acceda a la OpenSearch interfaz de usuario y a las fuentes de datos asociadas. Consulte las políticas en el siguiente punto para ver los permisos que debe tener el rol.
+ Creación de un rol de IAM con los permisos necesarios. Utilice los siguientes procedimientos de la *Guía del usuario de IAM* con las opciones especificadas para crear un nuevo rol y con la política de permisos y la política de confianza necesarias.
+ Procedimiento: [Creación de políticas de IAM (consola)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/access_policies_create-console.html)
Siguiendo los pasos de este procedimiento, pegue la siguiente política en el campo **JSON** del editor de políticas:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IdentityStoreOpenSearchDomainConnectivity",
"Effect": "Allow",
"Action": [
"identitystore:DescribeUser",
"identitystore:ListGroupMembershipsForMember",
"identitystore:DescribeGroup"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledViaLast": "es.amazonaws.com"
}
}
},
{
"Sid": "OpenSearchDomain",
"Effect": "Allow",
"Action": [
"es:ESHttp*"
],
"Resource": "*"
},
{
"Sid": "OpenSearchServerless",
"Effect": "Allow",
"Action": [
"aoss:APIAccessAll"
],
"Resource": "*"
}
]
}
```
------
+ Procedimiento: [Cree un rol mediante políticas de confianza personalizadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html)
Siguiendo los pasos de este procedimiento, reemplace el marcador de posición JSON del cuadro **Política de confianza personalizada** con lo siguiente:
**sugerencia**
Si va a agregar la política de confianza a un rol existente, agregue la política en la pestaña **Relación de confianza** del rol.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "application.opensearchservice.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Effect": "Allow",
"Principal": {
"Service": "application.opensearchservice.amazonaws.com"
},
"Action": "sts:SetContext",
"Condition": {
"ForAllValues:ArnEquals": {
"sts:RequestContextProviders": "arn:aws:iam::123456789012:oidc-provider/portal.sso.us-east-1.amazonaws.com/apl/application-id"
}
}
}
]
}
```
------
1. Si ya se ha creado una instancia de IAM Identity Center en su organización o cuenta, la consola informa de que Amazon OpenSearch Dashboards ya está conectado a una instancia de organización de IAM Identity Center, como se muestra en la siguiente imagen.
![\[El área «Amazon OpenSearch Dashboard conectado a una instancia de cuenta de IAM Identity Center» muestra la URL de la instancia de cuenta de IAM Identity Center existente.\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/images/ui-connected-instance.png)
Si el Centro de Identidad de IAM aún no está disponible en su organización o cuenta, usted o un administrador con los permisos necesarios pueden crear una instancia de organización o de cuenta. El área **Connect Amazon OpenSearch Dashboards to IAM Identity Center** ofrece opciones para ambos, como se muestra en la siguiente imagen:
![\[El área «Connect Amazon OpenSearch Dashboards to IAM Identity Center» incluye botones para crear una instancia de organización o una instancia de cuenta.\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/images/ui-no-connected-instance.png)
En este caso, puede crear una instancia de cuenta en el Centro de Identidad de IAM para realizar pruebas o solicitar que un administrador cree una instancia de organización en el Centro de Identidad de IAM. Para obtener más información, consulte los siguientes temas en la *Guía del usuario de AWS IAM Identity Center *:
**nota**
Si desea crear aplicaciones de OpenSearch interfaz de usuario en una instancia organizativa diferente a la Región de AWS de su IAM Identity Center, consulte [Uso del IAM Identity](https://docs.aws.amazon.com/singlesignon/latest/userguide/multi-region-iam-identity-center.html) Center en múltiples instancias. Regiones de AWS
+ [Instancias de organización del IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/organization-instances-identity-center.html)
+ [Instancias de cuenta de IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/account-instances-identity-center.html)
+ [Habilitado AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html)
1. (Opcional) Se lo agrega automáticamente como administrador de la aplicación que está creando. En el área de **administración de administradores de OpenSearch aplicaciones**, puede conceder permisos de administrador a otros usuarios, como se muestra en la siguiente imagen:
![\[El área de «administración de administradores de OpenSearch aplicaciones» ofrece opciones para conceder permisos de administrador a determinados usuarios o a todos los usuarios.\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/images/ui-admins-management.png)
**nota**
El rol de administrador de aplicaciones de OpenSearch interfaz de usuario otorga permisos para editar y eliminar una aplicación de OpenSearch interfaz de usuario. Los administradores de aplicaciones también pueden crear, editar y eliminar espacios de trabajo en una aplicación de OpenSearch interfaz de usuario.
Para conceder permisos de administrador a otros usuarios, elija una de las siguientes opciones:
+ **Otorgue el permiso de administrador a usuarios específicos**: en el campo de **administradores de la OpenSearch aplicación**, en la lista emergente **Propiedades**, seleccione usuarios de **IAM** o
**AWS IAM Identity Center usuarios** y, a continuación, elija los usuarios individuales a los que va a conceder los permisos de administrador.
+ **Otorgue permisos de administrador a todos los usuarios**: todos los usuarios de su organización o cuenta tienen permisos de administrador.
1. (Opcional) En el área **Etiquetas**, aplique uno o más name/value pares de claves de etiquetas a la aplicación.
Las etiquetas son metadatos opcionales que usted asigna a un recurso. Las etiquetas permiten clasificar los recursos de diversas maneras, por ejemplo, según la finalidad, el propietario o el entorno.
1. Seleccione **Crear**.
### Crear una aplicación de OpenSearch interfaz de usuario que utilice la AWS IAM Identity Center autenticación mediante el AWS CLI
Para crear una aplicación de OpenSearch interfaz de usuario que utilice la AWS IAM Identity Center autenticación mediante el AWS CLI, utilice el comando [create-application](https://docs.aws.amazon.com/cli/latest/reference/opensearch/create-application.html) con las siguientes opciones:
+ `--name`: nombre de la aplicación.
+ `--iam-identity-center-options`— (Opcional) La instancia del IAM Identity Center y el rol de IAM que OpenSearch se utilizará para la autenticación y el control de acceso.
Sustituya *placeholder values* por su propia información.
```
aws opensearch create-application \
--name application-name \
--iam-identity-center-options "
{
\"enabled\":true,
\"iamIdentityCenterInstanceArn\":\"arn:aws:sso:::instance/sso-instance\",
\"iamRoleForIdentityCenterApplicationArn\":\"arn:aws:iam::account-id:role/role-name\"
}
"
```
## Administrar los administradores de aplicaciones
Un administrador de aplicaciones de OpenSearch interfaz de usuario es un rol definido con permiso para editar y eliminar una aplicación de OpenSearch interfaz de usuario.
De forma predeterminada, como creador de una aplicación de OpenSearch interfaz de usuario, usted es el primer administrador de la aplicación de OpenSearch interfaz de usuario.
### Administrar los administradores de la OpenSearch interfaz de usuario mediante la consola
Puede añadir administradores adicionales a una aplicación de OpenSearch interfaz de usuario en la Consola de administración de AWS, ya sea durante el flujo de trabajo de creación de la aplicación o en la página de **edición** una vez creada la aplicación.
La función de administrador de aplicaciones de OpenSearch interfaz de usuario otorga permisos para editar y eliminar una aplicación de OpenSearch interfaz de usuario. Los administradores de aplicaciones también pueden crear, editar y eliminar espacios de trabajo en una aplicación de OpenSearch interfaz de usuario.
En la página de detalles de la aplicación, puede buscar el nombre de recurso de Amazon (ARN) de una entidad principal de IAM o el nombre de un usuario del Centro de Identidad de IAM.
**Para gestionar los administradores de la OpenSearch interfaz de usuario mediante la consola**
1. Inicia sesión en la consola OpenSearch de Amazon Service desde [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home).
1. En el panel de navegación izquierdo, selecciona **OpenSearch UI (paneles).**
1. En el área de **OpenSearch aplicaciones**, elija el nombre de una aplicación existente.
1. Elija **Editar**
1. Para conceder permisos de administrador a otros usuarios, elija una de las siguientes opciones:
+ **Otorgue el permiso de administrador a usuarios específicos**: en el campo de **administradores de la OpenSearch aplicación**, en la lista emergente **Propiedades**, seleccione usuarios de **IAM** o
**AWS IAM Identity Center usuarios** y, a continuación, elija los usuarios individuales a los que va a conceder los permisos de administrador.
+ **Otorgue permisos de administrador a todos los usuarios**: todos los usuarios de su organización o cuenta tienen permisos de administrador.
1. Elija **Actualizar**.
Puede eliminar administradores adicionales, pero cada aplicación de OpenSearch interfaz de usuario debe tener al menos un administrador.
### Administrar los administradores OpenSearch de la interfaz de usuario mediante el AWS CLI
Puede crear y actualizar los administradores de aplicaciones de OpenSearch interfaz de usuario mediante el AWS CLI.
#### Crear administradores OpenSearch de interfaz de usuario mediante el AWS CLI
Los siguientes son ejemplos de cómo agregar directores de IAM y usuarios del Centro de Identidad de IAM como administradores al crear una OpenSearch aplicación de interfaz de usuario.
##### Ejemplo 1: Crear una aplicación de OpenSearch interfaz de usuario que añada un usuario de IAM como administrador
Ejecute el siguiente comando para crear una aplicación de OpenSearch interfaz de usuario que añada un usuario de IAM como administrador. Sustituya *placeholder values* por su propia información.
```
aws opensearch create-application \
--name application-name \
--app-configs "
{
\"key\":\"opensearchDashboards.dashboardAdmin.users\",
\"value\":\"arn:aws:iam::account-id:user/user-id\"
}
"
```
##### Ejemplo 2: Cree una aplicación de OpenSearch interfaz de usuario que habilite el IAM Identity Center y añada un ID de usuario del IAM Identity Center como administrador OpenSearch de la aplicación de interfaz de usuario
Ejecute el siguiente comando para crear una aplicación de OpenSearch interfaz de usuario que habilite el IAM Identity Center y añada un ID de usuario del IAM Identity Center como administrador OpenSearch de la aplicación de interfaz de usuario. Sustituya *placeholder values* por su propia información.
`key`especifica el elemento de configuración que se va a establecer, como la función de administrador de la aplicación de OpenSearch interfaz de usuario. Los valores válidos son `opensearchDashboards.dashboardAdmin.users` y `opensearchDashboards.dashboardAdmin.groups`.
*xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx*representa el valor asignado a la clave, como el nombre de recurso de Amazon (ARN) de un usuario de IAM.
```
aws opensearch create-application \
--name myapplication \
--iam-identity-center-options "
{
\"enabled\":true,
\"iamIdentityCenterInstanceArn\":\"arn:aws:sso:::instance/ssoins-instance-id\",
\"iamRoleForIdentityCenterApplicationArn\":\"arn:aws:iam::account-id:role/role-name\"
}
" \
--app-configs "
{
\"key\":\"opensearchDashboards.dashboardAdmin.users\",
\"value\":\"xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx\"
}
"
```
#### Actualización de los administradores de la OpenSearch interfaz de usuario mediante el AWS CLI
A continuación se muestran ejemplos de cómo actualizar los directores de IAM y los usuarios del Centro de Identidad de IAM asignados como administradores de una aplicación existente. OpenSearch
##### Ejemplo 1: Añadir un usuario de IAM como administrador de una aplicación existente OpenSearch
Ejecute el siguiente comando para actualizar una aplicación de OpenSearch interfaz de usuario y añadir un usuario de IAM como administrador. Sustituya *placeholder values* por su propia información.
```
aws opensearch update-application \
--id myapplication \
--app-configs "
{
\"key\":\"opensearchDashboards.dashboardAdmin.users\",
\"value\":\"arn:aws:iam::account-id:user/user-id\"
}
"
```
##### Ejemplo 2: Actualizar una aplicación de OpenSearch interfaz de usuario para añadir un ID de usuario del IAM Identity Center como administrador de la aplicación de OpenSearch interfaz de usuario
Ejecute el siguiente comando para actualizar una aplicación de OpenSearch interfaz de usuario y añadir un ID de usuario del IAM Identity Center como administrador de la aplicación de OpenSearch interfaz de usuario. Sustituya *placeholder values* por su propia información.
`key`especifica el elemento de configuración que se va a establecer, como la función de administrador de la aplicación de OpenSearch interfaz de usuario. Los valores válidos son `opensearchDashboards.dashboardAdmin.users` y `opensearchDashboards.dashboardAdmin.groups`.
*xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx*representa el valor asignado a la clave, como el nombre de recurso de Amazon (ARN) de un usuario de IAM.
```
aws opensearch update-application \
--id myapplication \
--app-configs "
{
\"key\":\"opensearchDashboards.dashboardAdmin.users\",
\"value\":\"xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx\"
}
"
```
# La IA de la agencia en Amazon Service OpenSearch
OpenSearch La interfaz de usuario incluye un conjunto de capacidades de inteligencia artificial de los agentes diseñadas para simplificar el análisis operativo y acelerar la investigación de incidentes para sus equipos de ingeniería y soporte.
En cada página de su aplicación de OpenSearch interfaz de usuario, pulse el botón **Preguntar a AI** para abrir Agentic Chat. Agentic Chat entiende el contexto de la página que estás viendo, utiliza las herramientas de la agencia para analizar los datos subyacentes, actualiza las consultas para mostrar los resultados en Discover y responde a tus preguntas con claridad y precisión. Cuando un análisis complejo de la causa raíz requiere una investigación más profunda, puede hacer que el agente investigador planifique, ejecute y reflexione de forma autónoma a través de un flujo de trabajo de varios pasos, ofreciendo hipótesis estructuradas respaldadas por datos probatorios. La memoria de agente se basa en la memoria de agente, una capa de memoria que conserva el contexto de la conversación o la investigación para que pueda seguir formulando preguntas de seguimiento con el mismo contexto coherente en las distintas sesiones web.
![\[La página Discover de la OpenSearch interfaz de usuario muestra a Agentic Chat generando una consulta PPL a partir de la entrada en lenguaje natural «busca todas las solicitudes con una latencia superior a 10 segundos», mientras que el panel Ask AI muestra la explicación de la consulta y un botón para iniciar una investigación.\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/images/agentic-chat-discover-ppl.png)
## Capacidades clave
+ **Agentic Chat**: integrado en la función Ask AI de todas las páginas de la OpenSearch interfaz de usuario, Agentic Chat entiende tu contexto actual y utiliza herramientas para analizar los datos y responder mejor a tus preguntas. En Discover, introduce un lenguaje natural en la interfaz del chat para generar e iterar consultas en lenguaje de procesamiento canalizado (PPL), de forma que no tengas que ser un experto en PPL para obtener información útil. También puede iniciar conversaciones directamente desde las visualizaciones, con las que Agentic Chat puede identificar anomalías en sus gráficos, correlacionarlas con los datos subyacentes y generar análisis. Cuando sea necesario realizar un análisis complejo de la causa raíz, utilice el comando de `/investigate` barra diagonal para lanzar el agente de investigación en función de la conversación en curso o siguiendo nuevas instrucciones.
+ **Agente de investigación**: un agente de investigación profunda con objetivos que se activa escribiendo `/investigate` en el chat o pulsando el botón **Iniciar investigación** en las páginas de características. Introduce un objetivo de investigación, como «encontrar la causa raíz de este pico de latencia». El agente de investigación planifica de forma autónoma utilizando sus datos y el objetivo establecido, ejecuta las consultas y los análisis y reflexiona mediante un flujo de trabajo de varios pasos. Cuando la investigación se completa, normalmente en cuestión de minutos, genera hipótesis estructuradas clasificadas por probabilidad, cada una de las cuales está respaldada por datos probatorios. Proporciona total transparencia en cada paso de su razonamiento, de modo que puede verificar los resultados y confiar en ellos.
+ Memoria **agencial: capa de memoria** gestionada por un servicio que conserva el contexto de la conversación o la investigación para que pueda seguir haciendo preguntas o investigando en un contexto coherente. La memoria de Agentic permite que tanto Agentic Chat como el agente de investigación mantengan la continuidad durante una sesión.
## Límites de precio y uso
Las funciones de inteligencia artificial de los agentes son de uso gratuito. Se aplican límites de uso basados en fichas por cuenta para evitar el abuso.
Las funciones de IA de los agentes utilizan un modelo básico en Amazon Bedrock. Todas las configuraciones de seguridad y gobierno de datos de Amazon Bedrock se aplican a las funciones de IA de los agentes. Para obtener más información, consulte [Protección de datos en Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/userguide/data-protection.html).
## Seguridad
Las funciones de inteligencia artificial de los agentes funcionan dentro de su marco de seguridad actual y no eluden ni anulan ningún control de acceso configurado. Cuando interactúas con Agentic Chat o lanzas un agente de investigación, las funciones de IA se autentican con tus credenciales actuales de IAM o del IAM Identity Center y heredan todos los permisos asociados. El asistente de IA solo puede consultar fuentes de datos, índices y visualizaciones a las que ya tengas acceso explícito a través de tus políticas actuales de control de acceso basado en roles (RBAC).
Si tu OpenSearch dominio implementa un control de acceso detallado con seguridad a nivel de campo o de documento, la IA respeta estas restricciones y no puede mostrar datos de campos o documentos restringidos que no estén dentro del ámbito de tus permisos. Del mismo modo, todas las consultas de PPL generadas por Agentic Chat o las recuperaciones de datos realizadas durante las investigaciones se ejecutan teniendo en cuenta el contexto del usuario, lo que garantiza que se sigan aplicando plenamente todas las políticas de seguridad configuradas.
Este modelo de herencia de permisos garantiza que la activación de las funciones de IA no cree nuevas vulnerabilidades de seguridad ni exija que los administradores gestionen estructuras de permisos independientes para las interacciones con la IA.
## Activación y desactivación de las funciones de IA de los agentes
Las funciones de IA de los agentes se activan automáticamente para las nuevas aplicaciones de OpenSearch interfaz de usuario y para las aplicaciones existentes, a menos que hayas desactivado explícitamente las funciones de IA en alguno de tus dominios. OpenSearch
Para activar o desactivar las funciones de IA, puedes utilizar la API Consola de administración de AWS o la siguiente:
+ **Consola**: dirígete a la página de detalles de la aplicación de OpenSearch interfaz de usuario y actualiza las funciones de IA desde allí.
![\[La página Administrar funciones del Asistente de IA de la consola muestra la casilla de verificación Activar la función de investigación de Chatbots y Agentic y el botón Actualizar.\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/images/agentic-ai-manage-features.png)
+ **API**: usa la [RegisterCapability](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_RegisterCapability.html)API para habilitar las funciones de IA o usa la [DeregisterCapability](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DeregisterCapability.html)API para deshabilitarlas.
## Disponibilidad por región
Las funciones de IA de los agentes están disponibles en las siguientes ubicaciones: Regiones de AWS
+ Asia-Pacífico (Tokio) ap-northeast-1
+ Asia-Pacífico (Sídney) ap-southeast-2
+ UE (Fráncfort) eu-central-1
+ UE (Estocolmo) eu-north-1
+ Europa (España): eu-south-2
+ UE (Irlanda) eu-west-1
+ EE. UU. Este (Norte de Virginia) us-east-1
+ EE. UU. Este (Ohio) us-east-2
+ EE. UU. Oeste (Oregón) us-west-2
**Topics**
+ [Capacidades clave](#application-ai-assistant-key-capabilities)
+ [Límites de precio y uso](#application-ai-assistant-pricing)
+ [Seguridad](#application-ai-assistant-security)
+ [Activación y desactivación de las funciones de IA de los agentes](#application-ai-assistant-enable-disable)
+ [Disponibilidad por región](#application-ai-assistant-regions)
+ [Agentic Chat en Amazon Service OpenSearch](application-agentic-chat.md)
+ [Agente de investigación en Amazon OpenSearch Service](application-investigation-agent.md)
+ [Memoria de agente en Amazon Service OpenSearch](application-agentic-memory.md)
# Agentic Chat en Amazon Service OpenSearch
Agentic Chat es un asistente de IA integrado en todas las páginas de la interfaz de usuario. OpenSearch Pulse el botón **Preguntar a AI** para abrir el panel de chat, donde podrá hacer preguntas sobre sus datos, generar consultas e iniciar investigaciones. Agentic Chat entiende el contexto de la página que estás viendo en Discover and Investigation y utiliza herramientas de agencia para analizar los datos subyacentes.
![\[La página Descubre de la OpenSearch interfaz de usuario con el botón Preguntar a AI resaltado en la esquina superior derecha.\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/images/agentic-chat-ask-ai-button.png)
Al abrir el panel de chat, Agentic Chat presenta opciones que le ayudarán a empezar: haga preguntas sobre sus datos, investigue un problema o explique un concepto. Si ya ha iniciado una conversación, permanecerá visible en el panel de chat mientras navega entre las páginas, para que pueda continuar donde la dejó. También puedes elegir el botón **Nuevo chat** en la esquina superior derecha para iniciar una nueva conversación.
![\[El panel de chat de Agentic muestra el mensaje de bienvenida del Asistente de IA con opciones para hacer preguntas sobre tus datos, investigar un problema o explicar un concepto.\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/images/agentic-chat-ask-ai-panel.png)
## Uso del chat de Agentic con Discover
En la página Discover de los espacios de trabajo de Observability, puede introducir un lenguaje natural en la interfaz de chat para generar consultas de PPL. Agentic Chat traduce sus preguntas a PPL, ejecuta la consulta y muestra los resultados directamente en la vista Discover. No necesita ser un experto en PPL para obtener información útil a partir de sus datos.
Para refinar una consulta generada, haz preguntas de seguimiento en lenguaje natural, como «agrega un filtro para el código de estado 500». Agentic Chat entiende el contexto de la consulta actual y la modifica en consecuencia. También puede solicitar que se ajusten las agregaciones, se cambien los intervalos de tiempo o se agreguen campos adicionales a los resultados. Cada iteración actualiza la vista Discover con los nuevos resultados de la consulta.
## Uso de Agentic Chat con visualizaciones
Puede iniciar una conversación con Agentic Chat directamente desde una visualización. Abra el menú contextual en un panel de visualización y elija **Preguntar a** AI. Agentic Chat analiza la visualización, identifica las anomalías en los gráficos, las correlaciona con los datos subyacentes y genera el análisis.
![\[Una visualización en la OpenSearch interfaz de usuario que muestra la opción Preguntar a AI en el menú contextual, con el panel de Agentic Chat analizando la visualización.\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/images/agentic-chat-visualization.png)
## Iniciar una investigación desde el chat
Cuando sea necesario realizar un análisis complejo de la causa raíz, puede iniciar el agente de investigación directamente desde Agentic Chat. Utilice el comando de `/investigate` barra diagonal en la entrada del chat o pulse el botón **Iniciar investigación** en las páginas de características.
Para obtener más información sobre el agente de investigación, consulte[Agente de investigación en Amazon OpenSearch Service](application-investigation-agent.md).
## Herramientas admitidas
Agentic Chat utiliza las siguientes herramientas para analizar sus datos y responder a las preguntas. Para ver la mayoría de up-to-date las herramientas disponibles, escriba «qué herramientas puede usar» en la interfaz del chat.
**Herramientas de interfaz**
Estas herramientas actualizan la OpenSearch interfaz de usuario:
+ `create_investigation`— Crea un nuevo cuaderno de investigación de la agencia con detalles como los objetivos, los síntomas, el índice y el rango temporal.
+ `execute_ppl_query`— Realiza consultas de PPL sobre el conjunto de datos actual y muestra los resultados en la página Discover.
+ `update_time_range`— Actualiza el filtro de intervalo de tiempo global de la página Discover actual (por ejemplo, «últimas 24 horas» o «la semana pasada»).
**Herramientas de back-end**
Estas herramientas interactúan directamente con OpenSearch los datos y APIs:
+ `SearchIndexTool`— Busca en un índice mediante consultas DSL.
+ `MsearchTool`— Ejecuta múltiples operaciones de búsqueda en una sola solicitud.
+ `CountTool`— Devuelve el número de documentos que coinciden con una consulta.
+ `ExplainTool`— Explica por qué un documento coincide o no con una consulta.
+ `ListIndexTool`— Muestra los índices del clúster con detalles opcionales.
+ `IndexMappingTool`— Recupera las asignaciones y la configuración de los índices.
+ `GetShardsTool`— Obtiene la información del fragmento de un índice.
+ `ClusterHealthTool`— Devuelve la información de salud del clúster.
+ `LogPatternAnalysisTool`— Analiza los patrones de registro, compara los intervalos de tiempo o realiza un análisis de secuencias de trazas.
+ `MetricChangeAnalysisTool`— Compara las distribuciones percentiles de los campos numéricos entre dos rangos de tiempo.
+ `DataDistributionTool`— Analiza las distribuciones de los valores de los campos en un rango de tiempo objetivo y, si lo desea, las compara con una línea base.
+ `GenericOpenSearchApiTool`— Una herramienta flexible para llamar directamente a cualquier punto final OpenSearch de la API.
# Agente de investigación en Amazon OpenSearch Service
El agente de investigación es un agente de investigación profunda orientado a objetivos en la OpenSearch interfaz de usuario que investiga de forma autónoma problemas complejos en tu nombre. Planifica el uso de tus datos y el objetivo establecido, ejecuta consultas y análisis, y reflexiona a través de un flujo de trabajo de varios pasos. Cuando la investigación se completa, normalmente en cuestión de minutos, genera hipótesis estructuradas clasificadas por probabilidad, cada una de las cuales está respaldada por datos probatorios. Proporciona total transparencia en cada paso de su razonamiento, de modo que puede verificar los resultados y confiar en ellos.
## ¿Iniciar una investigación
Puede iniciar una investigación de dos maneras:
+ Desde Discover, Visualization u otras páginas de funciones compatibles, pulse el botón **Iniciar investigación**. Aparece un cuadro de diálogo en el que puede introducir el objetivo de su investigación y seleccionar entre las plantillas sugeridas, como «Análisis de la causa raíz» o «Problemas de rendimiento».
+ En Agentic Chat, escribe el comando de `/investigate` barra diagonal en la entrada del chat con el objetivo de tu investigación.
![\[El cuadro de diálogo Iniciar investigación muestra un campo de texto para el objetivo de la investigación y plantillas sugeridas para solucionar las causas principales de los problemas analíticos y de rendimiento.\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/images/investigation-agent-start.png)
Para obtener más información sobre Agentic Chat, consulte. [Agentic Chat en Amazon Service OpenSearch](application-agentic-chat.md)
## Revisar los resultados de la investigación
Una vez finalizada la investigación, el agente investigador presenta una hipótesis principal con un nivel de confianza y pruebas que la respalden. La página de resultados muestra las medidas de investigación adoptadas, los hallazgos relevantes clasificados por importancia y las hipótesis alternativas.
![\[La página de resultados de la investigación muestra una hipótesis principal con las opciones de aceptar y descartar, los hallazgos relevantes clasificados por importancia e hipótesis alternativas.\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/images/investigation-agent-results.png)
Puedes revisar los resultados de cada hipótesis y, a continuación, elegir **Aceptar** para confirmar la hipótesis o **Descartar** para rechazarla. También están disponibles para su revisión hipótesis alternativas con menor probabilidad. Puede seleccionar cualquier hipótesis alternativa como conclusión final si se ajusta mejor a su evaluación.
## ¿Reinvestigando
Si los resultados de la investigación requieren más aclaraciones o si el agente investigador determina que los conjuntos de datos disponibles no pueden responder a la pregunta de la investigación, puede utilizar la opción Volver a **investigar** para ajustar y volver a ejecutar la investigación. Elija **Reinvestigar** para editar el objetivo inicial, ajustar el intervalo de tiempo y, si lo desea, incorporar las hipótesis y los hallazgos existentes a la nueva investigación.
![\[El cuadro de diálogo Volver a investigar el problema muestra opciones para editar el objetivo inicial, ajustar el intervalo de tiempo e incorporar las hipótesis y los hallazgos existentes a la nueva investigación.\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/images/investigation-agent-reinvestigate.png)
# Memoria de agente en Amazon Service OpenSearch
Agentic Memory es una capa de memoria gestionada por el servicio que impulsa a Agentic Chat y al agente de investigación. Conserva el contexto de tu conversación o investigación para que disfrutes de una experiencia uniforme en las diferentes páginas de funciones, pestañas del navegador y actualizaciones de páginas. Agentic Memory funciona automáticamente y no requiere ninguna configuración por parte del usuario.
Agentic Memory se basa en el marco de memoria del OpenSearch agente. El almacenamiento de memoria está aislado por el ID de usuario por motivos de privacidad.
## Protección de datos
Agentic Memory es de uso gratuito. Los datos de los clientes almacenados en Agentic Memory se cifran con una clave gestionada por el servicio. Si ha activado el cifrado con clave gestionada por el cliente (CMK) para su aplicación de OpenSearch interfaz de usuario, los datos de memoria se cifrarán con su CMK en su lugar. La memoria se almacena en una colección Amazon OpenSearch Serverless gestionada por un servicio.
Para obtener más información sobre el cifrado CMK, consulte. [Cifrar los metadatos de las aplicaciones de OpenSearch interfaz de usuario con claves administradas por el cliente](application-encryption-cmk.md)
## Limitaciones
La memoria de agente no puede retener el contexto en diferentes hilos de conversación.
# Cifrar los metadatos de las aplicaciones de OpenSearch interfaz de usuario con claves administradas por el cliente
Los activos visuales y las configuraciones se almacenan como metadatos para sus aplicaciones de OpenSearch interfaz de usuario. Esto incluye consultas, visualizaciones y paneles guardados. Los datos de las fuentes de datos asociadas no se almacenan en los metadatos. Para obtener información sobre el cifrado de datos en sus fuentes de datos, consulte [Protección de datos en Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/data-protection.html) para OpenSearch dominios y [Cifrado en Amazon OpenSearch Serverless para colecciones sin](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-encryption.html) servidor.
Los metadatos de la OpenSearch interfaz de usuario están protegidos con cifrado en reposo. Esto evita el acceso no autorizado. El cifrado utiliza AWS Key Management Service (AWS KMS) para almacenar y gestionar las claves de cifrado. De forma predeterminada, los metadatos de la OpenSearch interfaz de usuario se cifran con las claves AWS propias.
También puedes usar la función de clave administrada por el cliente (CMK) para administrar tus propias claves de cifrado. Esto le ayuda a cumplir con los requisitos normativos y de conformidad. Para usar CMK, debe crear una nueva aplicación de OpenSearch interfaz de usuario y habilitar CMK en el proceso de creación. Actualmente, no se admite la actualización de una aplicación de OpenSearch interfaz de usuario existente desde una clave propia AWS a CMK.
Cuándo usar las claves administradas por el cliente:
+ Su organización tiene requisitos de conformidad normativa para la gestión de claves
+ Necesita registros de auditoría para el uso de las claves de cifrado
+ Desea controlar los horarios de rotación de claves
+ Debe integrarse con los flujos de trabajo de administración de claves existentes
Cuando utiliza una clave gestionada por el cliente, tiene el control total sobre la clave. Esto incluye la capacidad de:
+ Establecer y mantener políticas de claves.
+ Establecer y mantener políticas y concesiones de IAM.
+ Activar y desactivar la clave
+ Gire el material criptográfico de la clave
+ Añada etiquetas a la clave
+ Crear alias de claves.
+ Programa la eliminación de la clave
**nota**
La clave gestionada por el cliente debe estar en el mismo lugar Región de AWS que la aplicación de OpenSearch interfaz de usuario. No puede usar una clave de una región diferente.
**Topics**
+ [Requisitos previos para usar claves administradas por el cliente](#application-encryption-cmk-prerequisites)
+ [Creación de una aplicación con cifrado de claves gestionado por el cliente mediante la consola](#application-encryption-cmk-create-console)
+ [Crear una aplicación con cifrado de clave gestionado por el cliente mediante AWS CLI](#application-encryption-cmk-create-cli)
+ [Supervisión del uso de claves gestionadas por el cliente](#application-encryption-cmk-monitoring)
+ [Actualización de la configuración de cifrado](#application-encryption-cmk-update)
## Requisitos previos para usar claves administradas por el cliente
Antes de poder utilizar una clave gestionada por el cliente para cifrar los metadatos de la aplicación de OpenSearch interfaz de usuario, debe crear una clave de cifrado simétrica. AWS KMS Para obtener instrucciones sobre cómo crear claves, consulte [Creación de claves](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) en la Guía *AWS KMS para desarrolladores*.
La política de claves de la clave gestionada por el cliente debe conceder a la OpenSearch interfaz de usuario el permiso para utilizarla. Utilice la siguiente política clave, sustituyéndola *placeholder values* por su propia información:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowOpenSearchUIToUseKey",
"Effect": "Allow",
"Principal": {
"Service": [
"application.opensearchservice.amazonaws.com"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "AllowKeyAdministration",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account-id:root"
},
"Action": "kms:*",
"Resource": "*"
}
]
}
```
La política incluye dos instrucciones:
+ La primera sentencia permite a OpenSearch UI utilizar la clave para las operaciones de cifrado.
+ La segunda sentencia permite Cuenta de AWS a sus usuarios administrar la clave. Esto incluye los permisos para actualizar la política de claves, habilitar o deshabilitar la clave y programar su eliminación. Puede restringir aún más estos permisos sustituyendo el principal raíz por usuarios o roles específicos de IAM.
Para obtener más información sobre las políticas clave, consulte [Uso de políticas clave AWS KMS en](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) la *Guía para AWS KMS desarrolladores*.
## Creación de una aplicación con cifrado de claves gestionado por el cliente mediante la consola
Al crear una aplicación de OpenSearch interfaz de usuario en la consola, puede especificar una clave gestionada por el cliente para cifrar los metadatos de la aplicación.
**Para crear una aplicación de OpenSearch interfaz de usuario con cifrado de claves gestionado por el cliente mediante la consola**
1. Inicia sesión en la consola OpenSearch de Amazon Service desde [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home).
1. En el panel de navegación izquierdo, selecciona **OpenSearch UI (paneles).**
1. Elija **Creación de aplicación**.
1. En **Nombre de la aplicación**, especifique un nombre para su aplicación.
1. Configure los ajustes de autenticación y administración según sea necesario. Para obtener más información, consulte [Introducción a la interfaz OpenSearch de usuario de Amazon OpenSearch Service](application-getting-started.md).
1. En la sección **Cifrado**, **en Cifrado en reposo**, selecciona **Usar clave administrada por el cliente**.
1. Selecciona una clave gestionada por el cliente existente de la lista o selecciona **Crear una clave** para crear una clave nueva AWS KMS.
**nota**
La clave debe estar en la Región de AWS misma forma que la aplicación que está creando.
1. (Opcional) Añada etiquetas a la aplicación.
1. Seleccione **Crear**.
## Crear una aplicación con cifrado de clave gestionado por el cliente mediante AWS CLI
Para crear una aplicación de OpenSearch interfaz de usuario con un cifrado de clave gestionado por el AWS CLI cliente mediante el comando [create-application](https://docs.aws.amazon.com/cli/latest/reference/opensearch/create-application.html) con el `--kms-key-arn` parámetro.
Sustituya *placeholder values* por su propia información.
```
aws opensearch create-application \
--name my-application \
--kms-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
```
Si no especificas el `--kms-key-arn` parámetro, OpenSearch utiliza una clave AWS administrada para cifrar los metadatos de la aplicación.
## Supervisión del uso de claves gestionadas por el cliente
Cuando utilizas una clave gestionada por el cliente con una aplicación de OpenSearch interfaz de usuario, AWS KMS registra cada uso de la clave en AWS CloudTrail los registros. Puedes usar estos registros para monitorear cómo y cuándo se usa tu clave. Los registros muestran qué usuario o servicio accedió a la clave.
AWS AWS KMS rota automáticamente las claves gestionadas por el cliente cada año. También puede girar las teclas manualmente según sea necesario. Para obtener más información sobre la rotación de claves, consulte [Rotación de claves KMS](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) en la *Guía para AWS KMS desarrolladores*.
Para obtener más información sobre la supervisión del uso de las claves, consulte [Registrar las llamadas a la AWS KMS API AWS CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html) en la *Guía para AWS KMS desarrolladores*.
**nota**
El uso de claves administradas por el cliente conlleva AWS KMS cargos. Los cargos se basan en la cantidad de solicitudes de API y claves almacenadas. Para obtener información detallada sobre los precios, consulta los [precios de los servicios de administración de AWS claves](https://aws.amazon.com/kms/pricing/).
## Actualización de la configuración de cifrado
Tras crear una aplicación de OpenSearch interfaz de usuario, no puede cambiar su configuración de cifrado. Si necesita usar una clave gestionada por el cliente diferente, debe crear una nueva aplicación. Si necesita cambiar entre claves AWS administradas por el cliente y administradas por el cliente, también debe crear una nueva aplicación con la configuración de cifrado deseada.
**importante**
Antes de deshabilitar o eliminar una clave administrada por el cliente, tenga en cuenta lo siguiente:
Si deshabilita la clave, la aplicación perderá el acceso a sus metadatos cifrados. Debe volver a habilitar la misma clave para restablecer el acceso.
Si elimina la clave, los objetos guardados de la aplicación quedarán permanentemente inaccesibles. Esto incluye consultas, visualizaciones y paneles. Las claves eliminadas no se pueden recuperar.
Recomendamos documentar el ARN de la clave antes de realizar cualquier cambio en el estado de la clave.
**Siguientes pasos**
Tras configurar el cifrado CMK para la aplicación, puede:
+ Asocie las fuentes de datos a su aplicación. Para obtener más información, consulte [Administración de las asociaciones de orígenes de datos y los permisos de acceso a la nube privada virtual](application-data-sources-and-vpc.md).
+ Cree espacios de trabajo para su equipo. Para obtener más información, consulte [Uso de los espacios de trabajo OpenSearch de Amazon Service](application-workspaces.md).
+ Configura la AWS CloudTrail supervisión del uso de las claves. Para obtener más información, consulte [Supervisión del uso de claves gestionadas por el cliente](#application-encryption-cmk-monitoring).
# Habilitar la federación de SAML con AWS Identity and Access Management
OpenSearch La interfaz de usuario es compatible con el lenguaje de marcado de aserciones de seguridad 2.0 (SAML), un estándar abierto que utilizan muchos proveedores de identidad. Esto permite la federación de identidades con (IAM) AWS Identity and Access Management . Con este soporte, los usuarios de su cuenta u organización pueden acceder directamente a la OpenSearch interfaz de usuario asumiendo funciones de IAM. Puede crear una experiencia de inicio de sesión único iniciada por el proveedor de identidad (IdP) para sus usuarios finales, en la que puedan autenticarse en el proveedor de identidad externo y ser redirigidos directamente a la página definida en la interfaz de usuario. OpenSearch También puedes implementar un control de acceso detallado configurando tus usuarios finales o grupos para que asuman diferentes funciones de IAM con diferentes permisos para acceder a la interfaz de usuario y a las fuentes de datos asociadas. OpenSearch
En este tema se presentan step-by-step instrucciones para configurar el uso de SAML con la interfaz de usuario. OpenSearch En estos procedimientos, utilizamos como ejemplo los pasos para configurar la aplicación de administración de identidades y accesos de Okta. Los pasos de configuración para otros proveedores de identidad, como Azure Active Directory y Ping, son similares.
**Topics**
+ [Paso 1: Configurar la aplicación de proveedor de identidades (Okta)](#SAML-identity-federation-step-1)
+ [Paso 2: Configura la AWS configuración de Okta](#SAML-identity-federation-step-2)
+ [Paso 3: Crear la política de acceso a Amazon OpenSearch Service en IAM](#SAML-identity-federation-step-3)
+ [Paso 4: Compruebe la experiencia de inicio de sesión único iniciada por el proveedor de identidad con SAML](#SAML-identity-federation-step-4)
+ [Paso 5: Configuración del control de acceso detallado basado en atributos de SAML](#SAML-identity-federation-step-5)
## Paso 1: Configurar la aplicación de proveedor de identidades (Okta)
Para usar SAML con OpenSearch interfaz de usuario, el primer paso es configurar tu proveedor de identidad.
**Tarea 1: creación de usuarios de Okta**
1. Inicia sesión en tu organización de Okta en [https://login.okta.com/](https://login.okta.com/)como usuario con privilegios administrativos.
1. En la consola de administración, en **Directorio**, en el panel de navegación, selecciona **Personas**.
1. Elija **Agregar persona**.
1. En **Nombre**, introduzca el nombre del usuario.
1. En **Apellido**, introduzca el apellido del usuario.
1. En **Usuario**, introduzca el nombre de usuario del usuario en formato de correo electrónico.
1. Elija **Estableceré la contraseña** e introduzca una contraseña
1. (Opcional) Desactive la casilla **El usuario debe cambiar la contraseña la primera vez que inicie sesión** si no desea que el usuario cambie la contraseña la primera vez que inicie sesión.
1. Seleccione **Save**.
**Tarea 2: crear y asignar grupos**
1. Inicie sesión en su organización de Okta en [https://login.okta.com/](https://login.okta.com/)como usuario con privilegios administrativos.
1. En el panel de navegación de Okta, seleccione **Directorio** y, a continuación, **Grupos**.
1. Elija **Agregar grupo**.
1. Escriba un nombre y elija **Crear grupo de registros**.
1. Elija el grupo recién creado y, a continuación, seleccione **Asignar personas**.
1. Seleccione el signo más (**\$1**) y, a continuación, seleccione **Listo**.
1. (Opcional) Repita los pasos 1 a 6 para agregar más grupos.
**Tarea 3: Crear aplicaciones de Okta**
1. Inicie sesión en su organización de Okta en [https://login.okta.com/](https://login.okta.com/)como usuario con privilegios administrativos.
1. En la consola de administración, en **Aplicaciones**, en el panel de navegación, seleccione **Aplicaciones**.
1. Elija **Crear integración de aplicaciones**.
1. Elija SAML 2.0 como método de inicio de sesión y, a continuación, seleccione **Siguiente**.
1. Escriba un nombre para su grupo (por ejemplo, **OpenSearch\$1UI**) y elija **Siguiente**.
1. Introduzca los siguientes valores en la aplicación; no es necesario que cambie otros valores:
1. 1. **En la URL de inicio de sesión único**, introduce **https://signin.aws.amazon.com/saml** AWS las regiones comerciales o la URL específica de tu región.
1. 2. Para **URI de audiencia (ID de entidad del SP)**, introduzca **urn:amazon:webservices**.
1. 3. En **Formato de nombre**, ingrese **EmailAddress**.
1. Elija **Siguiente**.
1. Seleccione **Soy cliente de Okta y agrego una aplicación interna** y, a continuación, seleccione **Esta es una aplicación interna que hemos creado**.
1. Seleccione **Finalizar**.
1. Elija **Asignar** y, luego, elija **Asignar a personas**.
1. Seleccione **Asignar a grupos** y, a continuación, seleccione **Asignar** junto a los grupos que desee agregar.
1. Seleccione **Listo**.
**Tarea 4: Configurar la configuración avanzada de Okta**
Después de crear la aplicación SAML personalizada, complete los pasos siguientes:
1. Inicie sesión en su organización de Okta en [https://login.okta.com/](https://login.okta.com/)como usuario con privilegios administrativos.
En la consola de administración, en el área **General**, seleccione **Editar** en la configuración de **SAML**.
1. Elija **Siguiente**.
1. Defina el **estado de retransmisión predeterminado** en el punto final de la OpenSearch interfaz de usuario con el formato:
`https://region.console.aws.amazon.com/aos/home?region=region#opensearch/applications/application-id/redirectToDashboardURL`.
A continuación, se muestra un ejemplo:
`https://us-east-2.console.aws.amazon.com/aos/home?region=us-east-2#opensearch/applications/abc123def4567EXAMPLE/redirectToDashboardURL`
1. En **Instrucciones de atributo de grupo (opcional)**, agregue el siguiente atributo:
1. Proporcione el rol de IAM y el proveedor de identidad en un formato separado por comas mediante el atributo **Role**. Utilizará este mismo rol de IAM y proveedor de identidad en un paso posterior al configurar la AWS configuración.
1. Defina **user.login** para. **RoleSessionName** Se utiliza como identificador para las credenciales temporales que se emiten cuando se asume el rol.
De referencia:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/application-enable-SAML-identity-federation.html)
1. Tras agregar las propiedades del atributo, elija **Siguiente** y, a continuación, elija **Finalizar**.
Los atributos deben tener un formato similar al que se muestra en la siguiente imagen. El valor de **estado de retransmisión predeterminado** es la URL que define la página de destino para los usuarios finales de su cuenta u organización una vez que hayan completado la validación del inicio de sesión único desde Okta. Puede configurarlo en cualquier página de la OpenSearch interfaz de usuario y, a continuación, proporcionar esa URL a los usuarios finales previstos.
![\[El área “SAML 2.0” muestra la URL de estado de retransmisión y la URL de metadatos predeterminadas de una aplicación.\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/images/ui-saml-2.0-area-okta.png)
## Paso 2: Configura la AWS configuración de Okta
Complete las siguientes tareas para configurar la AWS configuración de Okta.
**Tarea 1: recopile información de Okta**
Para este paso, tendrá que recopilar su información de Okta para poder configurarla más adelante en AWS.
1. Inicie sesión en su organización de Okta en [https://login.okta.com/](https://login.okta.com/)como usuario con privilegios administrativos.
1. En la pestaña **Iniciar sesión**, en la esquina inferior derecha de la página, seleccione **Ver las instrucciones de configuración de SAML**.
1. Copie o almacene el valor para **URL de inicio de sesión único del proveedor de identidades**. Puede usar esta URL cuando se conecte a cualquier cliente SQL de terceros, como [SQL Workbench/J](https://www.sql-workbench.eu/).
1. Utilice los metadatos del proveedor de identidad del bloque 4 y, a continuación, guarde el archivo de metadatos en formato.xml (por ejemplo, `metadata.xml`).
**Tarea 2: Crear el proveedor de IAM**
Para crear su proveedor de IAM, complete los siguientes pasos.
1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. En el panel de navegación, elija **Proveedores de identidad** en **Administración de acceso**.
1. Elija **Agregar proveedor**.
1. Para **Tipo de proveedor**: seleccione **SAML**.
1. En **Nombre del proveedor**, escriba un nombre.
1. Para el **documento de metadatos**, elija **Elegir archivo** y cargue el archivo de metadatos (.xml) que descargó anteriormente.
1. Elija **Agregar proveedor**.
**Tarea 3: Creación de un rol de IAM**
Para crear su AWS Identity and Access Management función, siga estos pasos:
1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, en **Administración del acceso**, elija **Roles**.
1. Elija **Crear rol**.
1. En **Tipo de entidad de confianza**, seleccione **Federación SAML 2.0**.
1. En el **proveedor basado en SAML 2.0**, elija el proveedor de identidades que ha creado en IAM.
1. Seleccione **Permitir el acceso mediante programación. Consola de administración de AWS **
1. Elija **Siguiente**.
1. En la lista de **políticas de permisos**, active las casillas de verificación de las políticas que otorgan permisos de OpenSearch servicio, por ejemplo, la política AWS **AmazonOpenSearchServiceFullAccess**administrada.
1. Elija **Siguiente**.
1. En la sección **Revisar**, en **Nombre de rol**, escriba un nombre para el rol (por ejemplo, **oktarole**).
1. (Opcional) En **Descripción de imagen**, ingrese una breve descripción del propósito del rol.
1. Elija **Crear rol**.
1. Vaya al rol que acaba de crear, seleccione la pestaña **Relaciones de confianza** y, a continuación, elija **Editar política de confianza**.
1. En el panel **Editar** instrucciones, en **Agregar acciones para STS**, active la casilla correspondiente **TagSession**.
1. Elija **Actualizar política**.
## Paso 3: Crear la política de acceso a Amazon OpenSearch Service en IAM
Aprenda a configurar sus funciones de IAM para el control de OpenSearch acceso. Con las funciones de IAM, puede implementar un control de acceso detallado para que sus grupos de usuarios de Okta accedan a los recursos. OpenSearch En este tema, se muestra la configuración basada en roles de IAM mediante dos grupos de ejemplo.
------
#### [ Sample group: Alice ]
Solicitud:
```
GET _plugins/_security/api/roles/alice-group
```
Resultado:
```
{
"alice-group": {
"reserved": false,
"hidden": false,
"cluster_permissions": [
"unlimited"
],
"index_permissions": [
{
"index_patterns": [
"alice*"
],
"dls": "",
"fls": [],
"masked_fields": [],
"allowed_actions": [
"indices_all"
]
}
],
"tenant_permissions": [
{
"tenant_patterns": [
"global_tenant"
],
"allowed_actions": [
"kibana_all_write"
]
}
],
"static": false
}
}
```
------
#### [ Sample group: Bob ]
Solicitud:
```
GET _plugins/_security/api/roles/bob-group
```
Resultado:
```
{
"bob-group": {
"reserved": false,
"hidden": false,
"cluster_permissions": [
"unlimited"
],
"index_permissions": [
{
"index_patterns": [
"bob*"
],
"dls": "",
"fls": [],
"masked_fields": [],
"allowed_actions": [
"indices_all"
]
}
],
"tenant_permissions": [
{
"tenant_patterns": [
"global_tenant"
],
"allowed_actions": [
"kibana_all_write"
]
}
],
"static": false
}
}
```
------
Puede asignar las funciones del dominio de Amazon OpenSearch Service a las funciones de IAM mediante la asignación de funciones de backend, como se muestra en el siguiente ejemplo:
```
{
"bob-group": {
"hosts": [],
"users": [],
"reserved": false,
"hidden": false,
"backend_roles": [
"arn:aws:iam::111222333444:role/bob-group"
],
"and_backend_roles": []
},
"alice-group": {
"hosts": [],
"users": [],
"reserved": false,
"hidden": false,
"backend_roles": [
"arn:aws:iam::111222333444:role/alice-group"
],
"and_backend_roles": []
}
}
```
## Paso 4: Compruebe la experiencia de inicio de sesión único iniciada por el proveedor de identidad con SAML
Abra la URL del **estado de retransmisión predeterminado** para abrir la página de autenticación de Okta. Introduzca las credenciales de SC-end-user. Se le redirigirá automáticamente a OpenSearch la interfaz de usuario.
Para comprobar sus credenciales actuales, seleccione el ícono de usuario situado en la parte inferior del panel de navegación, como se muestra en la siguiente imagen:
![\[Al seleccionar el ícono de usuario en la página “Configuración y ajustes” de Okta, se muestran las credenciales del usuario actual.\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/images/ui-okta-user-icon.png)
También puede verificar los permisos de control de acceso detallados del usuario accediendo a las herramientas para desarrolladores en la parte inferior del panel de navegación y ejecutando consultas en la consola. A continuación, se muestran algunas consultas de ejemplo:
------
#### [ Example 1: Displays information about the current user ]
Solicitud:
```
GET _plugins/_security/api/account
```
Resultado:
```
{
"user_name": "arn:aws:iam::XXXXXXXXXXXX:role/bob-group",
"is_reserved": false,
"is_hidden": false,
"is_internal_user": false,
"user_requested_tenant": null,
"backend_roles": [
"arn:aws:iam::XXXXXXXXXXXX:role/bob-group"
],
"custom_attribute_names": [],
"tenants": {
"global_tenant": true,
"arn:aws:iam::XXXXXXXXXXXX:role/bob-group": true
},
"roles": [
"bob-group"
]
}
```
------
#### [ Example 2: Displays actions permitted for a user ]
Solicitud:
```
GET bob-test/_search
```
Resultado:
```
{
"took": 390,
"timed_out": false,
"_shards": {
"total": 5,
"successful": 5,
"skipped": 0,
"failed": 0
},
"hits": {
"total": {
"value": 1,
"relation": "eq"
},
"max_score": 1,
"hits": [
{
"_index": "bob-test",
"_id": "ui01N5UBCIHpjO8Jlvfy",
"_score": 1,
"_source": {
"title": "Your Name",
"year": "2016"
}
}
]
}
}
```
------
#### [ Example 3: Displays actions not permitted for a user ]
Solicitud:
```
GET alice-test
```
Resultado:
```
{
"error": {
"root_cause": [
{
"type": "security_exception",
"reason": "no permissions for [indices:admin/get] and User [name=arn:aws:iam::111222333444:role/bob-group, backend_roles=[arn:aws:iam::111222333444:role/bob-group], requestedTenant=null]"
}
],
"type": "security_exception",
"reason": "no permissions for [indices:admin/get] and User [name=arn:aws:iam::111222333444:role/bob-group, backend_roles=[arn:aws:iam::111222333444:role/bob-group], requestedTenant=null]"
},
"status": 403
}
```
------
## Paso 5: Configuración del control de acceso detallado basado en atributos de SAML
Con Amazon OpenSearch Service, puedes usar un control de acceso detallado con SAML para mapear usuarios y grupos de tu proveedor de identidad a usuarios y roles de control de acceso OpenSearch detallados de forma dinámica. Puede asignar estas funciones a OpenSearch dominios específicos y colecciones sin servidor, y definir los permisos a nivel de índice y la seguridad a nivel de los documentos.
**nota**
Para obtener más información, consulte Enabling fine-grained access control, lea [Control de acceso detallado en Amazon Service OpenSearch](fgac.md).
**Topics**
+ [Atributos SAML para el control de acceso preciso](#saml-fgac-key-attributes)
+ [Tarea 1: Configuración de Okta para el control de acceso preciso](#configure-okta-fgac)
+ [Tarea 2: Configurar SAML en el dominio OpenSearch](#configure-opensearch-domain-fgac)
+ [Tarea 3: Configurar SAML en colecciones sin servidor OpenSearch](#saml-configure-collections)
### Atributos SAML para el control de acceso preciso
**subjectKey**
Se asigna a un atributo de usuario único, como el correo electrónico o el nombre de usuario, que identifica al usuario para la autenticación.
**rolesKey**
Se asigna a los atributos de grupo o rol de su IdP que determinan los roles o permisos de autorización.
### Tarea 1: Configuración de Okta para el control de acceso preciso
**Para configurar Okta para el control de acceso preciso**
1. **Añada un nuevo atributo para el OpenSearch usuario principal en la sección Declaraciones de atributos:**
+ Nombre: `UserName`
+ Valor: `${user-email}`
Este atributo se utiliza como **clave de asunto** en la configuración detallada OpenSearch de control de acceso para la autenticación.
1. Agregue un atributo de grupo para los roles en la sección **sentencia de atributos de grupo**:
+ Nombre: `groups`
+ Filtro: `OpenSearch_xxx`
Este atributo se utiliza como **clave de función** para asignar grupos a funciones de OpenSearch control de acceso específicas para su autorización.
### Tarea 2: Configurar SAML en el dominio OpenSearch
**Para configurar SAML en el dominio OpenSearch**
1. En la consola AWS de administración, identifique el dominio del OpenSearch servicio para el que desea habilitar un control de acceso detallado para los usuarios de la interfaz de usuario. OpenSearch
1. Vaya a la página de detalles del dominio específico.
1. Seleccione la pestaña de **configuración de seguridad** y haga clic en **Editar**.
1. Amplíe **SAML mediante IAM Federate**.
1. Introduzca el `subjectKey` y `roleKey` que definió en Okta.
1. Seleccione **Guardar cambios**.
También puede configurar un control de acceso detallado mediante AWS CLI.
```
aws opensearch create-domain \
--domain-name testDomain \
--engine-version OpenSearch_1.3 \
--cluster-config InstanceType=r5.xlarge.search,InstanceCount=1,DedicatedMasterEnabled=false,ZoneAwarenessEnabled=false,WarmEnabled=false \
--access-policies '{"Version": "2012-10-17", "Statement":[{"Effect":"Allow","Principal":{"AWS":"*"},"Action":"es:*","Resource":"arn:aws:es:us-east-1:12345678901:domain/neosaml10/*"}]}' \
--domain-endpoint-options '{"EnforceHTTPS":true,"TLSSecurityPolicy":"Policy-Min-TLS-1-2-2019-07"}' \
--node-to-node-encryption-options '{"Enabled":true}' \
--encryption-at-rest-options '{"Enabled":true}' \
--advanced-security-options '{"Enabled":true,"InternalUserDatabaseEnabled":true,"MasterUserOptions":{"MasterUserName":"********","MasterUserPassword":"********"}, "IAMFederationOptions":{"Enabled": true,"SubjectKey":"TestSubjectKey","RolesKey":"TestRolesKey"}}' \
--ebs-options "EBSEnabled=true,VolumeType=gp2,VolumeSize=300" \
--no-verify-ssl \
--endpoint-url https://es.us-east-1.amazonaws.com \
--region us-east-1
```
Para actualizar un dominio existente:
```
aws opensearch update-domain-config \
--domain-name testDomain \
--advanced-security-options '{"Enabled":true,"InternalUserDatabaseEnabled":true,"MasterUserOptions":{"MasterUserName":"********","MasterUserPassword":"********"}, "IAMFederationOptions":{"Enabled": true,"SubjectKey":"TestSubjectKey","RolesKey":"TestRolesKey"}}' \
--ebs-options "EBSEnabled=true,VolumeType=gp2,VolumeSize=300" \
--no-verify-ssl \
--endpoint-url https://es.us-east-1.amazonaws.com \
--region us-east-1
```
### Tarea 3: Configurar SAML en colecciones sin servidor OpenSearch
**Para configurar un control de acceso detallado basado en SAML en Serverless OpenSearch**
1. Abre Consola de administración de AWS y navega hasta Amazon OpenSearch Service.
1. **En el panel de navegación, en **Sin servidor**, seleccione **Seguridad** y, a continuación, seleccione Autenticación.**
1. En la sección **Federación de IAM**, seleccione **Editar.**
Puede controlar el control de acceso específico basado en atributos de SAML mediante esta configuración. La federación de IAM está desactivada de forma predeterminada.
1. Seleccione **Activar la federación de IAM**.
1. Introduzca los valores `subjectKey` y `roleKey` que definió en Okta.
Para obtener más información, consulte [Atributos SAML para el control de acceso preciso](#saml-fgac-key-attributes).
1. Seleccione **Guardar**.
1. En el panel de navegación, en **Sin servidor**, elija **Política de acceso a datos**.
1. Actualice una política existente o cree una nueva.
1. Amplíe una regla, elija **Agregar entidades principales** y, a continuación, seleccione **Usuarios y grupos federados de IAM**.
1. Agregue las entidades principales necesarias y seleccione **Guardar**.
1. Elija **Conceder**.
1. Bajo esta regla, haga lo siguiente:
+ Seleccione los permisos que desee definir para las entidades principales seleccionadas.
+ Especifique las colecciones a las que desea aplicar los permisos.
+ Si lo desea, defina los permisos a nivel de índice.
**nota**
Puede crear varias reglas para asignar diferentes permisos a diferentes grupos de entidades principales.
1. Cuando termine, elija **Guardar**.
1. Seleccione **Crear**.
Como alternativa, puede usar CLI para crear las configuraciones de seguridad para las colecciones, como se indica a continuación:
```
aws opensearchserverless create-security-config --region "region" --type iamfederation --name "configuration_name" --description "description" --iam-federation-options '{"groupAttribute":"GroupKey","userAttribute":"UserKey"}'
```
# Administración de las asociaciones de orígenes de datos y los permisos de acceso a la nube privada virtual
Utilice los procedimientos de esta sección para administrar las asociaciones de orígenes de datos y configurar los permisos de acceso necesarios para una nube privada virtual (VPC).
**Topics**
+ [Asociar una fuente de datos a una aplicación de interfaz de OpenSearch usuario](#application-data-source-association)
+ [Administrar el acceso a los dominios en una VPC](#application-manage-vpc-access)
+ [Configuración del acceso a las colecciones OpenSearch sin servidor en una VPC](#application-configure-vpc-access-serverless-connections)
## Asociar una fuente de datos a una aplicación de interfaz de OpenSearch usuario
Tras crear una aplicación de OpenSearch interfaz de usuario, puede utilizar la consola o asociarla AWS CLI a una o más fuentes de datos. Después de esto, los usuarios finales pueden recuperar los datos de estos orígenes de datos para buscarlos, trabajar con los paneles, etc.
### Asocie una fuente de datos a una aplicación de OpenSearch interfaz de usuario (consola)
**Para asociar una fuente de datos a una aplicación de OpenSearch interfaz de usuario mediante la consola**
1. Inicia sesión en la consola OpenSearch de Amazon Service desde [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home).
1. Selecciona **OpenSearch UI (paneles)** y, a continuación, elige el nombre de una aplicación de OpenSearch interfaz de usuario.
1. En el área **Orígenes de datos asociados**, seleccione **Administrar orígenes de datos**.
1. Elija entre los OpenSearch dominios y las colecciones que desee asociar a la aplicación.
**sugerencia**
Si no encuentra los orígenes de datos que busca, póngase en contacto con sus administradores para que le concedan los permisos necesarios. Para obtener más información, consulte [Permisos para crear una aplicación que utilice la autenticación del Centro de identidades de IAM (opcional)](application-getting-started.md#prerequisite-permissions-idc).
1. Elija **Siguiente** y, a continuación, elija **Guardar**.
Una vez que haya asociado un origen de datos a la aplicación, se habilitará el botón **Lanzar aplicación** en la página de detalles de la aplicación. Puede elegir **Iniciar aplicación** para abrir la OpenSearch página de **bienvenida**, en la que puede crear y gestionar espacios de trabajo.
Para obtener más información sobre cómo trabajar con WorkSpaces, consulte [Uso de los espacios de trabajo OpenSearch de Amazon Service](application-workspaces.md).
## Administrar el acceso a los dominios en una VPC
Si un OpenSearch dominio de una VPC estaba asociado a la aplicación, el administrador de la VPC debe autorizar el acceso entre la interfaz de usuario OpenSearch y la VPC mediante la consola o. AWS CLI
### Administrar el acceso a los dominios en una VPC (consola)
**Para configurar el acceso a un dominio de VPC mediante Consola de administración de AWS:**
1. Inicia sesión en la consola OpenSearch de Amazon Service desde [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home).
1. En el panel de navegación de la izquierda, seleccione **Dominios** y, a continuación, elija el nombre del dominio de VPC.
-o bien-
Seleccione **Crear dominio** y, a continuación, configure los detalles del dominio.
1. Elija la pestaña **Puntos de conexión de VPC** y, a continuación, elija **Autorizar entidad principal**.
1. En el cuadro de diálogo **Autorizar** a los responsables, selecciona **Autorizar a los responsables de otros AWS servicios** y, a continuación, selecciona **OpenSearch las aplicaciones (panel de control)** de la lista.
1. Seleccione **Autorizar**.
### Administrar el acceso a los dominios en una VPC (AWS CLI)
**Para autorizar un dominio de VPC mediante el AWS CLI**
Para autorizar el dominio de VPC mediante el AWS CLI, ejecute el siguiente comando. Sustituya *placeholder values* por su propia información.
```
aws opensearch authorize-vpc-endpoint-access \
--domain-name domain-name \
--service application.opensearchservice.amazonaws.com \
--region region-id
```
**Para revocar una asociación de dominio de VPC mediante la consola**
Cuando ya no se necesita una asociación, el propietario del dominio de VPC puede revocar el acceso mediante el siguiente procedimiento.
1. Inicia sesión en la consola OpenSearch de Amazon Service desde [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home).
1. En el panel de navegación de la izquierda, seleccione **Dominios** y, a continuación, elija el nombre del dominio de VPC.
1. Elija la pestaña de **puntos finales de la VPC** y, a continuación, seleccione el botón para la fila de **OpenSearch aplicaciones (panel** de control).
1. Elija **Revocar acceso**.
**Para revocar una asociación de dominio de VPC mediante el AWS CLI**
Para revocar una asociación de dominio de VPC con OpenSearch la aplicación de interfaz de usuario, ejecuta el siguiente comando. Sustituya *placeholder values* por su propia información.
```
aws opensearch revoke-vpc-endpoint-access \
--domain-name domain-name \
--service application.opensearchservice.amazonaws.com \
--region region-id
```
## Configuración del acceso a las colecciones OpenSearch sin servidor en una VPC
Si una colección de Amazon OpenSearch Serverless en una VPC estaba asociada a la aplicación, el administrador de la VPC puede autorizar el acceso creando una nueva política de red y adjuntándola a la colección.
### Configuración del acceso a las colecciones OpenSearch sin servidor en una VPC (consola)
**Para configurar el acceso a las colecciones OpenSearch sin servidor en una VPC mediante la consola**
1. Inicia sesión en la consola OpenSearch de Amazon Service desde [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home).
1. En el panel de navegación de la izquierda, seleccione **Políticas de red**, elija el nombre de la política de red y, a continuación, seleccione **Editar**.
-o bien-
Elija **Crear política de red** y, a continuación, configure los detalles de la política.
1. En el área **Tipo de acceso**, seleccione **Privado (recomendado)** y, a continuación, seleccione **Acceso privado al servicio de AWS **.
1. En el campo de búsqueda, seleccione **Servicio** y, a continuación, seleccione `application.opensearchservice.amazonaws.com`.
1. En el área **Tipo de recurso**, selecciona la casilla **Habilitar el acceso al OpenSearch punto final**.
1. Para **buscar colecciones o introducir términos de prefijo específicos,** en el campo de búsqueda, seleccione **Nombre de la colección** y, a continuación, introduzca o seleccione el nombre de las colecciones para asociarlas a la política de red.
1. Seleccione **Crear** para una nueva política de red o **Actualizar** para una política de red existente.
### Configuración del acceso a las colecciones OpenSearch sin servidor en una AWS CLI VPC ()
**Para configurar el acceso a las colecciones OpenSearch sin servidor en una VPC mediante AWS CLI**
1. Cree una política con JSON similar a la siguiente. Sustituya *placeholder values* por su propia información.
```
{
"Description" : "policy-description",
"Rules": [{
"ResourceType" : "collection",
"Resource" : ["collection/collection_name"]
}],
"SourceServices" : [
"application.opensearchservice.amazonaws.com"
],
"AllowFromPublic" : false
}
```
1. Cree o actualice una política de red para que una colección de una VPC funcione con aplicaciones de OpenSearch interfaz de usuario.
------
#### [ Create a network policy ]
Ejecute el comando siguiente. Sustituya *placeholder values* por su propia información.
```
aws opensearchserverless create-security-policy \
--type network \
--region region \
--endpoint-url endpoint-url \
--name network-policy-name \
--policy file:/path_to_network_policy_json_file
```
El comando devuelve información similar a la siguiente:
```
{
"securityPolicyDetail": {
"createdDate": ******,
"lastModifiedDate": ******,
"name": "network-policy-name",
"policy": [
{
"SourceVPCEs": [],
"AllowFromPublic": false,
"Description": "",
"Rules": [
{
"Resource": [
"collection/network-policy-name"
],
"ResourceType": "collection"
}
],
"SourceServices": [
"application.opensearchservice.amazonaws.com"
]
}
],
"policyVersion": "******",
"type": "network"
}
}
```
------
#### [ Update a network policy ]
Ejecute el comando siguiente. Sustituya *placeholder values* por su propia información.
```
aws opensearchserverless update-security-policy \
--type network \
--region region \
--endpoint-url endpoint-url \
--name network-policy-name \
--policy-version "policy_version_from_output_of_network_policy_creation" \
--policy file:/path_to_network_policy_json_file
```
El comando devuelve información similar a la siguiente:
```
{
"securityPolicyDetail": {
"createdDate": ******,
"lastModifiedDate": ******,
"name": "network-policy-name",
"policy": [
{
"SourceVPCEs": [],
"AllowFromPublic": false,
"Description": "",
"Rules": [
{
"Resource": [
"collection/network-policy-name"
],
"ResourceType": "collection"
}
],
"SourceServices": [
"application.opensearchservice.amazonaws.com"
]
}
],
"policyVersion": "******",
"type": "network"
}
}
```
------
# Uso de los espacios de trabajo OpenSearch de Amazon Service
Amazon OpenSearch Service admite la creación de varios espacios de trabajo para casos de uso específicos. Cada espacio de trabajo ofrece una experiencia personalizada para casos de uso populares, como la observabilidad, el análisis de seguridad y la búsqueda. El espacio de trabajo también admite la administración de colaboradores, de modo que puede compartir su espacio de trabajo únicamente con los colaboradores con los que vaya a colaborar y administrar los permisos de cada uno de ellos.
## Creación de espacios de trabajo de aplicaciones de OpenSearch interfaz de usuario
Una vez que se haya creado una aplicación de OpenSearch interfaz de usuario y se haya asociado a las fuentes de datos y se hayan configurado los permisos de usuario para la aplicación, puede iniciar la aplicación de OpenSearch interfaz de usuario para crear espacios de trabajo.
Para empezar a crear un espacio de trabajo, puede seleccionar el botón Abrir la **aplicación** en la página de detalles de la aplicación o utilizar la URL de la aplicación de OpenSearch interfaz de usuario para abrir la página de inicio de la aplicación de OpenSearch interfaz de usuario en una nueva ventana del navegador.
La aplicación de OpenSearch interfaz de usuario ofrece opciones para crear espacios de trabajo y enumera todos los espacios de trabajo existentes en la página de inicio, clasificados por caso de uso.
![\[El área “Mis espacios de trabajo” de la consola se puede usar para crear cinco tipos diferentes de espacios de trabajo: Observability, Security analytics, Search, Essentials y Analytics. También puede ver todos los espacios de trabajo existentes en el área “Mis espacios de trabajo”.\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/images/workspaces.png)
Para obtener más información sobre los tipos de instancia admitidos, consulte [Tipos de WorkSpace](#application-workspaces-types).
## La privacidad del espacio de trabajo y los colaboradores
Puede definir una configuración de privacidad para un espacio de trabajo como nivel de permiso predeterminado para todos los usuarios. Puede hacerlo mientras crea un espacio de trabajo o modifica un espacio de trabajo existente (en la pestaña **Colaboradores** del espacio de trabajo). Existen tres opciones entre las que elegir:
+ **Privado para los colaboradores**: solo los colaboradores que agregue explícitamente al espacio de trabajo pueden acceder al espacio de trabajo. Puede definir niveles de permisos para cada colaborador.
+ ****Cualquiera puede verlo****: cualquier persona que tenga acceso a la aplicación de OpenSearch interfaz de usuario puede acceder al espacio de trabajo y ver sus activos, pero no puede realizar ningún cambio en el espacio de trabajo.
+ ****Cualquier persona puede editar****: cualquier persona que tenga acceso a la aplicación de OpenSearch interfaz de usuario puede acceder al espacio de trabajo, ver los activos que contiene y realizar cambios en los activos del espacio de trabajo.
En la pestaña **Colaboradores** del espacio de trabajo, puede añadir usuarios o roles de IAM y AWS IAM Identity Center usuarios como colaboradores en un espacio de trabajo. Existen tres niveles de permisos entre los que elegir los colaboradores:
+ **Solo lectura**: el colaborador solo puede ver los activos del espacio de trabajo. Esta configuración se anula si el espacio de trabajo está configurado para usar la configuración de privacidad **Cualquiera puede editar**.
+ **Leer y escribir**: el colaborador puede ver y editar los activos del espacio de trabajo. Si el espacio de trabajo está configurado para usar la configuración de privacidad **Todos pueden ver**, el colaborador podrá seguir editando.
+ **Administrador**: el colaborador puede actualizar la configuración y eliminar el espacio de trabajo. El colaborador también puede cambiar la configuración de privacidad del espacio de trabajo y administrar a los colaboradores. Al usuario que crea el espacio de trabajo se le asigna automáticamente la función de administrador del espacio de trabajo.
## Tipos de WorkSpace
Amazon OpenSearch Service ofrece cinco tipos de espacios de trabajo, cada uno con características diferentes para los distintos casos de uso:
+ El espacio de trabajo de **observabilidad** está diseñado para obtener visibilidad del estado, el rendimiento y la fiabilidad del sistema mediante la supervisión de los registros, las métricas y los rastreos.
+ El espacio de trabajo de **análisis de seguridad** está diseñado para detectar e investigar posibles amenazas y vulnerabilidades de seguridad en sus sistemas y datos.
+ El espacio de trabajo **Search** está diseñado para buscar y explorar rápidamente la información relevante en los orígenes de datos de su organización.
+ El espacio de trabajo **Essentials** está diseñado para OpenSearch Serverless como fuente de datos y permite analizar los datos para obtener información, identificar patrones y tendencias y tomar decisiones basadas en los datos con rapidez. Puede buscar y explorar la información relevante de los orígenes de datos de su organización en un espacio de trabajo **Essentials**.
+ El espacio de trabajo de **Analytics** (todas las funciones) está diseñado para casos de uso polivalentes y admite todas las funciones disponibles en la interfaz de usuario del OpenSearch servicio (paneles).
# Acceso a datos entre regiones y cuentas
OpenSearch La interfaz de usuario permite acceder a datos de OpenSearch dominios de diferentes Cuenta de AWS s y Región de AWS s. Puede elegir entre dos enfoques en función de sus necesidades. En la siguiente tabla se comparan los dos enfoques.
**nota**
Tanto el acceso a los datos entre cuentas como la búsqueda entre clústeres solo funcionan con OpenSearch los dominios. Ninguno de los enfoques admite las recopilaciones OpenSearch sin servidor.
| Aspecto | Acceso a los datos entre cuentas | Búsqueda en clústeres |
| --- | --- | --- |
| Característica | Asocie dominios de otras cuentas como fuentes de datos directas en OpenSearch la interfaz de usuario | Consulte datos en los dominios conectados mediante conexiones de búsqueda entre clústeres |
| Mecanismo | Acceso directo: la OpenSearch interfaz de usuario se conecta directamente al dominio de destino de otra cuenta | Acceso indirecto: se requiere un dominio local en la misma cuenta que la OpenSearch interfaz de usuario para retransmitir las solicitudes a dominios remotos |
| Compatibilidad entre cuentas | Sí | Sí |
| Compatibilidad entre regiones | No, los dominios de origen y destino deben estar en el mismo Región de AWS | Sí, los dominios de origen y destino pueden estar en Región de AWS s diferentes |
| Unifique datos entre dominios | No, cada dominio se consulta de forma independiente como una fuente de datos independiente | Sí, una sola consulta puede agregar resultados de varios dominios conectados |
| Métodos de autenticación | IAM y AWS IAM Identity Center | IAM (con control de acceso detallado) |
| Complejidad de la configuración | Menor: requiere una función de IAM multicuenta para la validación | Más alto: requiere conexiones entre clústeres, políticas de acceso en ambos dominios y un control de acceso detallado |
| Visibilidad de la fuente de datos en la interfaz OpenSearch | Cada dominio multicuenta aparece como una fuente de datos independiente | Se accede a los dominios remotos a través de los alias de conexión del dominio de origen local |
| Acceso de escritura al dominio remoto | Sí, controlado por la política de acceso del dominio de destino | No, la búsqueda entre clústeres proporciona acceso de solo lectura a dominios remotos |
**Topics**
+ [Acceso a datos multicuenta a dominios OpenSearch](application-cross-account-data-access-domains.md)
+ [Búsqueda en clústeres](application-cross-cluster-search.md)
# Acceso a datos multicuenta a dominios OpenSearch
Puede configurar sus aplicaciones de OpenSearch interfaz de usuario en una cuenta para acceder a los OpenSearch dominios de diferentes cuentas. Al crear una aplicación de OpenSearch interfaz de usuario con fuentes de datos multicuenta, se proporciona una `iamRoleForDataSourceArn` que apunta a una función de IAM en la cuenta de destino. OpenSearch La interfaz de usuario valida la solicitud asumiendo esta función y realizando una llamada `es:DescribeDomain` para verificar la accesibilidad del dominio. La función multicuenta se utiliza únicamente para la validación del plano de control. El acceso al plano de datos se controla por separado mediante la política de acceso del dominio de destino.
**Código de muestra**
Los ejemplos de código de este tema tienen únicamente fines ilustrativos. Demuestran la funcionalidad básica y es posible que no incluyan la gestión de errores, las mejores prácticas de seguridad ni funciones listas para la producción. Antes de utilizar un código de muestra en producción, revíselo y modifíquelo para que cumpla con sus requisitos específicos y pruébelo exhaustivamente en su entorno.
## Conceptos clave
Cuenta de origen
El Cuenta de AWS que aloja su aplicación de OpenSearch interfaz de usuario.
Cuenta objetivo
Lugar Cuenta de AWS en el que reside el OpenSearch dominio.
Función multicuenta
Función de IAM en la cuenta de destino que se utiliza únicamente para la validación del plano de control. Este rol solo requiere el `es:DescribeDomain` permiso.
Función de aplicación de IAM Identity Center
Función de IAM en la cuenta de origen que se utiliza para acceder al plano de datos de los usuarios del IAM Identity Center.
## Requisitos previos
Antes de configurar el acceso a los datos entre cuentas, asegúrese de tener lo siguiente:
+ AWS CLI instalado y configurado
+ Acceso tanto al origen como al destino Cuenta de AWS
+ Para los flujos del IAM Identity Center: una instancia de AWS IAM Identity Center organización
## Escenarios
Elija el escenario que coincida con su método de autenticación y configuración de dominio:
+ [Escenario 1: un usuario de IAM accede a un dominio público](#cross-account-scenario-1)
+ [Escenario 2: un usuario del IAM Identity Center accede a un dominio público](#cross-account-scenario-2)
+ [Escenario 3: usuario de IAM que accede a un dominio de VPC](#cross-account-scenario-3)
+ [Escenario 4: Un usuario del IAM Identity Center accede a un dominio de VPC](#cross-account-scenario-4)
## Escenario 1: un usuario de IAM accede a un dominio público
### Paso 1: Crear el rol de IAM multicuenta (cuenta de destino)
Cree un rol de IAM en la cuenta de destino que permita a la cuenta de origen asumirlo para la validación del dominio.
**Para crear el rol multicuenta**
1. Cree una política de confianza que permita a la cuenta de origen asumir el rol:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::source-account-id:root"
},
"Action": "sts:AssumeRole"
}]
}
```
1. Cree el rol:
```
aws iam create-role \
--role-name OpenSearchUIAccessRole \
--assume-role-policy-document file://trust-policy.json
```
1. Crea una política de permisos con solo la siguiente `es:DescribeDomain` acción:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "es:DescribeDomain",
"Resource": "arn:aws:es:region:target-account-id:domain/*"
}]
}
```
1. Asocie la política de permisos al rol:
```
aws iam put-role-policy \
--role-name OpenSearchUIAccessRole \
--policy-name ValidationOnly \
--policy-document file://permissions-policy.json
```
### Paso 2: Crea el OpenSearch dominio (cuenta de destino)
Cree un OpenSearch dominio en la cuenta de destino con un control de acceso detallado y un cifrado habilitados:
```
aws opensearch create-domain \
--domain-name domain-name \
--engine-version OpenSearch_2.19 \
--cluster-config InstanceType=m5.large.search,InstanceCount=1 \
--ebs-options "EBSEnabled=true,VolumeType=gp3,VolumeSize=100" \
--advanced-security-options '{"Enabled":true,"InternalUserDatabaseEnabled":true,"MasterUserOptions":{"MasterUserName":"admin","MasterUserPassword":"master-password"}}' \
--node-to-node-encryption-options '{"Enabled":true}' \
--encryption-at-rest-options '{"Enabled":true}' \
--domain-endpoint-options '{"EnforceHTTPS":true,"TLSSecurityPolicy":"Policy-Min-TLS-1-2-2019-07"}' \
--access-policies '{"Version":"2012-10-17", "Statement":[{"Effect":"Allow","Principal":{"AWS":"*"},"Action":"es:ESHttp*","Resource":"arn:aws:es:region:target-account-id:domain/domain-name/*"}]}' \
--region region
```
Espere a que el estado del dominio cambie antes de continuar. `Active`
### Paso 3: Crear la aplicación de OpenSearch interfaz de usuario (cuenta de origen)
Cree la aplicación en la cuenta de origen con la fuente de datos multicuenta:
```
aws opensearch create-application \
--region region \
--name "cross-account-iam-app" \
--data-sources '[{
"dataSourceArn":"arn:aws:es:region:target-account-id:domain/domain-name",
"dataSourceDescription":"Cross-account domain",
"iamRoleForDataSourceArn":"arn:aws:iam::target-account-id:role/OpenSearchUIAccessRole"
}]' \
--app-configs '[{"key":"opensearchDashboards.dashboardAdmin.users","value":"[\"*\"]"}]'
```
### Paso 4: Verificar y acceder
Recupere los detalles de la aplicación para obtener la URL del punto final:
```
aws opensearch get-application \
--region region \
--id application-id
```
+ Navegue hasta la URL del punto final de la aplicación desde la respuesta.
+ Inicie sesión con las credenciales de IAM.
+ El usuario de IAM firma las solicitudes del plano de datos con sus propias credenciales.
+ La política de acceso al dominio de destino controla los datos a los que puede acceder el usuario.
## Escenario 2: un usuario del IAM Identity Center accede a un dominio público
### Paso 1: Crear el rol de IAM multicuenta (cuenta de destino)
Cree un rol de IAM en la cuenta de destino que permita a la cuenta de origen asumirlo para la validación del dominio.
**Para crear el rol multicuenta**
1. Cree una política de confianza que permita a la cuenta de origen asumir el rol:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::source-account-id:root"
},
"Action": "sts:AssumeRole"
}]
}
```
1. Cree el rol:
```
aws iam create-role \
--role-name OpenSearchUIAccessRole \
--assume-role-policy-document file://trust-policy.json
```
1. Crea una política de permisos con solo la siguiente `es:DescribeDomain` acción:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "es:DescribeDomain",
"Resource": "arn:aws:es:region:target-account-id:domain/*"
}]
}
```
1. Asocie la política de permisos al rol:
```
aws iam put-role-policy \
--role-name OpenSearchUIAccessRole \
--policy-name ValidationOnly \
--policy-document file://permissions-policy.json
```
### Paso 2: Crea el OpenSearch dominio (cuenta de destino)
Crea un OpenSearch dominio en la cuenta de destino. Utilice el mismo comando que[Paso 2: Crea el OpenSearch dominio (cuenta de destino)](#scenario-1-step-2), pero actualice la política de acceso para permitir el rol de aplicación del Centro de Identidad de IAM desde la cuenta de origen:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::source-account-id:role/NeoIdCAppRole"
},
"Action": "es:ESHttp*",
"Resource": "arn:aws:es:region:target-account-id:domain/domain-name/*"
}]
}
```
Espere a que el estado del dominio cambie `Active` antes de continuar.
### Paso 3: Cree la función de IAM para la aplicación IAM Identity Center (cuenta de origen)
Cree una función de IAM en la cuenta de origen que la OpenSearch interfaz de usuario utiliza para acceder al plano de datos de los usuarios del IAM Identity Center.
**Para crear el rol de aplicación del Centro de Identidad de IAM**
1. Cree una política de confianza:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "application.opensearchservice.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Effect": "Allow",
"Principal": {
"Service": "application.opensearchservice.amazonaws.com"
},
"Action": "sts:SetContext",
"Condition": {
"ForAllValues:ArnEquals": {
"sts:RequestContextProviders": "arn:aws:iam::source-account-id:oidc-provider/portal.sso.region.amazonaws.com/apl/application-id"
}
}
}
]
}
```
1. Cree una política de permisos:
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "OpenSearchDomain",
"Effect": "Allow",
"Action": ["es:ESHttp*"],
"Resource": "*"
}]
}
```
1. Cree el rol y adjunte las políticas:
```
aws iam create-role \
--role-name NeoIdCAppRole \
--assume-role-policy-document file://neoidc-trust-policy.json
aws iam put-role-policy \
--role-name NeoIdCAppRole \
--policy-name NeoIdCAppPermissions \
--policy-document file://neoidc-permissions-policy.json
```
### Paso 4: Cree la aplicación de OpenSearch interfaz de usuario con IAM Identity Center (cuenta de origen)
```
aws opensearch create-application \
--region region \
--name "cross-account-idc-app" \
--iam-identity-center-options '{
"enabled":true,
"iamIdentityCenterInstanceArn":"arn:aws:sso:::instance/ssoins-instance-id",
"iamRoleForIdentityCenterApplicationArn":"arn:aws:iam::source-account-id:role/NeoIdCAppRole"
}' \
--data-sources '[{
"dataSourceArn":"arn:aws:es:region:target-account-id:domain/domain-name",
"dataSourceDescription":"Cross-account domain",
"iamRoleForDataSourceArn":"arn:aws:iam::target-account-id:role/OpenSearchUIAccessRole"
}]' \
--app-configs '[{"key":"opensearchDashboards.dashboardAdmin.users","value":"[\"*\"]"}]'
```
### Paso 5: Crear y asignar usuarios y grupos del IAM Identity Center
**Cree un usuario del Centro de Identidad de IAM**
Ejecute el comando siguiente. Sustituya *placeholder values* por su propia información.
```
aws identitystore create-user \
--identity-store-id d-directory-id \
--user-name user-email \
--display-name "display-name" \
--name Formatted=string,FamilyName=last-name,GivenName=first-name \
--emails Value=user-email,Type=work,Primary=true
```
**Cree un grupo del Centro de identidades de IAM y añada el usuario**
Ejecute los siguientes comandos :
```
aws identitystore create-group \
--identity-store-id d-directory-id \
--display-name "OpenSearchUsers" \
--description "Users with OpenSearch access"
aws identitystore create-group-membership \
--identity-store-id d-directory-id \
--group-id group-id \
--member-id UserId=user-id
```
**Asigne el usuario o el grupo a la aplicación**
Use el siguiente comando:
```
aws sso-admin create-application-assignment \
--application-arn "arn:aws:sso:::source-account-id:application/ssoins-instance-id/apl-application-id" \
--principal-id user-id-or-group-id \
--principal-type USER
```
**Configure la asignación de roles de backend en el dominio de destino**
Asigne el grupo del centro de identidad de IAM a un rol OpenSearch de seguridad en el dominio de destino:
```
curl -XPUT "https://domain-endpoint/_plugins/_security/api/rolesmapping/all_access" \
-u admin:master-password \
-H 'Content-Type: application/json' \
-d '{
"backend_roles": ["group-id"],
"hosts": [],
"users": []
}'
```
### Paso 6: Verificar y acceder
```
aws opensearch get-application \
--region region \
--id application-id
```
+ Navegue hasta la URL del punto final de la aplicación.
+ Inicie sesión con las credenciales de usuario del IAM Identity Center.
+ Las solicitudes de datos de los usuarios del IAM Identity Center se firman con el rol de aplicación del Centro de Identidad de IAM, no con el rol multicuenta.
+ Las asignaciones de funciones de backend en el dominio controlan los permisos de acceso a los datos.
## Escenario 3: usuario de IAM que accede a un dominio de VPC
### Paso 1: Crear el rol de IAM multicuenta (cuenta de destino)
Cree un rol de IAM en la cuenta de destino que permita a la cuenta de origen asumirlo para la validación del dominio.
**Para crear el rol multicuenta**
1. Cree una política de confianza que permita a la cuenta de origen asumir el rol:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::source-account-id:root"
},
"Action": "sts:AssumeRole"
}]
}
```
1. Cree el rol:
```
aws iam create-role \
--role-name OpenSearchUIAccessRole \
--assume-role-policy-document file://trust-policy.json
```
1. Crea una política de permisos con solo la siguiente `es:DescribeDomain` acción:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "es:DescribeDomain",
"Resource": "arn:aws:es:region:target-account-id:domain/*"
}]
}
```
1. Asocie la política de permisos al rol:
```
aws iam put-role-policy \
--role-name OpenSearchUIAccessRole \
--policy-name ValidationOnly \
--policy-document file://permissions-policy.json
```
### Paso 2: Configurar la VPC (cuenta de destino)
Omita este paso si ya existe una VPC en la cuenta de destino.
```
# Create VPC
aws ec2 create-vpc \
--cidr-block 10.0.0.0/16 \
--region region
# Create subnet
aws ec2 create-subnet \
--vpc-id vpc-id \
--cidr-block 10.0.1.0/24 \
--availability-zone regiona \
--region region
# Create security group
aws ec2 create-security-group \
--group-name opensearch-vpc-sg \
--description "Security group for OpenSearch VPC domain" \
--vpc-id vpc-id \
--region region
# Allow inbound HTTPS
aws ec2 authorize-security-group-ingress \
--group-id security-group-id \
--protocol tcp \
--port 443 \
--cidr 10.0.0.0/16 \
--region region
```
Más información sobre la creación de [dominios de VPC](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html).
### Paso 3: Crear el dominio de VPC (cuenta de destino)
```
aws opensearch create-domain \
--domain-name vpc-domain-name \
--engine-version OpenSearch_2.19 \
--cluster-config InstanceType=m5.large.search,InstanceCount=1 \
--ebs-options "EBSEnabled=true,VolumeType=gp3,VolumeSize=100" \
--vpc-options "SubnetIds=subnet-id,SecurityGroupIds=security-group-id" \
--advanced-security-options '{"Enabled":true,"InternalUserDatabaseEnabled":true,"MasterUserOptions":{"MasterUserName":"admin","MasterUserPassword":"master-password"}}' \
--node-to-node-encryption-options '{"Enabled":true}' \
--encryption-at-rest-options '{"Enabled":true}' \
--domain-endpoint-options '{"EnforceHTTPS":true,"TLSSecurityPolicy":"Policy-Min-TLS-1-2-2019-07"}' \
--access-policies '{"Version":"2012-10-17", "Statement":[{"Effect":"Allow","Principal":{"AWS":"*"},"Action":"es:ESHttp*","Resource":"arn:aws:es:region:target-account-id:domain/vpc-domain-name/*"}]}' \
--region region
```
Espere a que el estado del dominio cambie `Active` antes de continuar.
### Paso 4: Autorizar el punto final de la VPC para el principal del servicio de OpenSearch interfaz de usuario (cuenta de destino)
**importante**
Este es un paso fundamental que es exclusivo de los dominios de VPC. El servicio de OpenSearch interfaz de usuario debe estar autorizado explícitamente para acceder al punto final de la VPC.
```
# Authorize the service principal
aws opensearch authorize-vpc-endpoint-access \
--domain-name vpc-domain-name \
--service "application.opensearchservice.amazonaws.com" \
--region region
# Verify authorization
aws opensearch list-vpc-endpoint-access \
--domain-name vpc-domain-name \
--region region
```
Respuesta esperada:
```
{
"AuthorizedPrincipalList": [
{
"PrincipalType": "AWS_SERVICE",
"Principal": "application.opensearchservice.amazonaws.com"
}
]
}
```
### Paso 5: Crear la aplicación de OpenSearch interfaz de usuario (cuenta de origen)
```
aws opensearch create-application \
--region region \
--name "cross-account-vpc-iam-app" \
--data-sources '[{
"dataSourceArn":"arn:aws:es:region:target-account-id:domain/vpc-domain-name",
"dataSourceDescription":"Cross-account VPC domain",
"iamRoleForDataSourceArn":"arn:aws:iam::target-account-id:role/OpenSearchUIAccessRole"
}]' \
--app-configs '[{"key":"opensearchDashboards.dashboardAdmin.users","value":"[\"*\"]"}]'
```
### Paso 6: Verificar y acceder
Recupere los detalles de la aplicación para obtener la URL del punto final:
```
aws opensearch get-application \
--region region \
--id application-id
```
+ Navegue hasta la URL del punto final de la aplicación desde la respuesta.
+ Inicie sesión con las credenciales de IAM.
+ El usuario de IAM firma las solicitudes del plano de datos con sus propias credenciales.
+ La política de acceso al dominio de destino controla los datos a los que puede acceder el usuario.
## Escenario 4: Un usuario del IAM Identity Center accede a un dominio de VPC
### Paso 1: Crear el rol de IAM multicuenta (cuenta de destino)
Cree un rol de IAM en la cuenta de destino que permita a la cuenta de origen asumirlo para la validación del dominio.
**Para crear el rol multicuenta**
1. Cree una política de confianza que permita a la cuenta de origen asumir el rol:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::source-account-id:root"
},
"Action": "sts:AssumeRole"
}]
}
```
1. Cree el rol:
```
aws iam create-role \
--role-name OpenSearchUIAccessRole \
--assume-role-policy-document file://trust-policy.json
```
1. Crea una política de permisos con solo la siguiente `es:DescribeDomain` acción:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "es:DescribeDomain",
"Resource": "arn:aws:es:region:target-account-id:domain/*"
}]
}
```
1. Asocie la política de permisos al rol:
```
aws iam put-role-policy \
--role-name OpenSearchUIAccessRole \
--policy-name ValidationOnly \
--policy-document file://permissions-policy.json
```
### Paso 2: Configurar la VPC (cuenta de destino)
Omita este paso si ya existe una VPC en la cuenta de destino.
```
# Create VPC
aws ec2 create-vpc \
--cidr-block 10.0.0.0/16 \
--region region
# Create subnet
aws ec2 create-subnet \
--vpc-id vpc-id \
--cidr-block 10.0.1.0/24 \
--availability-zone regiona \
--region region
# Create security group
aws ec2 create-security-group \
--group-name opensearch-vpc-sg \
--description "Security group for OpenSearch VPC domain" \
--vpc-id vpc-id \
--region region
# Allow inbound HTTPS
aws ec2 authorize-security-group-ingress \
--group-id security-group-id \
--protocol tcp \
--port 443 \
--cidr 10.0.0.0/16 \
--region region
```
Más información sobre la creación de [dominios de VPC](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html).
### Paso 3: Crear el dominio de VPC (cuenta de destino)
Utilice el mismo comando que[Paso 3: Crear el dominio de VPC (cuenta de destino)](#scenario-3-step-3), pero actualice la política de acceso para permitir el rol de aplicación de IAM Identity Center desde la cuenta de origen:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::source-account-id:role/NeoIdCAppRole"
},
"Action": "es:ESHttp*",
"Resource": "arn:aws:es:region:target-account-id:domain/vpc-domain-name/*"
}]
}
```
Espere a que el estado del dominio cambie `Active` antes de continuar.
### Paso 4: Autorizar el punto final de la VPC para el principal del servicio de OpenSearch interfaz de usuario (cuenta de destino)
**importante**
Este es un paso fundamental que es exclusivo de los dominios de VPC. El servicio de OpenSearch interfaz de usuario debe estar autorizado explícitamente para acceder al punto final de la VPC.
```
# Authorize the service principal
aws opensearch authorize-vpc-endpoint-access \
--domain-name vpc-domain-name \
--service "application.opensearchservice.amazonaws.com" \
--region region
# Verify authorization
aws opensearch list-vpc-endpoint-access \
--domain-name vpc-domain-name \
--region region
```
Respuesta esperada:
```
{
"AuthorizedPrincipalList": [
{
"PrincipalType": "AWS_SERVICE",
"Principal": "application.opensearchservice.amazonaws.com"
}
]
}
```
### Paso 5: Cree la función de IAM para la aplicación IAM Identity Center (cuenta de origen)
Cree una función de IAM en la cuenta de origen que la OpenSearch interfaz de usuario utiliza para acceder al plano de datos de los usuarios del IAM Identity Center.
**Para crear el rol de aplicación del Centro de Identidad de IAM**
1. Cree una política de confianza:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "application.opensearchservice.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Effect": "Allow",
"Principal": {
"Service": "application.opensearchservice.amazonaws.com"
},
"Action": "sts:SetContext",
"Condition": {
"ForAllValues:ArnEquals": {
"sts:RequestContextProviders": "arn:aws:iam::source-account-id:oidc-provider/portal.sso.region.amazonaws.com/apl/application-id"
}
}
}
]
}
```
1. Cree una política de permisos:
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "OpenSearchDomain",
"Effect": "Allow",
"Action": ["es:ESHttp*"],
"Resource": "*"
}]
}
```
1. Cree el rol y adjunte las políticas:
```
aws iam create-role \
--role-name NeoIdCAppRole \
--assume-role-policy-document file://neoidc-trust-policy.json
aws iam put-role-policy \
--role-name NeoIdCAppRole \
--policy-name NeoIdCAppPermissions \
--policy-document file://neoidc-permissions-policy.json
```
### Paso 6: Cree la aplicación de OpenSearch interfaz de usuario con IAM Identity Center (cuenta de origen)
```
aws opensearch create-application \
--region region \
--name "cross-account-vpc-idc-app" \
--iam-identity-center-options '{
"enabled":true,
"iamIdentityCenterInstanceArn":"arn:aws:sso:::instance/ssoins-instance-id",
"iamRoleForIdentityCenterApplicationArn":"arn:aws:iam::source-account-id:role/NeoIdCAppRole"
}' \
--data-sources '[{
"dataSourceArn":"arn:aws:es:region:target-account-id:domain/vpc-domain-name",
"dataSourceDescription":"Cross-account VPC domain",
"iamRoleForDataSourceArn":"arn:aws:iam::target-account-id:role/OpenSearchUIAccessRole"
}]' \
--app-configs '[{"key":"opensearchDashboards.dashboardAdmin.users","value":"[\"*\"]"}]'
```
### Paso 7: Crear y asignar usuarios y grupos del Centro de Identidad de IAM
**Cree un usuario del Centro de Identidad de IAM**
Ejecute el comando siguiente. Sustituya *placeholder values* por su propia información.
```
aws identitystore create-user \
--identity-store-id d-directory-id \
--user-name user-email \
--display-name "display-name" \
--name Formatted=string,FamilyName=last-name,GivenName=first-name \
--emails Value=user-email,Type=work,Primary=true
```
**Cree un grupo del Centro de identidades de IAM y añada el usuario**
Ejecute los siguientes comandos :
```
aws identitystore create-group \
--identity-store-id d-directory-id \
--display-name "OpenSearchUsers" \
--description "Users with OpenSearch access"
aws identitystore create-group-membership \
--identity-store-id d-directory-id \
--group-id group-id \
--member-id UserId=user-id
```
**Asigne el usuario o el grupo a la aplicación**
Use el siguiente comando:
```
aws sso-admin create-application-assignment \
--application-arn "arn:aws:sso:::source-account-id:application/ssoins-instance-id/apl-application-id" \
--principal-id user-id-or-group-id \
--principal-type USER
```
**Configure la asignación de roles de backend en el dominio de destino**
Asigne el grupo del centro de identidad de IAM a un rol OpenSearch de seguridad en el dominio de destino:
```
curl -XPUT "https://domain-endpoint/_plugins/_security/api/rolesmapping/all_access" \
-u admin:master-password \
-H 'Content-Type: application/json' \
-d '{
"backend_roles": ["group-id"],
"hosts": [],
"users": []
}'
```
### Paso 8: Verificar y acceder
```
aws opensearch get-application \
--region region \
--id application-id
```
+ Navegue hasta la URL del punto final de la aplicación.
+ Inicie sesión con las credenciales de usuario del IAM Identity Center.
+ Las solicitudes de datos de los usuarios del IAM Identity Center se firman con el rol de aplicación del Centro de Identidad de IAM, no con el rol multicuenta.
+ Las asignaciones de funciones de backend en el dominio controlan los permisos de acceso a los datos.
## Administración de las aplicaciones de
**Actualice una aplicación con fuentes de datos multicuenta**
Ejecute el comando siguiente. Sustituya *placeholder values* por su propia información.
```
aws opensearch update-application \
--region region \
--id application-id \
--data-sources '[{
"dataSourceArn":"arn:aws:es:region:target-account-id:domain/domain-1",
"dataSourceDescription":"First cross-account domain",
"iamRoleForDataSourceArn":"arn:aws:iam::target-account-id:role/OpenSearchUIAccessRole"
},{
"dataSourceArn":"arn:aws:es:region:target-account-id:domain/domain-2",
"dataSourceDescription":"Second cross-account domain",
"iamRoleForDataSourceArn":"arn:aws:iam::target-account-id:role/OpenSearchUIAccessRole"
}]'
```
**importante**
La operación de actualización reemplaza toda la matriz de fuentes de datos. Incluya todas las fuentes de datos que desee conservar.
**Enumerar aplicaciones**
Use el siguiente comando:
```
aws opensearch list-applications \
--region region
```
**Eliminación de una aplicación de**
Use el siguiente comando:
```
aws opensearch delete-application \
--region region \
--id application-id
```
**Revocar el acceso al punto final de la VPC**
Use el siguiente comando:
```
aws opensearch revoke-vpc-endpoint-access \
--domain-name vpc-domain-name \
--service "application.opensearchservice.amazonaws.com" \
--region region
```
## Referencia rápida
En las siguientes tablas se resumen las principales diferencias entre los tipos de dominio y los métodos de autenticación.
**Dominio público comparado con el dominio de VPC**
| Aspecto | Dominio público | Dominio de VPC |
| --- | --- | --- |
| Autorización de puntos finales de VPC | No obligatorio | Obligatorio: debe autorizar application.opensearchservice.amazonaws.com |
| Configuración de la red | Ninguno | VPC, subred y grupo de seguridad con HTTPS (443) entrante |
| Política de acceso de IAM | Obligatorio | Obligatorio |
| Función multicuenta | Necesario para el uso de varias cuentas | Necesario para cuentas cruzadas |
**Un usuario de IAM comparado con un usuario de IAM Identity Center**
| Aspecto | Usuario de IAM | Usuario de IAM Identity Center |
| --- | --- | --- |
| Credenciales del plano de datos | Credenciales de IAM propias del usuario | Función de aplicación del IAM Identity Center |
| Control de acceso | Política de acceso al dominio | Política de acceso al dominio y asignación de funciones de back-end |
| Configuración adicional | Ninguno | Rol de aplicación de IAM Identity Center, user/group creación, asignación de aplicaciones, mapeo de roles de back-end |
| OpenSearch Configuración de aplicaciones de interfaz de usuario | No hay opciones de IAM Identity Center | --iam-identity-center-options obligatorio |
## Notas importantes
+ `iamRoleForDataSourceArn`Debe estar en la misma cuenta que. `dataSourceArn`
+ Solo `iamRoleForDataSourceArn` es obligatorio para las fuentes de datos entre cuentas. Omita esta opción para las fuentes de datos de la misma cuenta.
+ La función multicuenta solo necesita el permiso. `es:DescribeDomain` Nunca se usa para acceder al plano de datos.
+ Para los dominios de VPC, se deben configurar tanto la política de IAM como la autorización de puntos de conexión de VPC.
+ Versiones de motor compatibles: OpenSearch 1.3 y superiores.
## Resolución de problemas
| Problema | Resolución |
| --- | --- |
| La creación de la aplicación falla y aparece el mensaje «No se puede acceder al dominio» | Compruebe que la función multicuenta tiene el es:DescribeDomain permiso y que la política de confianza permite la cuenta de origen. |
| Se produce un error en la asociación de dominios de VPC | Asegúrese de que el punto final de la VPC esté autorizado para. application.opensearchservice.amazonaws.com |
| Se ha denegado el acceso al plano de datos al usuario de IAM | Compruebe que la política de acceso al dominio de destino permita al usuario o rol principal de IAM. |
| Se ha denegado el acceso al plano de datos para el usuario del IAM Identity Center | Compruebe que la asignación de funciones de backend incluya el ID de grupo del IAM Identity Center y que la política de dominio permita la función de aplicación del IAM Identity Center. |
| Error de discordancia de cuentas | Asegúrese de que iamRoleForDataSourceArn está en la misma cuenta que el dominio. dataSourceArn |
# Búsqueda en clústeres
Con la [búsqueda entre clústeres](cross-cluster-search.md) en Amazon OpenSearch Serverless, puede realizar consultas y agregaciones en varios dominios conectados.
La búsqueda entre clústeres en Amazon OpenSearch Serverless utiliza los conceptos de dominio de *origen y dominio* de *destino*. Una petición de búsqueda en clústeres se origina en un dominio de origen. El dominio de destino puede estar en un dominio diferente Cuenta de AWS o Región de AWS (o en ambos) del dominio de origen desde el que se realiza la consulta. Mediante la búsqueda entre clústeres, puedes configurar un dominio de origen para asociarlo a tu OpenSearch interfaz de usuario en la misma cuenta y, a continuación, crear conexiones a los dominios de destino. Como resultado, puedes usar la OpenSearch interfaz de usuario con datos de los dominios de destino aunque estén en una cuenta o región diferente.
Usted paga los [cargos de transferencia de AWS datos estándar](https://aws.amazon.com/opensearch-service/pricing/) por los datos transferidos dentro y fuera de Amazon OpenSearch Service. No se le cobrará por los datos transferidos entre los nodos de su dominio OpenSearch de Servicio. Para obtener más información acerca de los cargos de entrada y salida, consulte [Transferencia de datos](https://aws.amazon.com/ec2/pricing/on-demand/#Data_Transfer) en la página *Precios bajo demanda de Amazon EC2*.
Puedes usar la búsqueda entre clústeres como mecanismo para que tu OpenSearch interfaz de usuario se asocie a clústeres de una cuenta diferente o de una región diferente. Las solicitudes entre dominios se cifran en tránsito de forma predeterminada como parte del node-to-node cifrado.
**nota**
La OpenSearch herramienta de código abierto también documenta la [búsqueda entre clústeres](https://opensearch.org/docs/latest/search-plugins/cross-cluster-search/). Tenga en cuenta que la configuración de la herramienta de código abierto difiere significativamente para los clústeres de código abierto en comparación con los dominios gestionados de Amazon OpenSearch Serverless.
En particular, en Amazon OpenSearch Serverless, las conexiones entre clústeres se configuran mediante las solicitudes Consola de administración de AWS en lugar de mediante `cURL` solicitudes. Además, el servicio administrado utiliza AWS Identity and Access Management (IAM) para la autenticación entre clústeres, además de un control de acceso detallado.
Por lo tanto, le recomendamos que utilice el contenido de este tema para configurar la búsqueda entre clústeres para sus dominios en lugar de utilizar la documentación de código abierto. OpenSearch
**Diferencias funcionales al utilizar la búsqueda entre clústeres**
En comparación con los dominios normales, los dominios de destino creados mediante la búsqueda entre clústeres tienen las siguientes diferencias y requisitos funcionales:
+ No puede escribir ni ejecutar comandos `PUT` en el clúster remoto. El acceso al clúster remoto es solo de *lectura*.
+ Tanto el dominio de origen como el de destino deben ser OpenSearch dominios. No puedes conectar un dominio de Elasticsearch ni clústeres de OpenSearch /Elasticsearch autogestionados para la interfaz de usuario. OpenSearch
+ Un dominio puede tener un máximo de 20 conexiones a otros dominios. Esto incluye las conexiones entrantes y salientes.
+ El dominio de origen debe estar en la misma versión o en una versión superior a la del dominio de destino. OpenSearch Si desea configurar conexiones bidireccionales entre dos dominios, los dos dominios deben estar en la misma versión. Recomendamos actualizar ambos dominios a la última versión antes de realizar la conexión. Si necesita actualizar los dominios después de configurar la conexión bidireccional, primero debe eliminar la conexión y, a continuación, volver a crearla.
+ No puede usar diccionarios personalizados o SQL con la búsqueda en clústeres.
+ No se puede usar CloudFormation para conectar dominios.
+ No se puede utilizar la búsqueda entre clústeres en instancias M3 o bursátiles (T2 y T3).
+ La búsqueda entre clústeres no funciona en las colecciones de Amazon OpenSearch Serverless.
**Requisitos previos de búsqueda entre clústeres para la interfaz de usuario OpenSearch**
Antes de configurar la búsqueda entre clústeres con dos OpenSearch dominios, asegúrate de que tus dominios cumplen los siguientes requisitos:
+ Control de acceso detallado habilitado para ambos dominios
+ Node-to-node el cifrado está habilitado para ambos dominios
**Topics**
+ [Configuración de permisos de acceso para el acceso a datos entre regiones y cuentas mediante la búsqueda entre clústeres](#cross-cluster-search-security)
+ [Crear una conexión entre dominios](#cross-cluster-search-create-connection)
+ [Probar su configuración de seguridad para el acceso a datos entre cuentas y regiones con búsqueda entre clústeres](#cross-cluster-search-security-testing)
+ [Eliminación de una conexión](#cross-cluster-search-deleting-connection)
## Configuración de permisos de acceso para el acceso a datos entre regiones y cuentas mediante la búsqueda entre clústeres
Al enviar una petición de búsqueda en clústeres al dominio de origen, el dominio evalúa esa petición en comparación con la política de acceso al dominio. La búsqueda en clústeres requiere un control de acceso preciso. A continuación, se muestra un ejemplo con una política de acceso abierto en el dominio de origen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"*"
]
},
"Action": [
"es:ESHttp*"
],
"Resource": "arn:aws:es:us-east-1:111222333444:domain/src-domain/*"
}
]
}
```
------
**nota**
Si incluye índices remotos en la ruta, debe codificar la URL del URI en el ARN del dominio.
Por ejemplo, use el siguiente formato de ARN:
`:arn:aws:es:us-east-1:111222333444:domain/my-domain/local_index,dst%3Aremote_index`
No use el siguiente formato ARN.
`arn:aws:es:us-east-1:111222333444:domain/my-domain/local_index,dst:remote_index.`
Si elige utilizar una política de acceso restrictivo además de un control de acceso detallado, la política debe permitir el acceso a `es:ESHttpGet` como mínimo. A continuación, se muestra un ejemplo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111222333444:user/john-doe"
]
},
"Action": "es:ESHttpGet",
"Resource": "arn:aws:es:us-east-1:111122223333:domain/my-domain/*"
}
]
}
```
------
El [control de acceso detallado](fgac.md) del dominio de origen evalúa la solicitud para determinar si está firmada con credenciales básicas de IAM o HTTP válidas. Si es así, el control de acceso detallado evalúa a continuación si el usuario tiene permiso para realizar la búsqueda y acceder a los datos.
Los siguientes son los requisitos de permiso para las búsquedas:
+ Si la solicitud solo busca datos en el dominio de destino (por ejemplo, `dest-alias:dest-index/_search)`), solo necesitará permisos en el dominio de destino.
+ Si la solicitud busca datos en ambos dominios (por ejemplo, `source-index,dest-alias:dest-index/_search)`), necesita permisos en ambos dominios.
+ En el control de acceso detallado, los usuarios deben tener el permiso `indices:admin/shards/search_shards` además de los permisos de lectura o estándar para los índices pertinentes.
El dominio de origen pasa la solicitud al dominio de destino. El dominio de destino evalúa esta solicitud frente a su política de acceso al dominio. Para admitir todas las funciones de la OpenSearch interfaz de usuario, como la indexación de documentos y la realización de búsquedas estándar, se deben configurar todos los permisos. A continuación, se muestra un ejemplo de nuestra política recomendada en el dominio de destino:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"*"
]
},
"Action": [
"es:ESHttp*"
],
"Resource": "arn:aws:es:us-east-2:111222333444:domain/my-destination-domain/*"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "es:ESCrossClusterGet",
"Resource": "arn:aws:es:us-east-2:111222333444:domain/"
}
]
}
```
------
Si solo desea realizar búsquedas básicas, el requisito mínimo de la política es que el permiso `es:ESCrossClusterGet` se solicite para el dominio de destino sin el uso de caracteres comodín. Por ejemplo, en la política anterior, especificaría el nombre de dominio como */my-destination-domain* y no*/my-destination-domain/\$1*.
En ese caso, el dominio de destino realiza la búsqueda y devuelve los resultados al dominio de origen. El dominio de origen combina sus propios resultados (si los hay) con los resultados del dominio de destino y los devuelve.
## Crear una conexión entre dominios
Una conexión entre clústeres es unidireccional desde el dominio de origen hasta el dominio de destino. Esto significa que los dominios de destino (en una cuenta o región diferente) no pueden consultar el dominio de origen, que es local en la OpenSearch interfaz de usuario. El dominio de origen crea una conexión *outbound* al dominio de destino. El dominio de destino recibe una solicitud de conexión *inbound* del dominio de origen.
![\[Una conexión entre clústeres es unidireccional desde el dominio de origen hasta el dominio de destino.\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/images/ui-oubound-inbound-connections.png)
**Para crear una conexión entre dominios**
1. Inicia sesión en la consola OpenSearch de Amazon Service desde [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home).
1. En el panel de navegación de la izquierda, seleccione **Dominios**.
1. Elija el nombre de un dominio que sirva como dominio de origen y, a continuación, elija la pestaña **Conexiones**.
1. En la sección **Conexiones de salida**, seleccione **Solicitar**.
1. En **Alias de conexión**, ingrese un nombre para la conexión. El alias de conexión se usa en la OpenSearch interfaz de usuario para seleccionar los dominios de destino.
1. En el **modo de conexión**, elija **Directo** para realizar búsquedas o replicaciones entre clústeres.
1. Para especificar que la conexión debe omitir los clústeres no disponibles durante una búsqueda, active la casilla **Omitir los clústeres no disponibles**. Esta configuración garantiza que las consultas entre clústeres devuelvan resultados parciales a pesar de que se produzcan errores en uno o más clústeres remotos.
1. En **Clúster de destino**, elija entre **Conectarse a un clúster de esta Cuenta de AWS** o **Conectarse a un clúster de otra Cuenta de AWS**.
1. En el **ARN de dominio remoto**, escriba el nombre de recurso de Amazon (ARN) para el clúster. El ARN del dominio se encuentra en el área de **información general** de la página de detalles del dominio.
El dominio debe cumplir los siguientes requisitos:
+ El formato del ARN debe ser `arn:partition:es:regionaccount-id:type/domain-id`. Por ejemplo:
`arn:aws:es:us-east-2:111222333444:domain/my-domain`
+ El dominio debe configurarse para usar la OpenSearch versión 1.0 (o posterior) o la versión 6.7 de Elasticsearch (o posterior).
+ Debe estar habilitado el control de acceso preciso en el dominio.
+ El dominio debe estar en ejecución. OpenSearch
1. Seleccione **Solicitar**.
La búsqueda entre clústeres valida primero la solicitud de conexión para asegurarse de que se cumplen los requisitos previos. Si los dominios son incompatibles, la solicitud de conexión entra en el estado `Validation failed`.
Una vez correctamente validada la solicitud de conexión, se envía al dominio de destino, donde tiene que aprobarse. Mientras no se obtenga la aprobación, la conexión permanecerá en el estado de `Pending acceptance`. Cuando se acepta la solicitud de conexión en el dominio de destino, el estado cambia a `Active` y el dominio de destino se vuelve disponible para consultas.
La página de dominio muestra el estado general del dominio y los detalles del estado de la instancia del dominio de destino. Los propietarios de dominios tienen la flexibilidad de crear, visualizar, eliminar y monitorear conexiones desde o hacia sus dominios.
Una vez establecida la conexión, se cifra todo el tráfico que circule entre los nodos de los dominios conectados. Si conecta un dominio de VPC a un dominio que no es VPC y el dominio que no es VPC es un punto de conexión público que puede recibir tráfico de Internet, el tráfico entre clúster entre los dominios sigue cifrado y seguro.
## Probar su configuración de seguridad para el acceso a datos entre cuentas y regiones con búsqueda entre clústeres
Una vez que haya configurado los permisos de acceso a los datos entre regiones y cuentas mediante la búsqueda entre clústeres, le recomendamos que pruebe la configuración con [https://www.postman.com/](https://www.postman.com/), una plataforma de terceros para el desarrollo colaborativo de las API.
**Para configurar la configuración de seguridad mediante Postman**
1. En el dominio de destino, indexe un documento: Lo que sigue es un ejemplo de resultado.
```
POST https://dst-domain.us-east-1.es.amazonaws.com/books/_doc/1
{
"Dracula": "Bram Stoker"
}
```
1. Para consultar este índice desde el dominio de origen, incluya el alias de conexión del dominio de destino dentro de la consulta. Puede encontrar el alias de conexión en la pestaña Conexiones del panel de control del dominio. A continuación, se muestra un ejemplo de solicitud y una respuesta truncada:
```
GET https://src-domain.us-east-1.es.amazonaws.com/connection_alias:books/_search
{
...
"hits": [
{
"_index": "source-destination:books",
"_type": "_doc",
"_id": "1",
"_score": 1,
"_source": {
"Dracula": "Bram Stoker"
}
}
]
}
```
1. (Opcional) Puede crear una configuración que incluya varios dominios en una sola búsqueda. Por ejemplo, supongamos que tiene lo siguiente:
Una conexión entre `domain-a` a `domain-b`, con un alias de conexión denominado `cluster_b`
Una conexión entre `domain-a` a `domain-c`, con un alias de conexión denominado `cluster_c`
En este caso, las búsquedas incluyen el contenido `domain-a`, `domain-b` y `domain-c`. A continuación se muestra un ejemplo de una solicitud y la respuesta:
Solicitud
```
GET https://src-domain.us-east-1.es.amazonaws.com/local_index,cluster_b:b_index,cluster_c:c_index/_search
{
"query": {
"match": {
"user": "domino"
}
}
}
```
Respuesta:
```
{
"took": 150,
"timed_out": false,
"_shards": {
"total": 3,
"successful": 3,
"failed": 0,
"skipped": 0
},
"_clusters": {
"total": 3,
"successful": 3,
"skipped": 0
},
"hits": {
"total": 3,
"max_score": 1,
"hits": [
{
"_index": "local_index",
"_type": "_doc",
"_id": "0",
"_score": 1,
"_source": {
"user": "domino",
"message": "This is message 1",
"likes": 0
}
},
{
"_index": "cluster_b:b_index",
"_type": "_doc",
"_id": "0",
"_score": 2,
"_source": {
"user": "domino",
"message": "This is message 2",
"likes": 0
}
},
{
"_index": "cluster_c:c_index",
"_type": "_doc",
"_id": "0",
"_score": 3,
"_source": {
"user": "domino",
"message": "This is message 3",
"likes": 0
}
}
]
}
}
```
Si no eligió omitir los clústeres no disponibles en la configuración de la conexión, todos los clústeres de destino que busca tienen que estar disponibles para que la petición de búsqueda se ejecute correctamente. De lo contrario, se produce un error en toda la solicitud; incluso si uno de los dominios no está disponible, la búsqueda no devuelve ningún resultado.
## Eliminación de una conexión
La eliminación de una conexión detiene cualquier operación de búsqueda entre clústeres en el dominio de destino.
Puede realizar estos pasos en el dominio de origen o de destino para eliminar la conexión. Una vez quitada la conexión, seguirá visible con el estado `Deleted` durante un periodo de 15 días.
No se puede eliminar un dominio con conexiones activas entre clústeres. Para eliminar un dominio, primero quite todas las conexiones entrantes y salientes de ese dominio. Esto es para asegurarse de tener en cuenta a los usuarios del dominio entre clústeres antes de eliminar el dominio.
**Para eliminar una conexión**
1. Inicia sesión en la consola OpenSearch de Amazon Service desde [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home).
1. En el panel de navegación de la izquierda, seleccione **Dominios**.
1. Elija el nombre de un dominio y, a continuación, la pestaña **Contenido**.
1. El nombre de la conexión que se va a eliminar.
1. Elija **Eliminar** y, a continuación, confirme la eliminación.
# Administrar el acceso a la OpenSearch interfaz de usuario desde un punto final de VPC
Puede crear una conexión privada entre la VPC y la OpenSearch interfaz de usuario mediante. AWS PrivateLink Con esta conexión, puede acceder a las aplicaciones de OpenSearch interfaz de usuario como si estuvieran en la misma VPC. De esta forma, no es necesario configurar una puerta de enlace a Internet, un dispositivo NAT o una conexión VPN ni AWS Direct Connect establecer la conexión. Las instancias de su VPC no necesitan direcciones IP públicas para acceder OpenSearch a la interfaz de usuario.
Para establecer esta conexión privada, primero debe crear un punto final de interfaz con tecnología. AWS PrivateLink Se crea una interfaz de red de punto de conexión en cada subred especificada para el punto de conexión de interfaz. Se trata de interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado a las aplicaciones de interfaz de usuario OpenSearch .
## Crear una conexión privada entre una VPC y una interfaz de usuario OpenSearch
Puede crear una conexión privada para acceder a la OpenSearch interfaz de usuario desde una VPC mediante o. Consola de administración de AWS AWS CLI
### Crear una conexión privada entre una VPC y una OpenSearch interfaz de usuario (consola)
**Para crear una conexión privada entre una VPC y la OpenSearch interfaz de usuario mediante la consola**
1. Inicia sesión en la consola OpenSearch de Amazon Service desde [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home).
1. En el panel de navegación de la izquierda, amplíe **Sin servidor** y seleccione **Puntos de conexión de VPC**.
1. Seleccione **Crear punto de conexión de VPC**.
1. En **Nombre**, ingrese un nombre para el punto de conexión.
1. En el **caso de la VPC**, seleccione la VPC desde la que accederá a OpenSearch las aplicaciones de interfaz de usuario.
1. En el caso de **las subredes**, selecciona una subred desde la que accederás a OpenSearch las aplicaciones de la interfaz de usuario.
**nota**
La dirección IP y el tipo de DNS del punto de conexión se basan en el tipo de subred:
Pila doble: si todas las subredes tienen ambos IPv4 rangos de direcciones. IPv6
IPv6: Si todas las subredes son IPv6 solo subredes.
IPv4: Si todas las subredes tienen IPv4 rangos de direcciones.
1. En **Grupos de seguridad**, seleccione el grupo de seguridad que se va a asociar con las interfaces de red de punto de conexión de VPC.
**nota**
Este es un paso fundamental en el que limita los puertos, protocolos y orígenes para el tráfico entrante que autoriza para el punto de conexión. Asegúrese de que las reglas del grupo de seguridad permitan que los recursos que utilizarán el punto final de la VPC para comunicarse con las aplicaciones de la OpenSearch interfaz de usuario también se comuniquen con la interfaz de red del punto final.
1. 8. Seleccione **Crear punto de conexión**.
### Crear una conexión privada entre una VPC y una OpenSearch interfaz de usuario ()AWS CLI
**Para crear una conexión privada entre una VPC y una OpenSearch interfaz de usuario mediante AWS CLI**
Ejecute el comando siguiente. Sustituya *placeholder values* por su propia información.
```
aws opensearchserverless create-vpc-endpoint \
--region region \
--endpoint endpoint \
--name vpc_endpoint_name \
--vpc-id vpc_id \
--subnet-ids subnet_ids
```
## Actualización de la política de puntos finales de la VPC para permitir el acceso a la aplicación de interfaz de usuario OpenSearch
Después de crear la conexión privada, actualice la política de puntos finales de la VPC para permitir el acceso a la aplicación de OpenSearch interfaz de usuario en la política de puntos finales de la VPC especificando el ID de la aplicación.
Para obtener más información sobre cómo actualizar la política de punto de conexión de VPC, consulte [Actualización de una política de punto de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#update-vpc-endpoint-policy) en la *Guía de AWS PrivateLink *.
Asegúrese de que la política de punto de conexión de VPC incluya la siguiente declaración. Sustituya *placeholder value* por su propia información.
```
{
"Statement": [{
"Action": ["opensearch:*"],
"Effect": "Allow",
"Principal": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"opensearch:ApplicationId": ["opensearch-ui-application-id"]
}
}
}]
}
```
## Revocar el acceso a la OpenSearch interfaz de usuario en una política de puntos finales de VPC
OpenSearch La interfaz de usuario requiere un permiso explícito en la política de puntos finales de la VPC para permitir a los usuarios acceder a la aplicación desde la VPC. Si ya no desea que los usuarios accedan a la OpenSearch interfaz de usuario desde la VPC, puede eliminar el permiso en la política de puntos finales. Después de esto, los usuarios reciben un mensaje de `403 forbidden` error al intentar acceder a la OpenSearch interfaz de usuario.
Para obtener más información sobre cómo actualizar la política de punto de conexión de VPC, consulte[ Actualización de una política de punto de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#update-vpc-endpoint-policy) en la *Guía de AWS PrivateLink *.
El siguiente es un ejemplo de una política de punto de conexión de VPC que deniega el acceso a las aplicaciones de la interfaz de usuario desde la VPC:
```
{
"Statement": [{
"Action": ["opensearch:*"],
"Effect": "Allow",
"Principal": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"opensearch:ApplicationId": [""]
}
}
}]
}
```
# Migración de objetos guardados de los OpenSearch paneles a la interfaz de usuario OpenSearch
Si tienes paneles, visualizaciones, patrones de indexación y otros objetos guardados en los OpenSearch paneles, puedes migrarlos y reutilizarlos en la interfaz de usuario. OpenSearch
Ventajas de migrar a la interfaz de usuario: OpenSearch
+ **Alta disponibilidad**: la OpenSearch interfaz de usuario está alojada en el dominio Nube de AWS y permanece disponible durante las actualizaciones y el mantenimiento, mientras que OpenSearch Dashboards se aloja en el dominio y no estará disponible temporalmente.
+ **Varias fuentes de datos**: la OpenSearch interfaz de usuario puede proporcionar un único panel de control consolidado para múltiples fuentes de datos, incluidos OpenSearch dominios, colecciones sin servidor y conexiones de datos con Amazon S3 y Amazon CloudWatch; mientras que cada OpenSearch panel solo puede funcionar con un dominio o colección.
+ En la interfaz de usuario están disponibles funciones adicionales, como el asistente de inteligencia artificial y los espacios de trabajo. OpenSearch Más información:[Uso de la OpenSearch interfaz de usuario en Amazon OpenSearch Service](application.md).
**Topics**
+ [Información general sobre la migración](#application-migrate-saved-objects-overview)
+ [Requisitos previos](#application-migrate-saved-objects-prerequisites)
+ [Paso 1: Exporte los objetos guardados desde los OpenSearch paneles](#application-migrate-saved-objects-export)
+ [Paso 2: Importa los objetos guardados a la interfaz de usuario OpenSearch](#application-migrate-saved-objects-import)
## Información general sobre la migración
El proceso de migración consta de los siguientes pasos de alto nivel:
1. **Exportación de objetos guardados desde OpenSearch paneles**: utilice la interfaz de usuario de administración de objetos guardados de OpenSearch Dashboards o la API de exportación para descargar sus paneles, visualizaciones, patrones de indexación y otros objetos como un archivo JSON (NDJSON) delimitado por líneas nuevas.
1. **Cree una aplicación de OpenSearch interfaz de usuario y un espacio de trabajo**: si aún no lo ha hecho, cree una aplicación de OpenSearch interfaz de usuario y un espacio de trabajo para recibir los objetos importados.
1. **Registre la fuente de datos en la OpenSearch interfaz de usuario**: asocie su OpenSearch dominio a la aplicación de OpenSearch interfaz de usuario y regístrela como fuente de datos en el espacio de trabajo. Los patrones de índice de los objetos importados hacen referencia a esta fuente de datos.
1. **Importación de objetos guardados a la OpenSearch interfaz de usuario**: utilice la OpenSearch interfaz de usuario de administración de objetos guardados o la API de importación para cargar el archivo NDJSON en el espacio de trabajo de destino.
1. **Valide los objetos importados**: abra los paneles y las visualizaciones en la OpenSearch interfaz de usuario para comprobar que se muestran correctamente y que los datos provienen del dominio o la colección asociados.
## Requisitos previos
Antes de la migración, compruebe los siguientes requisitos previos:
+ Dispones de los permisos de IAM necesarios para llamar al OpenSearch Servicio de Amazon y OpenSearch APIs. Para obtener más información, consulte [Permisos necesarios para crear aplicaciones OpenSearch de Amazon Service](application-getting-started.md#application-prerequisite-permissions).
+ Puede acceder al dominio o la colección y a los OpenSearch paneles de control que desee migrar.
+ Ha creado una aplicación de OpenSearch interfaz de usuario. Para obtener información sobre la creación de una aplicación y un espacio de trabajo, consulte[Introducción a la interfaz OpenSearch de usuario de Amazon OpenSearch Service](application-getting-started.md).
+ Ha asociado el mismo dominio o colección a la aplicación de OpenSearch interfaz de usuario. Para obtener información sobre la asociación de fuentes de datos, consulte[Administración de las asociaciones de orígenes de datos y los permisos de acceso a la nube privada virtual](application-data-sources-and-vpc.md).
**nota**
OpenSearch La interfaz de usuario solo es compatible con OpenSearch la versión 1.3 y posteriores. Comprueba que tu OpenSearch dominio ejecute la versión 1.3 o superior antes de intentar migrar los objetos guardados.
## Paso 1: Exporte los objetos guardados desde los OpenSearch paneles
Exporte los objetos guardados desde los OpenSearch paneles de control mediante la interfaz de usuario de administración o la API de exportación. La exportación genera un archivo JSON (NDJSON) delimitado por líneas nuevas que contiene todos los tipos de objetos guardados seleccionados y sus dependencias.
**Topics**
+ [OpenSearch Exporte manualmente a los paneles](#application-migrate-export-console)
+ [Exportación mediante API](#application-migrate-export-api)
### OpenSearch Exporte manualmente a los paneles
**Para exportar objetos guardados mediante la interfaz de usuario de administración de OpenSearch paneles**
1. Abre tu instancia de OpenSearch Dashboards.
1. En el panel de navegación izquierdo, selecciona **Administración**.
1. En **Administración de paneles**, seleccione **Objetos guardados**.
1. Seleccione los objetos guardados que desee exportar. Para exportar todos los objetos de un tipo específico, filtre por tipo mediante la barra de búsqueda. Para exportar todos los objetos, active la casilla de verificación del encabezado de la tabla.
1. Seleccione **Exportar**.
1. En el cuadro de diálogo **Exportar objetos guardados**, asegúrese de que esté seleccionada la opción **Incluir objetos relacionados**. Esta opción incluye todos los objetos de los que dependen los objetos guardados seleccionados, como los patrones de índice a los que hacen referencia las visualizaciones. Desactive esta opción solo si pretende gestionar las dependencias manualmente.
1. Seleccione **Exportar** para descargar el `.ndjson` archivo a su máquina local.
**sugerencia**
Si selecciona **Incluir objetos relacionados**, el archivo NDJSON exportado contiene todos los objetos guardados necesarios para renderizar los cuadros de mando y las visualizaciones seleccionados, incluidos los patrones de índice, las visualizaciones y los objetos de búsqueda que dependen de ellos. Esto simplifica el paso de importación y evita que falten errores de referencia.
### Exportación mediante API
Puede utilizar la API de exportación de objetos guardados de OpenSearch Dashboards para exportar los objetos guardados mediante programación. Esto resulta útil para automatizar las migraciones o integrar el paso de exportación en una canalización. CI/CD
**nota**
Si tu OpenSearch dominio tiene habilitado un [control de acceso detallado](fgac.md), debes proporcionar las credenciales de autenticación con tu solicitud de exportación. Usa la autenticación básica HTTP añadiendo la `-u` marca con tu nombre de usuario y contraseña. Para obtener más información acerca de las opciones de autenticación, consulte [Control de acceso detallado en Amazon Service OpenSearch](fgac.md).
En el siguiente ejemplo, se exportan todos los paneles con sus objetos relacionados. Sustituya *placeholder values* por su propia información.
```
curl -X POST \
"https://dashboards-endpoint/_dashboards/api/saved_objects/_export" \
-u 'master-username:master-password' \
-H "Content-Type: application/json" \
-H "osd-xsrf: true" \
-d '{
"type": ["dashboard", "visualization", "index-pattern", "search"],
"includeReferencesDeep": true,
"excludeExportDetails": false
}' \
-o saved-objects-export.ndjson
```
Si su dominio no tiene activado el control de acceso detallado, puede omitir la marca. `-u`
Para exportar objetos guardados específicos por ID, usa el parámetro en lugar de`objects`: `type`
```
curl -X POST \
"https://dashboards-endpoint/_dashboards/api/saved_objects/_export" \
-u 'master-username:master-password' \
-H "Content-Type: application/json" \
-H "osd-xsrf: true" \
-d '{
"objects": [
{"type": "dashboard", "id": "dashboard-id"},
{"type": "visualization", "id": "visualization-id"}
],
"includeReferencesDeep": true
}' \
-o saved-objects-export.ndjson
```
**nota**
Para buscar un objeto guardado IDs, puedes usar la API de objetos guardados para enumerar todos los objetos de un tipo específico. En el siguiente ejemplo, se enumeran todos los paneles:
```
curl -X GET \
"https://dashboards-endpoint/_dashboards/api/saved_objects/_find?type=dashboard" \
-u 'master-username:master-password'
```
La respuesta incluye el ID de cada objeto guardado. También puede encontrar el ID en la URL del navegador al ver el objeto en los OpenSearch paneles.
## Paso 2: Importa los objetos guardados a la interfaz de usuario OpenSearch
Después de exportar los objetos guardados, puede importar el archivo NDJSON a la OpenSearch interfaz de usuario manualmente o mediante la API.
**Topics**
+ [Importe manualmente en la interfaz de usuario OpenSearch](#application-migrate-import-console)
+ [Importación mediante API](#application-migrate-import-api)
### Importe manualmente en la interfaz de usuario OpenSearch
**Para importar objetos guardados mediante la OpenSearch interfaz de usuario de administración de la interfaz de usuario**
1. Abre la aplicación de OpenSearch interfaz de usuario y navega hasta el espacio de trabajo de destino.
1. En el espacio de trabajo, selecciona **Activos** en la barra de navegación superior o ve a la página de activos del espacio de trabajo.
1. Seleccione **Importar** para abrir el cuadro de diálogo **Importar activos**.
1. Elija **Seleccionar archivo** y seleccione el `.ndjson` archivo que ha exportado desde los OpenSearch paneles.
1. Para la **gestión de conflictos**, elija una de las siguientes opciones:
+ **Crear nuevos activos con elementos únicos IDs** (predeterminado): genera nuevos IDs para todos los objetos importados, lo que evita conflictos con los activos existentes.
+ **Comprobar si hay activos existentes**: comprueba si hay conflictos con los objetos existentes. Cuando esté seleccionada, elija una de las siguientes subopciones:
+ **Sobrescribe automáticamente los conflictos**: los activos existentes con el mismo ID se sustituyen automáticamente.
+ **Solicita que se tomen medidas en caso de conflicto**: se te pedirá que resuelvas cada conflicto de forma individual.
1. Seleccione **Importar**.
1. Revise el resumen de la importación.
### Importación mediante API
Para importar objetos guardados mediante la API con la autenticación AWS Signature versión 4, primero debe obtener el ID de la fuente de datos y, a continuación, utilizarlo en la solicitud de importación. Sustituya *placeholder values* por su propia información.
Paso 1: Obtenga el ID de la fuente de datos de su espacio de trabajo:
```
curl -X GET \
"https://opensearch-ui-endpoint/w/workspace-id/api/saved_objects/_find?type=data-source" \
--aws-sigv4 "aws:amz:region:opensearch" \
--user "$AWS_ACCESS_KEY_ID:$AWS_SECRET_ACCESS_KEY" \
-H "x-amz-security-token: $AWS_SESSION_TOKEN" \
-H "osd-xsrf: true"
```
**nota**
La respuesta incluye el ID de la fuente de datos. También puede encontrar el ID de la fuente de datos en la URL del navegador al ver la fuente de datos en la OpenSearch interfaz de usuario.
Paso 2: importe los objetos guardados utilizando el ID de la fuente de datos del paso 1:
```
curl -X POST \
"https://opensearch-ui-endpoint/w/workspace-id/api/saved_objects/_import?overwrite=true&dataSourceId=data-source-id" \
--aws-sigv4 "aws:amz:region:opensearch" \
--user "$AWS_ACCESS_KEY_ID:$AWS_SECRET_ACCESS_KEY" \
-H "x-amz-security-token: $AWS_SESSION_TOKEN" \
-H "osd-xsrf: true" \
-F "file=@saved-objects-export.ndjson"
```
**nota**
Estos ejemplos utilizan la `--aws-sigv4` opción integrada de curl (disponible en curl 7.75 o versiones posteriores) para firmar las solicitudes. Configura tus AWS credenciales como variables de entorno antes de ejecutar los comandos: `AWS_ACCESS_KEY_ID``AWS_SECRET_ACCESS_KEY`, y `AWS_SESSION_TOKEN` (si utilizas credenciales temporales).
# OpenSearch Puntos finales y cuotas de la interfaz de usuario
Para conectarse mediante programación a un AWS servicio, se utiliza un punto final. Las cuotas de servicio, que también se denominan límites, establecen el número máximo de recursos u operaciones de servicio que puede haber en una cuenta de AWS .
Amazon OpenSearch UI es la interfaz de OpenSearch usuario de próxima generación para OpenSearch paneles. Proporciona puntos de conexión para acceder a sus OpenSearch paneles de control. Utilice este tema para encontrar los puntos finales del servicio y las cuotas de servicio para la interfaz de usuario. OpenSearch
Para obtener más información sobre otros OpenSearch servicios, consulte Cuotas [y puntos finales del servicio](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html).
## OpenSearch Puntos finales de interfaz de usuario
OpenSearch La interfaz de usuario está disponible en las siguientes regiones:
| Nombre de la región | Región | Punto de conexión | Protocolo |
| --- | --- | --- | --- |
| Asia-Pacífico (Mumbai) | ap-south-1 | opensearch.ap-south-1.amazonaws.com es.ap-south-1.amazonaws.com | HTTPS HTTPS |
| Europa (París) | eu-west-3 | opensearch.eu-west-3.amazonaws.com es.eu-west-3.amazonaws.com | HTTPS HTTPS |
| Este de EE. UU. (Ohio) | us-east-2 | opensearch.us-east-2.amazonaws.com es.us-east-2.amazonaws.com | HTTPS HTTPS |
| Europa (Irlanda) | eu-west-1 | opensearch.eu-west-1.amazonaws.com es.eu-west-1.amazonaws.com | HTTPS HTTPS |
| Europa (Fráncfort) | eu-central-1 | opensearch.eu-central-1.amazonaws.com es.eu-central-1.amazonaws.com | HTTPS HTTPS |
| América del Sur (São Paulo) | sa-east-1 | opensearch.sa-east-1.amazonaws.com es.sa-east-1.amazonaws.com | HTTPS HTTPS |
| Este de EE. UU. (Norte de Virginia) | us-east-1 | opensearch.us-east-1.amazonaws.com es.us-east-1.amazonaws.com | HTTPS HTTPS |
| Europa (Londres) | eu-west-2 | opensearch.eu-west-2.amazonaws.com es.eu-west-2.amazonaws.com | HTTPS HTTPS |
| Asia-Pacífico (Tokio) | ap-northeast-1 | zocalo.ap-northeast-1.amazonaws.com es.ap-northeast-1.amazonaws.com | HTTPS HTTPS |
| Oeste de EE. UU. (Oregón) | us-west-2 | opensearch.us-west-2.amazonaws.com es.us-west-2.amazonaws.com | HTTPS HTTPS |
| Asia-Pacífico (Singapur) | ap-southeast-1 | opensearch.ap-southeast-1.amazonaws.com es.ap-southeast-1.amazonaws.com | HTTPS HTTPS |
| Asia-Pacífico (Sídney) | ap-southeast-2 | opensearch.ap-southeast-2.amazonaws.com es.ap-southeast-2.amazonaws.com | HTTPS HTTPS |
| Canadá (centro) | ca-central-1 | opensearch.ca-central-1.amazonaws.com es.ca-central-1.amazonaws.com | HTTPS HTTPS |
| Europa (Estocolmo) | eu-north-1 | opensearch.eu-north-1.amazonaws.com es.eu-north-1.amazonaws.com | HTTPS HTTPS |
| Asia-Pacífico (Hong Kong) | ap-east-1 | opensearch.ap-east-1.amazonaws.com es.ap-east-1.amazonaws.com | HTTPS HTTPS |
| Asia-Pacífico (Seúl) | ap-northeast-2 | opensearch.ap-northeast-2.amazonaws.com es.ap-northeast-2.amazonaws.com | HTTPS HTTPS |
| Asia-Pacífico (Osaka) | ap-northeast-3 | opensearch.ap-northeast-3.amazonaws.com es.ap-northeast-3.amazonaws.com | HTTPS HTTPS |
| Asia-Pacífico (Hyderabad) | ap-south-2 | opensearch.ap-south-2.amazonaws.com es.ap-south-2.amazonaws.com | HTTPS HTTPS |
| Europa (España) | eu-south-2 | opensearch.eu-south-2.amazonaws.com es.eu-south-2.amazonaws.com | HTTPS HTTPS |
| Oeste de EE. UU. (Norte de California) | us-west-1 | opensearch.us-west-1.amazonaws.com es.us-west-1.amazonaws.com | HTTPS HTTPS |
| Europa (Zúrich) | eu-central-2 | opensearch.eu-central-2.amazonaws.com es.eu-central-2.amazonaws.com | HTTPS HTTPS |
| Europa (Milán) | eu-south-1 | opensearch.eu-south-1.amazonaws.com es.eu-south-1.amazonaws.com | HTTPS HTTPS |
## OpenSearch Cuotas de servicio de interfaz
Su AWS cuenta tiene las siguientes cuotas relacionadas con los recursos de la OpenSearch interfaz de usuario.
| Name | Predeterminado | Ajustable | Notas |
| --- | --- | --- | --- |
| OpenSearch Aplicaciones de interfaz de usuario por cuenta y región | 30 | Sí | El número máximo de aplicaciones de OpenSearch interfaz de usuario que puede crear por cuenta y región. Puede aumentar el límite a 50 mediante la cuota de servicio y conseguir que se apruebe automáticamente. Para solicitar un límite superior, envía un ticket de soporte. |