Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Autoriser les connexions à Amazon Service OpenSearch
| |
| --- |
| S’applique à : édition Enterprise |
| |
| --- |
| Public cible : administrateurs système |
Avant de pouvoir l'utiliser OpenSearch dans un ensemble de données Amazon Quick Sight, l'administrateur Quick doit effectuer quelques tâches avec la coopération d'une personne ayant accès à la OpenSearch console.
Pour commencer, identifiez chaque OpenSearch domaine auquel vous souhaitez vous connecter. Rassemblez ensuite les informations suivantes pour chaque domaine :
+ Le nom du OpenSearch domaine.
+ OpenSearch Version utilisée par ce domaine.
+ Le nom de ressource Amazon (ARN) du OpenSearch domaine.
+ Point de terminaison HTTPS.
+ L'URL OpenSearch des tableaux de bord, si vous utilisez des tableaux de bord. Vous avez la possibilité d’extrapoler l’URL des tableaux de bord en ajoutant « `/dashboards/` » à un point de terminaison.
+ Si le domaine possède un point de terminaison VPC, collectez toutes les informations associées dans l'onglet VPC de la console de service : OpenSearch
+ L’ID de VPC
+ Les groupes de sécurité VPC
+ Le ou les rôles IAM associés
+ Les zones de disponibilité associées
+ Les sous-réseaux associés
+ Si le domaine possède un point de terminaison normal (et non un point de terminaison de VPC), notez qu’il utilise le réseau public.
+ Heure de début de l’instantané automatique quotidien (si vos utilisateurs veulent le savoir).
Avant de poursuivre, l'administrateur Amazon Quick active les connexions autorisées entre Amazon Quick et OpenSearch Service. Ce processus est obligatoire pour chaque AWS service auquel vous vous connectez depuis Amazon Quick. Vous ne devez effectuer cette opération qu'une seule fois Compte AWS pour chaque AWS service que vous utilisez comme source de données.
Pour le OpenSearch service, le processus d'autorisation ajoute la politique AWS gérée `AWSQuickSightOpenSearchPolicy` à votre Compte AWS.
**Important**
Assurez-vous que la politique IAM de votre OpenSearch domaine n'entre pas en conflit avec les autorisations de`AWSQuickSightOpenSearchPolicy`. Vous trouverez la politique d'accès au domaine dans la console OpenSearch de service. Pour plus d'informations, consultez [la section Configuration des politiques d'accès](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-creating) dans le manuel *Amazon OpenSearch Service Developer Guide*.
**Pour activer ou désactiver les connexions depuis Amazon Quick to OpenSearch Service**
1. Dans Amazon Quick, choisissez **Administrator** et **Manage Amazon Quick**.
1. Choisissez **Sécurité et autorisations**, **Ajouter ou supprimer**.
1. Pour activer les connexions, cochez la case **Amazon OpenSearch Service**.
Pour désactiver les connexions, décochez la case **Amazon OpenSearch Service**.
1. Choisissez **Mettre à jour** pour confirmer vos choix.
Si nécessaire, utilisez les rubriques ci-dessous pour configurer une connexion OpenSearch VPC et les autorisations d'accès à Amazon Quick. OpenSearch
**Topics**
+ [Utilisation d’une connexion VPC](#opensearch-and-vpc-connection)
+ [Utilisation des OpenSearch autorisations](#opensearch-permissions)
## Utilisation d’une connexion VPC
Dans certains cas, votre OpenSearch domaine se trouve dans un cloud privé virtuel (VPC) basé sur le service Amazon VPC. Dans ce cas, assurez-vous de déterminer si Amazon Quick est déjà connecté à l'ID VPC utilisé par le OpenSearch domaine. Vous pouvez réutiliser une connexion VPC existante. Si vous n’êtes pas sûr de son fonctionnement, vous pouvez la tester. Pour plus d'informations, consultez [Tester la connexion à votre source de données Amazon VPC](https://docs.aws.amazon.com/quicksight/latest/user/vpc-creating-a-quicksight-data-source-profile.html).
Si aucune connexion n'est déjà définie dans Amazon Quick pour le VPC que vous souhaitez utiliser, vous pouvez en créer une. Cette tâche est un processus en plusieurs étapes que vous devez réaliser avant de poursuivre. Pour savoir comment ajouter Amazon Quick à un VPC et ajouter une connexion d'Amazon Quick au VPC, consultez Connexion à un Amazon VPC avec [Amazon](https://docs.aws.amazon.com/quicksight/latest/user/working-with-aws-vpc.html) Quick.
## Utilisation des OpenSearch autorisations
Après avoir configuré Amazon Quick pour vous connecter au OpenSearch service, vous devrez peut-être activer les autorisations dans OpenSearch. Pour cette partie du processus de configuration, vous pouvez utiliser le lien OpenSearch Tableaux de bord pour chaque OpenSearch domaine. Utilisez la liste suivante pour déterminer les autorisations dont vous avez besoin :
1. Pour les domaines qui utilisent un contrôle précis des accès, configurez les autorisations sous la forme d’un rôle. Ce processus est similaire à l'utilisation de politiques délimitées dans Amazon Quick.
1. Pour chaque domaine pour lequel vous créez un rôle, ajoutez un mappage de rôle.
Pour plus d’informations, regardez ci-après.
Si le [contrôle d'accès détaillé est activé](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac.html) sur votre OpenSearch domaine, certaines autorisations doivent être configurées afin que le domaine soit accessible depuis Amazon Quick. Effectuez ces étapes pour chaque domaine que vous souhaitez utiliser.
La procédure suivante utilise les OpenSearch tableaux de bord, un outil open source qui fonctionne avec. OpenSearch Vous trouverez le lien vers les tableaux de bord sur le tableau de bord du domaine sur la console OpenSearch de service.
**Pour ajouter des autorisations à un domaine afin d'autoriser l'accès depuis Amazon Quick**
1. Ouvrez OpenSearch les tableaux de bord pour le OpenSearch domaine avec lequel vous souhaitez travailler. L’URL est `opensearch-domain-endpoint/dashboards/`.
1. Dans le volet de navigation, choisissez **Sécurité**.
Si vous ne voyez pas le volet de navigation, ouvrez-le à l’aide de l’icône de menu en haut à gauche. Pour que le menu reste ouvert, choisissez **Navigation Dock** en bas à gauche.
1. Choisissez **Roles (Rôles)**, **Create role (Créer un rôle)**.
1. Nommez le rôle **quicksight\$1role**.
Vous pouvez choisir un autre nom, mais nous recommandons celui-ci parce que nous l’utilisons dans notre documentation et il est donc plus facile à prendre en charge.
1. Sous **Autorisations du cluster**, ajoutez les autorisations suivantes :
+ `cluster:monitor/main`
+ `cluster:monitor/health`
+ `cluster:monitor/state`
+ `indices:data/read/scroll`
+ `indices:data/read/scroll/clear`,
1. Sous **Autorisations d’index**, spécifiez **\$1** comme modèle d’index.
1. Pour les **Autorisations d’index**, ajoutez les autorisations suivantes :
+ `indices:admin/get`
+ `indices:admin/mappings/get`
+ `indices:admin/mappings/fields/get*`
+ `indices:data/read/search*`
+ `indices:monitor/settings/get`
1. Choisissez **Créer**.
1. Répétez cette procédure pour chaque OpenSearch domaine que vous prévoyez d'utiliser.
Utilisez la procédure suivante pour ajouter un mappage de rôle pour les autorisations que vous avez ajoutées dans la procédure précédente. Il peut s’avérer plus efficace d’ajouter les autorisations et le mappage de rôle dans le cadre d’un processus unique. Ces instructions sont séparées pour des raisons de clarté.
**Création d’un mappage de rôle pour le rôle IAM que vous avez ajouté**
1. Ouvrez OpenSearch les tableaux de bord pour le OpenSearch domaine avec lequel vous souhaitez travailler. L’URL est `opensearch-domain-endpoint/dashboards/`.
1. Dans le volet de navigation, choisissez **Sécurité**.
1. Recherchez et ouvrez **quicksight\$1role** dans la liste.
1. Dans l’onglet **Utilisateurs mappés**, sélectionnez **Gestion du mappage**.
1. Dans la **section Rôles principaux**, entrez l'ARN du rôle IAM AWS géré pour Amazon Quick. Voici un exemple.
```
arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0
```
1. Choisissez **Mappage**.
1. Répétez cette procédure pour chaque OpenSearch domaine que vous souhaitez utiliser.