Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Langkah 1: Buat integrasi dengan OpenSearch Layanan
Langkah pertama adalah membuat integrasi dengan OpenSearch Layanan, yang perlu Anda lakukan hanya sekali. Membuat integrasi akan membuat sumber daya berikut di akun Anda.
Koleksi deret OpenSearch Service waktu tanpa ketersediaan tinggi.
Koleksi adalah sekumpulan indeks OpenSearch Layanan yang bekerja sama untuk mendukung beban kerja.
Dua kebijakan keamanan untuk koleksi. Satu mendefinisikan jenis enkripsi, yang baik dengan kunci yang dikelola pelanggan atau AWS KMS kunci yang dimiliki layanan. Kebijakan lain mendefinisikan akses jaringan, memungkinkan aplikasi OpenSearch Layanan untuk mengakses koleksi. Untuk informasi selengkapnya, lihat Enkripsi data saat istirahat untuk OpenSearch Layanan Amazon.
Kebijakan akses data OpenSearch Layanan yang menentukan siapa yang dapat mengakses data dalam koleksi.
Sumber data kueri langsung OpenSearch Layanan dengan CloudWatch Log didefinisikan sebagai sumber.
Aplikasi OpenSearch Layanan dengan nama
aws-analytics. Aplikasi akan dikonfigurasi untuk memungkinkan pembuatan ruang kerja. Jika aplikasi bernamaaws-analyticssudah ada, itu akan diperbarui untuk menambahkan koleksi ini sebagai sumber data.Ruang kerja OpenSearch Layanan yang akan meng-host dasbor dan memungkinkan semua orang yang telah diberikan akses untuk membaca dari ruang kerja.
Izin yang diperlukan
Untuk membuat integrasi, Anda harus masuk ke akun yang memiliki kebijakan IAM CloudWatchOpenSearchDashboardsFullAccessterkelola atau izin yang setara, ditampilkan di sini. Anda juga harus memiliki izin ini untuk menghapus integrasi, membuat, mengedit, dan menghapus dasbor, dan menyegarkan dasbor secara manual.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "CloudWatchOpenSearchDashboardsIntegration", "Effect": "Allow", "Action": [ "logs:ListIntegrations", "logs:GetIntegration", "logs:DeleteIntegration", "logs:PutIntegration", "logs:DescribeLogGroups", "opensearch:ApplicationAccessAll", "iam:ListRoles", "iam:ListUsers" ], "Resource": "*" }, { "Sid": "CloudWatchLogsOpensearchReadAPIs", "Effect": "Allow", "Action": [ "aoss:BatchGetCollection", "aoss:BatchGetLifecyclePolicy", "es:ListApplications" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsOpensearchCreateServiceLinkedAccess", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService", "Condition": { "StringEquals": { "iam:AWSServiceName": "opensearchservice.amazonaws.com", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsObservabilityCreateServiceLinkedAccess", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/observability.aoss.amazonaws.com/AWSServiceRoleForAmazonOpenSearchServerless", "Condition": { "StringEquals": { "iam:AWSServiceName": "observability.aoss.amazonaws.com", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsCollectionRequestAccess", "Effect": "Allow", "Action": [ "aoss:CreateCollection" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:RequestTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsApplicationRequestAccess", "Effect": "Allow", "Action": [ "es:CreateApplication" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:RequestTag/OpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "OpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsCollectionResourceAccess", "Effect": "Allow", "Action": [ "aoss:DeleteCollection" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsApplicationResourceAccess", "Effect": "Allow", "Action": [ "es:UpdateApplication", "es:GetApplication" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/OpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsCollectionPolicyAccess", "Effect": "Allow", "Action": [ "aoss:CreateSecurityPolicy", "aoss:CreateAccessPolicy", "aoss:DeleteAccessPolicy", "aoss:DeleteSecurityPolicy", "aoss:GetAccessPolicy", "aoss:GetSecurityPolicy" ], "Resource": "*", "Condition": { "StringLike": { "aoss:collection": "cloudwatch-logs-*", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsAPIAccessAll", "Effect": "Allow", "Action": [ "aoss:APIAccessAll" ], "Resource": "*", "Condition": { "StringLike": { "aoss:collection": "cloudwatch-logs-*" } } }, { "Sid": "CloudWatchLogsIndexPolicyAccess", "Effect": "Allow", "Action": [ "aoss:CreateAccessPolicy", "aoss:DeleteAccessPolicy", "aoss:GetAccessPolicy", "aoss:CreateLifecyclePolicy", "aoss:DeleteLifecyclePolicy" ], "Resource": "*", "Condition": { "StringLike": { "aoss:index": "cloudwatch-logs-*", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsDQSRequestQueryAccess", "Effect": "Allow", "Action": [ "es:AddDirectQueryDataSource" ], "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:RequestTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsStartDirectQueryAccess", "Effect": "Allow", "Action": [ "opensearch:StartDirectQuery", "opensearch:GetDirectQuery" ], "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*" }, { "Sid": "CloudWatchLogsDQSResourceQueryAccess", "Effect": "Allow", "Action": [ "es:GetDirectQueryDataSource", "es:DeleteDirectQueryDataSource" ], "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsPassRoleAccess", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:PassedToService": "directquery.opensearchservice.amazonaws.com", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsAossTagsAccess", "Effect": "Allow", "Action": [ "aoss:TagResource" ], "Resource": "arn:aws:aoss:*:*:collection/*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsEsApplicationTagsAccess", "Effect": "Allow", "Action": [ "es:AddTags" ], "Resource": "arn:aws:opensearch:*:*:application/*", "Condition": { "StringEquals": { "aws:ResourceTag/OpenSearchIntegration": [ "Dashboards" ], "aws:CalledViaFirst": "logs.amazonaws.com" }, "ForAllValues:StringEquals": { "aws:TagKeys": "OpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsEsDataSourceTagsAccess", "Effect": "Allow", "Action": [ "es:AddTags" ], "Resource": "arn:aws:opensearch:*:*:datasource/*", "Condition": { "StringEquals": { "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ], "aws:CalledViaFirst": "logs.amazonaws.com" }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } } ] }
Buat integrasi
Gunakan langkah-langkah ini untuk membuat integrasi.
Untuk mengintegrasikan CloudWatch Log dengan Amazon OpenSearch Service
Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/
. Di panel navigasi kiri, pilih Wawasan Log dan kemudian pilih tab Analisis dengan OpenSearch.
Pilih Buat integrasi.
Untuk nama Integrasi, masukkan nama untuk integrasi.
(Opsional) Untuk mengenkripsi data yang ditulis ke OpenSearch Service Serverless, masukkan ARN kunci yang ingin Anda gunakan dalam ARN AWS KMS kunci KMS. Untuk informasi selengkapnya, lihat Enkripsi saat istirahat di Panduan Pengembang OpenSearch Layanan Amazon.
Untuk penyimpanan data, masukkan jumlah waktu yang Anda inginkan agar indeks data OpenSearch Layanan dipertahankan. Ini juga menentukan periode waktu maksimum di mana Anda dapat melihat data di dasbor. Memilih periode retensi data yang lebih lama akan menimbulkan biaya pencarian dan pengindeksan tambahan. Untuk informasi selengkapnya, lihat OpenSearch Harga Tanpa Server Layanan
. Periode retensi maksimum adalah 30 hari.
Panjang retensi data juga akan digunakan untuk membuat kebijakan siklus hidup pengumpulan OpenSearch Layanan.
Untuk peran IAM untuk menulis ke OpenSearch koleksi, buat peran IAM baru atau pilih peran IAM yang ada yang akan digunakan untuk menulis ke koleksi Layanan. OpenSearch
Membuat peran baru adalah metode paling sederhana, dan peran akan dibuat dengan izin yang diperlukan.
catatan
Jika Anda membuat peran, itu akan memiliki izin untuk membaca dari semua grup log di akun.
Jika Anda ingin memilih peran yang ada, itu harus memiliki izin yang tercantum diIzin yang dibutuhkan integrasi. Atau, Anda dapat memilih Gunakan peran yang ada dan kemudian di bagian Verifikasi izin akses dari peran yang dipilih, Anda dapat memilih Buat peran. Dengan cara ini Anda dapat menggunakan izin yang tercantum Izin yang dibutuhkan integrasi sebagai templat dan memodifikasinya. Misalnya, jika Anda ingin menentukan kontrol butir yang lebih baik dari grup log.
Untuk peran IAM dan pengguna yang dapat melihat dasbor, Anda memilih cara Anda ingin memberikan akses ke peran IAM dan pengguna IAM untuk akses dasbor log penjual otomatis:
Untuk membatasi akses dasbor ke beberapa pengguna saja, pilih Pilih peran IAM dan pengguna yang dapat melihat dasbor dan kemudian di kotak teks cari dan pilih peran IAM dan pengguna IAM yang ingin Anda berikan akses.
Untuk memberikan akses dasbor ke semua pengguna, pilih Izinkan semua peran dan pengguna di akun ini untuk melihat dasbor.
penting
Memilih peran atau pengguna, atau memilih semua pengguna, hanya menambahkannya ke kebijakan akses data yang diperlukan untuk mengakses koleksi OpenSearch Layanan yang menyimpan data dasbor. Agar mereka dapat melihat dasbor log penjual otomatis, Anda juga harus memberikan peran tersebut dan pengguna kebijakan IAM CloudWatchOpenSearchDashboardAccess terkelola.
Pilih Buat integrasi
Membuat integrasi akan memakan waktu beberapa menit.
