Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menggunakan OpenSearch UI di Amazon OpenSearch Service
OpenSearch UI (antarmuka pengguna) adalah pengalaman analitik operasional modern untuk OpenSearch Layanan Amazon yang menyediakan tampilan terpadu bagi Anda untuk berinteraksi dengan data di berbagai sumber. Tidak seperti OpenSearch Dasbor, yang hanya berfungsi dengan satu domain atau koleksi yang menghostingnya, OpenSearch UI di-host di AWS Cloud file. Hal ini memungkinkan OpenSearch UI untuk mencapai ketersediaan tinggi dan tetap berfungsi selama upgrade cluster, dan untuk terhubung secara native dengan beberapa sumber data. Untuk informasi tentang OpenSearch Dasbor, lihat[Menggunakan OpenSearch Dasbor dengan Layanan Amazon OpenSearch](dashboards.md).
Berikut ini adalah fitur utama OpenSearch UI:
+ **Dukungan beberapa sumber data** - OpenSearch UI dapat terhubung dengan beberapa sumber data untuk membuat tampilan yang komprehensif. Ini termasuk OpenSearch domain dan koleksi tanpa server, serta sumber AWS data terintegrasi seperti Amazon, Amazon Security Lake, dan CloudWatch Amazon Simple Storage Service (Amazon S3).
+ **Nol downtime selama peningkatan** - OpenSearch UI di-host di file. AWS Cloud Ini berarti bahwa OpenSearch tetap operasional dan dapat mengambil data dari cluster selama proses upgrade.
+ **Ruang kerja — Ruang** yang dikurasi untuk kolaborasi tim untuk berbagai alur kerja, seperti Observability, Security Analytics, dan Search. Anda dapat menentukan pengaturan privasi dan mengelola izin untuk kolaborator di ruang kerja Anda.
+ **Single sign-on** — OpenSearch UI bekerja dengan AWS IAM Identity Center dan SAMP melalui federasi AWS Identity and Access Management (IAM) untuk berintegrasi dengan penyedia identitas Anda guna menciptakan pengalaman masuk tunggal bagi pengguna akhir Anda.
+ **Analitik yang didukung Genai** — OpenSearch UI mendukung pembuatan kueri bahasa alami untuk membantu menghasilkan kueri yang tepat untuk analisis Anda. OpenSearch UI juga bekerja dengan Amazon Q Developer untuk menyediakan obrolan Amazon Q dan membantu menghasilkan visualisasi, ringkasan peringatan, wawasan, dan detektor anomali yang direkomendasikan.
+ **Dukungan beberapa bahasa kueri** - OpenSearch UI mendukung Piped Processing Language (PPL), SQL, Lucene, dan Dashboards Query Language (DQL).
+ **Dukungan Lintas Wilayah dan lintas akun** — OpenSearch UI dapat memanfaatkan fitur pencarian lintas klaster untuk terhubung dengan OpenSearch domain di akun yang berbeda dan Wilayah yang berbeda untuk analisis dan visualisasi agregat.
Untuk memulai dan membuat OpenSearch UI pertama Anda, ikuti petunjuk di[Memulai antarmuka OpenSearch pengguna di Amazon OpenSearch Service](application-getting-started.md).
Untuk informasi tentang fitur terbaru yang dirilis untuk OpenSearch UI, lihat[Riwayat rilis antarmuka pengguna OpenSearch Layanan Amazon](application-release-history.md).
**Topics**
+ [Riwayat rilis antarmuka pengguna OpenSearch Layanan Amazon](application-release-history.md)
+ [Memulai antarmuka OpenSearch pengguna di Amazon OpenSearch Service](application-getting-started.md)
+ [Agentic AI di Layanan Amazon OpenSearch](application-ai-assistant.md)
+ [Mengenkripsi metadata aplikasi OpenSearch UI dengan kunci yang dikelola pelanggan](application-encryption-cmk.md)
+ [Mengaktifkan federasi SAFL dengan AWS Identity and Access Management](application-enable-SAML-identity-federation.md)
+ [Mengelola asosiasi sumber data dan izin akses Virtual Private Cloud](application-data-sources-and-vpc.md)
+ [Menggunakan ruang kerja Amazon OpenSearch Service](application-workspaces.md)
+ [Akses data lintas wilayah dan lintas akun](application-cross-region-cross-account.md)
+ [Mengelola akses ke OpenSearch UI dari titik akhir VPC](application-access-ui-from-vpc-endpoint.md)
+ [Migrasi objek yang disimpan dari OpenSearch Dasbor ke UI OpenSearch](application-migration.md)
+ [OpenSearch Titik akhir dan kuota UI](opensearch-ui-endpoints-quotas.md)
# Riwayat rilis antarmuka pengguna OpenSearch Layanan Amazon
Tabel berikut mencantumkan semua rilis dukungan OpenSearch Layanan Amazon untuk OpenSearch UI serta fitur serta penyempurnaan yang disertakan dengan setiap rilis.
| Ubah | Tanggal rilis | Deskripsi |
| --- | --- | --- |
| Fitur baru | 2025-03-10 | OpenSearch UI sekarang mendukung akses data lintas akun ke OpenSearch domain. Anda dapat mengonfigurasi aplikasi dalam satu akun untuk mengakses domain di akun yang berbeda menggunakan IAM atau AWS IAM Identity Center otentikasi, untuk domain publik dan VPC. Untuk informasi selengkapnya, lihat [Akses data lintas akun ke domain OpenSearch](application-cross-account-data-access-domains.md). |
| Fitur baru | 2025-12-29 | OpenSearch UI sekarang mendukung kunci terkelola pelanggan (CMK) untuk mengenkripsi metadata aplikasi. Fitur ini membantu Anda memenuhi persyaratan peraturan dan kepatuhan dengan memberi Anda kendali penuh atas kunci enkripsi. Peluncuran ini juga meningkatkan batas ukuran metadata untuk objek yang disimpan di OpenSearch UI, memungkinkan Anda membuat dan menyimpan kueri kompleks, visualisasi ekstensif, dan ruang kerja skala besar. Untuk informasi selengkapnya, lihat [Mengenkripsi metadata aplikasi OpenSearch UI dengan kunci yang dikelola pelanggan](application-encryption-cmk.md). |
| Fitur baru | 2025-04-16 | OpenSearch UI sekarang bekerja dengan [pencarian lintas cluster](cross-cluster-search.md). Hal ini memungkinkan Anda untuk menggunakan OpenSearch UI dalam satu Wilayah AWS untuk mengakses kluster di Wilayah yang berbeda. Ini dilakukan dengan mengonfigurasinya sebagai cluster jarak jauh yang terhubung dengan cluster di Wilayah yang sama. Untuk informasi selengkapnya, lihat [Pencarian lintas klaster](application-cross-cluster-search.md). |
| Fitur baru | 2025-03-31 | Amazon Q Developer sekarang umumnya tersedia di Amazon OpenSearch Service. Untuk informasi, lihat [Asisten AI untuk OpenSearch Layanan Amazon](AI-assistant-support.md). |
| Fitur baru | 2025-02-05 | Security Assertion Markup Language 2.0) (SAMP) melalui federasi AWS Identity and Access Management (IAM) sekarang bekerja dengan UI. OpenSearch Hal ini memungkinkan untuk membuat pengalaman Single Sign-On (SSO) yang dimulai oleh penyedia identitas untuk pengguna akhir Anda. Untuk informasi selengkapnya, lihat [Mengaktifkan federasi SAFL dengan AWS Identity and Access Management](application-enable-SAML-identity-federation.md). |
| Integrasi baru | 2024-12-01 | Integrasi nol-ETL dengan Amazon CloudWatch menyederhanakan analisis dan visualisasi data log, mengurangi biaya overhead teknis dan operasional. Untuk informasi selengkapnya, lihat [ OpenSearch Layanan Amazon CloudWatch dan Amazon Baru meluncurkan pengalaman analitik terintegrasi](https://aws.amazon.com/blogs/aws/new-amazon-cloudwatch-and-amazon-opensearch-service-launch-an-integrated-analytics-experience/) di *Blog AWS Berita*. |
| Integrasi baru | 2024-12-01 | Integrasi nol-ETL dengan Amazon Security Lake memungkinkan organisasi untuk secara efisien mencari, menganalisis, dan mendapatkan wawasan yang dapat ditindaklanjuti dari data keamanan mereka. Untuk informasi selengkapnya, lihat [Memperkenalkan OpenSearch Layanan Amazon dan integrasi Amazon Security Lake untuk menyederhanakan analisis keamanan](https://aws.amazon.com/blogs/aws/introducing-amazon-opensearch-service-zero-etl-integration-for-amazon-security-lake/) di *Blog AWS Berita*. |
| Rilis awal | 2024-11-07 | Rilis publik awal OpenSearch UI. Untuk informasi selengkapnya, lihat [Amazon OpenSearch Service meluncurkan OpenSearch UI generasi berikutnya](https://aws.amazon.com/blogs/big-data/amazon-opensearch-service-launches-the-next-generation-opensearch-ui/) di *AWS Big* Data Blog. |
# Memulai antarmuka OpenSearch pengguna di Amazon OpenSearch Service
Di Amazon OpenSearch Service, *aplikasi* adalah instance dari antarmuka OpenSearch pengguna (OpenSearch UI). Setiap aplikasi dapat dikaitkan dengan beberapa sumber data, dan satu sumber dapat dikaitkan dengan beberapa aplikasi. Anda dapat membuat beberapa aplikasi untuk administrator yang berbeda menggunakan opsi otentikasi yang didukung berbeda.
Gunakan informasi dalam topik ini untuk memandu Anda melalui proses pembuatan aplikasi OpenSearch UI menggunakan Konsol Manajemen AWS atau AWS CLI.
**Topics**
+ [Izin yang diperlukan untuk membuat aplikasi OpenSearch Layanan Amazon](#application-prerequisite-permissions)
+ [Membuat aplikasi OpenSearch UI](#create-application)
+ [Mengelola administrator aplikasi](#managing-application-administrators)
## Izin yang diperlukan untuk membuat aplikasi OpenSearch Layanan Amazon
Sebelum Anda membuat aplikasi, verifikasi bahwa Anda telah diberikan izin yang diperlukan untuk tugas tersebut. Hubungi administrator akun untuk bantuan jika diperlukan.
### Izin umum
Untuk bekerja dengan aplikasi di OpenSearch Layanan, Anda memerlukan izin yang ditunjukkan dalam kebijakan berikut. Izin melayani tujuan berikut:
+ Lima `es:*Application` izin diperlukan untuk membuat dan mengelola aplikasi.
+ Tiga `es:*Tags` izin diperlukan untuk menambah, membuat daftar, dan menghapus tag dari aplikasi.
+ Izin`aoss:BatchGetCollection`, `es:DescribeDomain` dan `es:GetDirectQueryDataSource` izin diperlukan untuk mengaitkan sumber data.
+ `opensearch:*DirectQuery*`Izin `aoss:APIAccessAll``es:ESHttp*`,, dan 4 diperlukan untuk mengakses sumber data.
+ `iam:CreateServiceLinkedRole`Ini memberikan izin ke OpenSearch Layanan Amazon untuk membuat peran terkait layanan (SLR) di akun Anda. Peran ini digunakan dan memungkinkan aplikasi OpenSearch UI mempublikasikan CloudWatch metrik Amazon di akun Anda. Untuk informasi selengkapnya, lihat [Izin](slr-aos.md#slr-permissions) dalam topik [Menggunakan peran terkait layanan untuk membuat domain VPC dan sumber data kueri langsung](slr-aos.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"es:CreateApplication",
"es:DeleteApplication",
"es:GetApplication",
"es:ListApplications",
"es:UpdateApplication",
"es:AddTags",
"es:ListTags",
"es:RemoveTags",
"aoss:APIAccessAll",
"es:ESHttp*",
"opensearch:StartDirectQuery",
"opensearch:GetDirectQuery",
"opensearch:CancelDirectQuery",
"opensearch:GetDirectQueryResult",
"aoss:BatchGetCollection",
"aoss:ListCollections",
"es:DescribeDomain",
"es:DescribeDomains",
"es:ListDomainNames",
"es:GetDirectQueryDataSource",
"es:ListDirectQueryDataSources"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService"
}
]
}
```
------
### Izin untuk membuat aplikasi yang menggunakan autentikasi IAM Identity Center (opsional)
Secara default, aplikasi dasbor diautentikasi menggunakan AWS Identity and Access Management (IAM) untuk mengelola izin bagi AWS pengguna sumber daya. Namun, Anda dapat memilih untuk memberikan pengalaman masuk tunggal dengan menggunakan IAM Identity Center, yang memungkinkan Anda menggunakan penyedia identitas yang ada untuk masuk ke OpenSearch aplikasi UI. Dalam hal ini, Anda akan memilih opsi **Otentikasi dengan Pusat Identitas IAM** dalam prosedur nanti dalam topik ini, dan kemudian memberikan izin yang diperlukan kepada pengguna Pusat Identitas IAM untuk mengakses aplikasi UI.) OpenSearch
Untuk membuat aplikasi yang menggunakan autentikasi IAM Identity Center, Anda memerlukan izin berikut. Ganti *placeholder values* dengan informasi Anda sendiri. Hubungi administrator akun untuk bantuan jika diperlukan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IDCPermissions",
"Effect": "Allow",
"Action": [
"es:CreateApplication",
"es:DeleteApplication",
"es:GetApplication",
"es:ListApplications",
"es:UpdateApplication",
"es:AddTags",
"es:ListTags",
"es:RemoveTags",
"aoss:BatchGetCollection",
"aoss:ListCollections",
"es:DescribeDomain",
"es:DescribeDomains",
"es:ListDomainNames",
"es:GetDirectQueryDataSource",
"es:ListDirectQueryDataSources",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:PutApplicationGrant",
"sso:PutApplicationAccessScope",
"sso:PutApplicationAuthenticationMethod",
"sso:ListInstances",
"sso:DescribeApplicationAssignment",
"sso:DescribeApplication",
"sso:CreateApplicationAssignment",
"sso:ListApplicationAssignments",
"sso:DeleteApplicationAssignment",
"sso-directory:SearchGroups",
"sso-directory:SearchUsers",
"sso:ListDirectoryAssociations",
"identitystore:DescribeUser",
"identitystore:DescribeGroup",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "SLRPermission",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService"
},
{
"Sid": "PassRolePermission",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/iam-role-for-identity-center"
}
]
}
```
------
## Membuat aplikasi OpenSearch UI
Buat aplikasi yang menentukan dan nama aplikasi, metode otentikasi, dan administrator menggunakan salah satu prosedur berikut.
**Topics**
+ [Membuat aplikasi OpenSearch UI yang menggunakan autentikasi IAM di konsol](#create-application-iam-authentication-console)
+ [Membuat aplikasi OpenSearch UI yang menggunakan AWS IAM Identity Center otentikasi di konsol](#create-application-iam-identity-center-authentication-console)
+ [Membuat aplikasi OpenSearch UI yang menggunakan AWS IAM Identity Center otentikasi menggunakan AWS CLI](#create-application-iam-identity-center-authentication-cli)
### Membuat aplikasi OpenSearch UI yang menggunakan autentikasi IAM di konsol
**Untuk membuat aplikasi OpenSearch UI yang menggunakan autentikasi IAM di konsol**
1. Masuk ke konsol OpenSearch Layanan Amazon di [https://console.aws.amazon.com/aos/rumah](https://console.aws.amazon.com/aos/home).
1. Di panel navigasi kiri, pilih **OpenSearch UI (Dasbor)**.
1. Pilih **Create application** (Buat aplikasi).
1. Untuk **nama Aplikasi**, masukkan nama untuk aplikasi.
1. Jangan pilih kotak centang **Otentikasi dengan IAM Identity Center**. Untuk informasi tentang membuat aplikasi dengan otentikasi melalui AWS IAM Identity Center, lihat [Membuat aplikasi OpenSearch UI yang menggunakan AWS IAM Identity Center otentikasi di konsol](#create-application-iam-identity-center-authentication-console) nanti dalam topik ini.
1. (Opsional) Anda secara otomatis ditambahkan sebagai administrator aplikasi yang Anda buat. Di area **manajemen admin OpenSearch aplikasi**, Anda dapat memberikan izin administrator kepada pengguna lain.
**catatan**
Peran administrator aplikasi OpenSearch UI memberikan izin untuk mengedit dan menghapus aplikasi OpenSearch UI. Administrator aplikasi juga dapat membuat, mengedit, dan menghapus ruang kerja dalam aplikasi OpenSearch UI.
Untuk memberikan izin administrator kepada pengguna lain, pilih salah satu dari berikut ini:
+ **Berikan izin administrator kepada pengguna tertentu —** **Di bidang **admin OpenSearch aplikasi**, di daftar pop-up **Properti**, pilih pengguna IAM atau**
**AWS IAM Identity Center pengguna**, dan kemudian pilih pengguna individu untuk memberikan izin administrator.
+ **Berikan izin administrator kepada semua pengguna** — Semua pengguna di organisasi atau akun Anda diberikan izin administrator.
1. (Opsional) Konfigurasikan pengaturan enkripsi. Secara default, metadata OpenSearch UI dienkripsi dengan kunci yang dimiliki. AWS Untuk menggunakan kunci terkelola pelanggan (CMK) Anda sendiri untuk enkripsi, lihat[Mengenkripsi metadata aplikasi OpenSearch UI dengan kunci yang dikelola pelanggan](application-encryption-cmk.md).
1. (Opsional) Di area **Tag**, terapkan satu atau beberapa name/value pasangan kunci tag ke aplikasi.
Tanda adalah metadata opsional yang Anda tetapkan ke sumber daya. Tag memungkinkan Anda untuk mengkategorikan sumber daya dengan berbagai cara, seperti berdasarkan tujuan, pemilik, atau lingkungan.
1. Pilih **Buat**.
### Membuat aplikasi OpenSearch UI yang menggunakan AWS IAM Identity Center otentikasi di konsol
Untuk membuat aplikasi OpenSearch UI yang menggunakan AWS IAM Identity Center otentikasi, Anda harus memiliki izin IAM yang dijelaskan sebelumnya dalam topik ini. [Izin untuk membuat aplikasi yang menggunakan autentikasi IAM Identity Center (opsional)](#prerequisite-permissions-idc)
**Untuk membuat aplikasi OpenSearch UI yang menggunakan AWS IAM Identity Center otentikasi di konsol**
1. Masuk ke konsol OpenSearch Layanan Amazon di [https://console.aws.amazon.com/aos/rumah](https://console.aws.amazon.com/aos/home).
1. Di panel navigasi kiri, pilih **OpenSearch UI (Dasbor)**.
1. Pilih **Create application** (Buat aplikasi).
1. Untuk **nama Aplikasi**, masukkan nama untuk aplikasi.
1. (Opsional) Untuk mengaktifkan sistem masuk tunggal untuk organisasi atau akun Anda, lakukan hal berikut:
1. Pilih kotak centang **Authentication with IAM Identity Center**, seperti yang ditunjukkan pada gambar berikut:
![\[Area “Authetication Single sign-on” dengan kotak “Otentikasi dengan Pusat Identitas IAM” dipilih.\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/images/ui-Single-sign-on-authentication.png)
1. Lakukan salah satu tindakan berikut:
+ Dalam **peran IAM untuk daftar aplikasi Pusat Identitas**, pilih peran IAM yang ada yang menyediakan izin yang diperlukan untuk Pusat Identitas IAM untuk mengakses OpenSearch UI dan sumber data terkait. Lihat kebijakan di bullet berikutnya untuk mengetahui izin yang harus dimiliki peran.
+ Buat peran baru dengan izin yang diperlukan. Gunakan prosedur berikut dalam *Panduan Pengguna IAM* dengan opsi yang ditentukan untuk membuat peran baru dan dengan kebijakan izin dan kebijakan kepercayaan yang diperlukan.
+ Prosedur: [Buat kebijakan IAM (konsol)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/access_policies_create-console.html)
Saat Anda mengikuti langkah-langkah dalam prosedur ini, tempelkan kebijakan berikut ke bidang **JSON** editor kebijakan:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IdentityStoreOpenSearchDomainConnectivity",
"Effect": "Allow",
"Action": [
"identitystore:DescribeUser",
"identitystore:ListGroupMembershipsForMember",
"identitystore:DescribeGroup"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledViaLast": "es.amazonaws.com"
}
}
},
{
"Sid": "OpenSearchDomain",
"Effect": "Allow",
"Action": [
"es:ESHttp*"
],
"Resource": "*"
},
{
"Sid": "OpenSearchServerless",
"Effect": "Allow",
"Action": [
"aoss:APIAccessAll"
],
"Resource": "*"
}
]
}
```
------
+ Prosedur: [Membuat peran menggunakan kebijakan kepercayaan khusus](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html)
Saat Anda mengikuti langkah-langkah dalam prosedur ini, ganti JSON placeholder di kotak **Kebijakan kepercayaan khusus** dengan yang berikut:
**Tip**
Jika Anda menambahkan kebijakan kepercayaan ke peran yang ada, tambahkan kebijakan tersebut di tab **Hubungan kepercayaan** peran.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "application.opensearchservice.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Effect": "Allow",
"Principal": {
"Service": "application.opensearchservice.amazonaws.com"
},
"Action": "sts:SetContext",
"Condition": {
"ForAllValues:ArnEquals": {
"sts:RequestContextProviders": "arn:aws:iam::123456789012:oidc-provider/portal.sso.us-east-1.amazonaws.com/apl/application-id"
}
}
}
]
}
```
------
1. Jika instans Pusat Identitas IAM telah dibuat di organisasi atau akun Anda, konsol melaporkan bahwa OpenSearch Dasbor Amazon sudah terhubung ke instance organisasi Pusat Identitas IAM, seperti yang ditunjukkan pada gambar berikut.
![\[Area “ OpenSearch Dasbor Amazon yang terhubung ke instance akun Pusat Identitas IAM” menunjukkan URL instans akun Pusat Identitas IAM yang ada.\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/images/ui-connected-instance.png)
Jika Pusat Identitas IAM belum tersedia di organisasi atau akun Anda, Anda atau administrator dengan izin yang diperlukan dapat membuat instance organisasi atau instans akun. Area **Connect Amazon OpenSearch Dashboards to IAM Identity Center** menyediakan opsi untuk keduanya, seperti yang ditunjukkan pada gambar berikut:
![\[Area “Connect Amazon OpenSearch Dashboards to IAM Identity Center” menyediakan tombol untuk membuat instance organisasi atau instance akun.\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/images/ui-no-connected-instance.png)
Dalam hal ini, Anda dapat membuat instance akun di Pusat Identitas IAM untuk pengujian, atau meminta administrator membuat instance organisasi di IAM Identity Center. Untuk informasi selengkapnya, lihat topik berikut di *Panduan Pengguna AWS IAM Identity Center *:
**catatan**
Jika Anda ingin membuat aplikasi OpenSearch UI berbeda Wilayah AWS dari instans organisasi Pusat Identitas IAM, lihat [Menggunakan Pusat Identitas IAM di](https://docs.aws.amazon.com/singlesignon/latest/userguide/multi-region-iam-identity-center.html) beberapa. Wilayah AWS
+ [Contoh organisasi Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/organization-instances-identity-center.html)
+ [Instans akun Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/account-instances-identity-center.html)
+ [Aktifkan AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html)
1. (Opsional) Anda secara otomatis ditambahkan sebagai administrator aplikasi yang Anda buat. Di area **manajemen admin OpenSearch aplikasi**, Anda dapat memberikan izin administrator kepada pengguna lain, seperti yang ditunjukkan pada gambar berikut:
![\[Area "manajemen admin OpenSearch aplikasi” menyediakan opsi untuk memberikan izin administrator untuk memilih pengguna atau semua pengguna.\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/images/ui-admins-management.png)
**catatan**
Peran administrator aplikasi OpenSearch UI memberikan izin untuk mengedit dan menghapus aplikasi OpenSearch UI. Administrator aplikasi juga dapat membuat, mengedit, dan menghapus ruang kerja dalam aplikasi OpenSearch UI.
Untuk memberikan izin administrator kepada pengguna lain, pilih salah satu dari berikut ini:
+ **Berikan izin administrator kepada pengguna tertentu —** **Di bidang **admin OpenSearch aplikasi**, di daftar pop-up **Properti**, pilih pengguna IAM atau**
**AWS IAM Identity Center pengguna**, dan kemudian pilih pengguna individu untuk memberikan izin administrator.
+ **Berikan izin administrator kepada semua pengguna** — Semua pengguna di organisasi atau akun Anda diberikan izin administrator.
1. (Opsional) Di area **Tag**, terapkan satu atau beberapa name/value pasangan kunci tag ke aplikasi.
Tanda adalah metadata opsional yang Anda tetapkan ke sumber daya. Tag memungkinkan Anda untuk mengkategorikan sumber daya dengan berbagai cara, seperti berdasarkan tujuan, pemilik, atau lingkungan.
1. Pilih **Buat**.
### Membuat aplikasi OpenSearch UI yang menggunakan AWS IAM Identity Center otentikasi menggunakan AWS CLI
Untuk membuat aplikasi OpenSearch UI yang menggunakan AWS IAM Identity Center otentikasi menggunakan AWS CLI, gunakan perintah [create-application](https://docs.aws.amazon.com/cli/latest/reference/opensearch/create-application.html) dengan opsi berikut:
+ `--name`— Nama aplikasi.
+ `--iam-identity-center-options`— (Opsional) Instance IAM Identity Center dan peran IAM yang OpenSearch akan digunakan untuk otentikasi dan kontrol akses.
Ganti *placeholder values* dengan informasi Anda sendiri.
```
aws opensearch create-application \
--name application-name \
--iam-identity-center-options "
{
\"enabled\":true,
\"iamIdentityCenterInstanceArn\":\"arn:aws:sso:::instance/sso-instance\",
\"iamRoleForIdentityCenterApplicationArn\":\"arn:aws:iam::account-id:role/role-name\"
}
"
```
## Mengelola administrator aplikasi
Administrator aplikasi OpenSearch UI adalah peran yang ditentukan dengan izin untuk mengedit dan menghapus aplikasi OpenSearch UI.
Secara default, sebagai pembuat aplikasi OpenSearch UI, Anda adalah administrator pertama aplikasi OpenSearch UI.
### Mengelola administrator OpenSearch UI menggunakan konsol
Anda dapat menambahkan administrator tambahan ke aplikasi OpenSearch UI di Konsol Manajemen AWS, baik selama alur kerja pembuatan aplikasi atau di halaman **Edit** setelah aplikasi dibuat.
Peran administrator aplikasi OpenSearch UI memberikan izin untuk mengedit dan menghapus aplikasi OpenSearch UI. Administrator aplikasi juga dapat membuat, mengedit, dan menghapus ruang kerja dalam aplikasi OpenSearch UI.
Pada halaman detail aplikasi, Anda dapat mencari Nama Sumber Daya Amazon (ARN) dari kepala sekolah IAM atau mencari nama pengguna Pusat Identitas IAM.
**Untuk mengelola administrator OpenSearch UI menggunakan konsol**
1. Masuk ke konsol OpenSearch Layanan Amazon di [https://console.aws.amazon.com/aos/rumah](https://console.aws.amazon.com/aos/home).
1. Di panel navigasi kiri, pilih **OpenSearch UI (Dasbor)**.
1. Di area **OpenSearch aplikasi**, pilih nama aplikasi yang ada.
1. Pilih **Edit**
1. Untuk memberikan izin administrator kepada pengguna lain, pilih salah satu dari berikut ini:
+ **Berikan izin administrator kepada pengguna tertentu —** **Di bidang **admin OpenSearch aplikasi**, di daftar pop-up **Properti**, pilih pengguna IAM atau**
**AWS IAM Identity Center pengguna**, dan kemudian pilih pengguna individu untuk memberikan izin administrator.
+ **Berikan izin administrator kepada semua pengguna** — Semua pengguna di organisasi atau akun Anda diberikan izin administrator.
1. Pilih **Perbarui**.
Anda dapat menghapus administrator tambahan, tetapi setiap aplikasi OpenSearch UI harus mempertahankan setidaknya satu administrator.
### Mengelola administrator OpenSearch UI menggunakan AWS CLI
Anda dapat membuat dan memperbarui administrator aplikasi OpenSearch UI menggunakan file. AWS CLI
#### Membuat administrator OpenSearch UI menggunakan AWS CLI
Berikut ini adalah contoh menambahkan prinsipal IAM dan pengguna IAM Identity Center sebagai administrator saat membuat aplikasi UI. OpenSearch
##### Contoh 1: Buat aplikasi OpenSearch UI yang menambahkan pengguna IAM sebagai administrator
Jalankan perintah berikut untuk membuat aplikasi OpenSearch UI yang menambahkan pengguna IAM sebagai administrator. Ganti *placeholder values* dengan informasi Anda sendiri.
```
aws opensearch create-application \
--name application-name \
--app-configs "
{
\"key\":\"opensearchDashboards.dashboardAdmin.users\",
\"value\":\"arn:aws:iam::account-id:user/user-id\"
}
"
```
##### Contoh 2: Buat aplikasi OpenSearch UI yang memungkinkan IAM Identity Center dan menambahkan ID pengguna IAM Identity Center sebagai administrator aplikasi OpenSearch UI
Jalankan perintah berikut untuk membuat aplikasi OpenSearch UI yang memungkinkan IAM Identity Center dan menambahkan ID pengguna IAM Identity Center sebagai administrator aplikasi OpenSearch UI. Ganti *placeholder values* dengan informasi Anda sendiri.
`key`menentukan item konfigurasi yang akan ditetapkan, seperti peran administrator untuk aplikasi OpenSearch UI. Nilai yang valid mencakup `opensearchDashboards.dashboardAdmin.users` dan `opensearchDashboards.dashboardAdmin.groups`.
*xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx*mewakili nilai yang ditetapkan ke kunci, seperti Amazon Resource Name (ARN) dari pengguna IAM.
```
aws opensearch create-application \
--name myapplication \
--iam-identity-center-options "
{
\"enabled\":true,
\"iamIdentityCenterInstanceArn\":\"arn:aws:sso:::instance/ssoins-instance-id\",
\"iamRoleForIdentityCenterApplicationArn\":\"arn:aws:iam::account-id:role/role-name\"
}
" \
--app-configs "
{
\"key\":\"opensearchDashboards.dashboardAdmin.users\",
\"value\":\"xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx\"
}
"
```
#### Memperbarui administrator OpenSearch UI menggunakan AWS CLI
Berikut ini adalah contoh memperbarui prinsip-prinsip IAM dan pengguna IAM Identity Center ditugaskan sebagai administrator untuk aplikasi yang ada. OpenSearch
##### Contoh 1: Tambahkan pengguna IAM sebagai administrator untuk aplikasi yang ada OpenSearch
Jalankan perintah berikut untuk memperbarui aplikasi OpenSearch UI untuk menambahkan pengguna IAM sebagai administrator. Ganti *placeholder values* dengan informasi Anda sendiri.
```
aws opensearch update-application \
--id myapplication \
--app-configs "
{
\"key\":\"opensearchDashboards.dashboardAdmin.users\",
\"value\":\"arn:aws:iam::account-id:user/user-id\"
}
"
```
##### Contoh 2: Perbarui aplikasi OpenSearch UI untuk menambahkan ID pengguna IAM Identity Center sebagai administrator aplikasi OpenSearch UI
Jalankan perintah berikut untuk memperbarui aplikasi OpenSearch UI untuk menambahkan ID pengguna IAM Identity Center sebagai administrator aplikasi OpenSearch UI. Ganti *placeholder values* dengan informasi Anda sendiri.
`key`menentukan item konfigurasi yang akan ditetapkan, seperti peran administrator untuk aplikasi OpenSearch UI. Nilai yang valid mencakup `opensearchDashboards.dashboardAdmin.users` dan `opensearchDashboards.dashboardAdmin.groups`.
*xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx*mewakili nilai yang ditetapkan ke kunci, seperti Amazon Resource Name (ARN) dari pengguna IAM.
```
aws opensearch update-application \
--id myapplication \
--app-configs "
{
\"key\":\"opensearchDashboards.dashboardAdmin.users\",
\"value\":\"xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx\"
}
"
```
# Agentic AI di Layanan Amazon OpenSearch
OpenSearch UI mencakup serangkaian kemampuan AI agen yang dirancang untuk menyederhanakan analisis operasional dan mempercepat penyelidikan insiden untuk tim teknik dan dukungan Anda.
Pada setiap halaman aplikasi OpenSearch UI Anda, pilih tombol **Ask AI** untuk membuka Agentic Chat. Agentic Chat memahami konteks halaman yang Anda lihat, menggunakan alat agen untuk menganalisis data yang mendasarinya, memperbarui kueri untuk menampilkan hasil di Discover, dan menjawab pertanyaan Anda dengan jelas dan akurat. Ketika analisis akar penyebab yang kompleks memerlukan penyelidikan yang lebih dalam, Anda dapat memicu Agen Investigasi untuk merencanakan, melaksanakan, dan merefleksikan secara mandiri melalui alur kerja multi-langkah, memberikan hipotesis terstruktur yang didukung oleh bukti data. Memberdayakan kedua kemampuan agen adalah Agentic Memory, lapisan memori yang mempertahankan konteks dalam percakapan atau penyelidikan Anda, sehingga Anda dapat terus mengajukan pertanyaan lanjutan dengan konteks yang sama dan konsisten di seluruh sesi web yang berbeda.
![\[Halaman Discover di OpenSearch UI menunjukkan Agentic Chat menghasilkan kueri PPL dari input bahasa alami “temukan semua permintaan dengan latensi lebih dari 10 detik,” dengan panel Ask AI menampilkan penjelasan kueri dan tombol Mulai Investigasi.\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/images/agentic-chat-discover-ppl.png)
## Kemampuan kunci
+ **Obrolan Agentic** — Tertanam dalam fitur Ask AI di setiap halaman OpenSearch UI, Agentic Chat memahami konteks Anda saat ini dan alat panggilan untuk menganalisis data guna menjawab pertanyaan Anda dengan sebaik-baiknya. Di Discover, masukkan bahasa alami di antarmuka obrolan untuk menghasilkan dan mengulangi kueri Piped Processing Language (PPL), sehingga Anda tidak perlu menjadi ahli dalam PPL untuk mendapatkan wawasan yang dapat ditindaklanjuti. Anda juga dapat memulai percakapan langsung dari visualisasi, di mana Agentic Chat dapat mengidentifikasi anomali dalam grafik Anda, berkorelasi dengan data yang mendasarinya, dan menghasilkan analisis. Ketika analisis akar penyebab yang kompleks diperlukan, gunakan perintah `/investigate` garis miring untuk meluncurkan Agen Investigasi berdasarkan percakapan yang sedang berlangsung atau dengan instruksi baru.
+ **Agen Investigasi — Agen** penelitian mendalam yang digerakkan oleh tujuan yang Anda aktifkan dengan mengetikkan `/investigate` obrolan atau dengan memilih tombol **Mulai Investigasi** pada halaman fitur. Masukkan tujuan investigasi seperti “temukan akar penyebab lonjakan latensi ini.” Agen Investigasi secara mandiri merencanakan menggunakan data Anda dan tujuan yang dinyatakan, mengeksekusi kueri dan analisis, dan merefleksikan melalui alur kerja multi-langkah. Ketika penyelidikan selesai, biasanya dalam beberapa menit, itu menghasilkan hipotesis terstruktur yang diberi peringkat berdasarkan kemungkinan, masing-masing didukung oleh bukti data. Ini memberikan transparansi penuh ke dalam setiap langkah penalarannya, sehingga Anda dapat memverifikasi dan mempercayai hasilnya.
+ **Memori Agentic** — Lapisan memori yang dikelola layanan yang mempertahankan konteks dalam percakapan atau penyelidikan Anda, sehingga Anda dapat terus mengajukan pertanyaan atau menyelidiki dalam konteks yang konsisten. Memori Agentic memungkinkan Obrolan Agen dan Agen Investigasi untuk menjaga kontinuitas selama sesi.
## Batas harga dan penggunaan
Fitur AI agen gratis untuk digunakan. Batas penggunaan berbasis token berlaku per akun untuk mencegah penyalahgunaan.
Fitur AI agen menggunakan model foundation di Amazon Bedrock. Semua konfigurasi keamanan dan tata kelola data Amazon Bedrock berlaku untuk fitur AI agen. Untuk informasi selengkapnya, lihat [Perlindungan data di Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/userguide/data-protection.html).
## Keamanan
Fitur AI agen beroperasi dalam kerangka kerja keamanan Anda yang ada dan tidak mem-bypass atau mengganti kontrol akses yang dikonfigurasi. Saat Anda berinteraksi dengan Agentic Chat atau meluncurkan Agen Investigasi, kemampuan AI mengautentikasi menggunakan kredensil IAM atau IAM Identity Center Anda saat ini dan mewarisi semua izin terkait. Asisten AI hanya dapat menanyakan sumber data, indeks, dan visualisasi yang sudah Anda akses eksplisit melalui kebijakan kontrol akses berbasis peran (RBAC) yang ada.
Jika OpenSearch domain Anda menerapkan kontrol akses berbutir halus dengan keamanan tingkat lapangan atau tingkat dokumen, AI menghormati pembatasan ini dan tidak dapat memunculkan data dari bidang atau dokumen terbatas yang berada di luar cakupan izin Anda. Demikian pula, kueri PPL apa pun yang dihasilkan oleh Obrolan Agentic atau pengambilan data yang dilakukan selama investigasi dijalankan dengan konteks pengguna Anda, memastikan bahwa semua kebijakan keamanan yang dikonfigurasi tetap diberlakukan sepenuhnya.
Model pewarisan izin ini memastikan bahwa mengaktifkan fitur AI tidak menciptakan kerentanan keamanan baru atau mengharuskan administrator untuk mengelola struktur izin terpisah untuk interaksi AI.
## Mengaktifkan dan menonaktifkan fitur AI agen
Fitur AI agen diaktifkan secara otomatis untuk aplikasi OpenSearch UI baru, dan untuk aplikasi yang ada kecuali Anda telah menonaktifkan fitur AI secara eksplisit di domain mana pun. OpenSearch
Untuk mengaktifkan atau menonaktifkan fitur AI, Anda dapat menggunakan Konsol Manajemen AWS atau API:
+ **Konsol** — Arahkan ke halaman detail aplikasi OpenSearch UI dan perbarui fitur AI dari sana.
![\[Halaman fitur Kelola Asisten AI di konsol yang menampilkan kotak centang Aktifkan Chatbot dan fitur investigasi Agen dan tombol Perbarui.\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/images/agentic-ai-manage-features.png)
+ **API** — Gunakan [RegisterCapability](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_RegisterCapability.html)API untuk mengaktifkan fitur AI, atau gunakan [DeregisterCapability](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DeregisterCapability.html)API untuk menonaktifkannya.
## Ketersediaan wilayah
Fitur AI agen tersedia sebagai berikut: Wilayah AWS
+ Asia Pacific (Tokyo) – ap-northeast-1
+ Asia Pacific (Sydney) – ap-southeast-2
+ Europe (Frankfurt) – eu-central-1
+ Europe (Stockholm) – (eu-north-1)
+ Eropa (Spanyol) - eu-south-2
+ Europe (Ireland) – eu-west-1
+ US East (N. Virginia) – us-east-1
+ US East (Ohio) – us-east-2
+ US West (Oregon) – us-west-2
**Topics**
+ [Kemampuan kunci](#application-ai-assistant-key-capabilities)
+ [Batas harga dan penggunaan](#application-ai-assistant-pricing)
+ [Keamanan](#application-ai-assistant-security)
+ [Mengaktifkan dan menonaktifkan fitur AI agen](#application-ai-assistant-enable-disable)
+ [Ketersediaan wilayah](#application-ai-assistant-regions)
+ [Obrolan Agen di Layanan Amazon OpenSearch](application-agentic-chat.md)
+ [Agen Investigasi di OpenSearch Layanan Amazon](application-investigation-agent.md)
+ [Memori Agentic di Layanan Amazon OpenSearch](application-agentic-memory.md)
# Obrolan Agen di Layanan Amazon OpenSearch
Agentic Chat adalah asisten AI yang disematkan di setiap halaman OpenSearch UI. Pilih tombol **Ask AI** untuk membuka panel obrolan, tempat Anda dapat mengajukan pertanyaan tentang data, membuat kueri, dan memulai penyelidikan. Agentic Chat memahami konteks halaman yang Anda lihat di Discover and Investigation, dan menggunakan alat agen untuk menganalisis data yang mendasarinya.
![\[Halaman Temukan di OpenSearch UI dengan tombol Ask AI disorot di pojok kanan atas.\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/images/agentic-chat-ask-ai-button.png)
Saat Anda membuka panel obrolan, Obrolan Agentic menyajikan opsi untuk membantu Anda memulai: ajukan pertanyaan tentang data Anda, selidiki masalah, atau jelaskan konsep. Jika sebelumnya Anda memulai percakapan, percakapan tetap terlihat di panel obrolan saat Anda menavigasi antar halaman, sehingga Anda dapat melanjutkan di mana Anda tinggalkan. Atau, pilih tombol **Obrolan Baru** di pojok kanan atas untuk memulai percakapan baru.
![\[Panel Obrolan Agentic menampilkan pesan selamat datang Asisten AI dengan opsi untuk mengajukan pertanyaan tentang data Anda, menyelidiki masalah, atau menjelaskan konsep.\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/images/agentic-chat-ask-ai-panel.png)
## Menggunakan Obrolan Agentic dengan Discover
Pada halaman Temukan di ruang kerja Observabilitas, Anda dapat memasukkan bahasa alami di antarmuka obrolan untuk menghasilkan kueri PPL. Agentic Chat menerjemahkan pertanyaan Anda ke dalam PPL, mengeksekusi kueri, dan menampilkan hasilnya langsung di tampilan Discover. Anda tidak perlu menjadi ahli dalam PPL untuk mendapatkan wawasan yang dapat ditindaklanjuti dari data Anda.
Untuk menyempurnakan kueri yang dihasilkan, ajukan pertanyaan tindak lanjut dalam bahasa alami, seperti “tambahkan filter untuk kode status 500.” Agentic Chat memahami konteks kueri saat ini dan memodifikasinya sesuai dengan itu. Anda juga dapat meminta untuk menyesuaikan agregasi, mengubah rentang waktu, atau menambahkan bidang tambahan ke hasil. Setiap iterasi memperbarui tampilan Discover dengan hasil kueri baru.
## Menggunakan Agentic Chat dengan visualisasi
Anda dapat memulai percakapan dengan Agentic Chat langsung dari visualisasi. Buka menu konteks pada panel visualisasi dan pilih **Ask AI**. Agentic Chat menganalisis visualisasi, mengidentifikasi anomali dalam grafik Anda, berkorelasi dengan data yang mendasarinya, dan menghasilkan analisis.
![\[Visualisasi di OpenSearch UI yang menunjukkan opsi Ask AI di menu konteks, dengan panel Obrolan Agentic menganalisis visualisasi.\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/images/agentic-chat-visualization.png)
## Memulai investigasi dari obrolan
Ketika analisis akar penyebab yang kompleks diperlukan, Anda dapat meluncurkan Agen Investigasi langsung dari Obrolan Agen. Gunakan perintah `/investigate` garis miring di input obrolan, atau pilih tombol **Mulai Investigasi** pada halaman fitur.
Untuk informasi lebih lanjut tentang Agen Investigasi, lihat[Agen Investigasi di OpenSearch Layanan Amazon](application-investigation-agent.md).
## Alat yang didukung
Agentic Chat menggunakan alat berikut untuk menganalisis data Anda dan menjawab pertanyaan. Untuk melihat up-to-date daftar alat yang tersedia paling banyak, ketik “alat apa yang dapat Anda gunakan” di antarmuka obrolan.
**Alat frontend**
Alat-alat ini memperbarui OpenSearch UI:
+ `create_investigation`— Membuat buku catatan investigasi agen baru dengan detail seperti tujuan, gejala, indeks, dan rentang waktu.
+ `execute_ppl_query`— Menjalankan kueri PPL terhadap kumpulan data saat ini dan menampilkan hasil di halaman Discover.
+ `update_time_range`— Memperbarui filter rentang waktu global pada halaman Temukan saat ini (misalnya, “24 jam terakhir” atau “minggu lalu”).
**Alat backend**
Alat-alat ini berinteraksi langsung dengan OpenSearch data dan APIs:
+ `SearchIndexTool`— Mencari indeks menggunakan kueri DSL.
+ `MsearchTool`— Menjalankan beberapa operasi pencarian dalam satu permintaan.
+ `CountTool`— Mengembalikan jumlah dokumen yang cocok dengan query.
+ `ExplainTool`— Menjelaskan mengapa dokumen cocok atau tidak cocok dengan kueri.
+ `ListIndexTool`— Daftar indeks di cluster dengan detail opsional.
+ `IndexMappingTool`— Mengambil pemetaan indeks dan pengaturan.
+ `GetShardsTool`— Mendapat informasi pecahan untuk indeks.
+ `ClusterHealthTool`— Mengembalikan informasi kesehatan cluster.
+ `LogPatternAnalysisTool`— Menganalisis pola log, membandingkan rentang waktu, atau melakukan analisis urutan jejak.
+ `MetricChangeAnalysisTool`— Membandingkan distribusi persentil bidang numerik antara dua rentang waktu.
+ `DataDistributionTool`— Menganalisis distribusi nilai bidang dalam rentang waktu target, secara opsional dibandingkan dengan baseline.
+ `GenericOpenSearchApiTool`— Alat fleksibel untuk memanggil titik akhir OpenSearch API apa pun secara langsung.
# Agen Investigasi di OpenSearch Layanan Amazon
Agen Investigasi adalah agen penelitian mendalam yang didorong oleh tujuan di OpenSearch UI yang secara mandiri menyelidiki masalah kompleks atas nama Anda. Ini berencana menggunakan data Anda dan tujuan yang dinyatakan, mengeksekusi kueri dan analisis, dan mencerminkan melalui alur kerja multi-langkah. Ketika penyelidikan selesai, biasanya dalam beberapa menit, itu menghasilkan hipotesis terstruktur yang diberi peringkat berdasarkan kemungkinan, masing-masing didukung oleh bukti data. Ini memberikan transparansi penuh ke dalam setiap langkah penalarannya, sehingga Anda dapat memverifikasi dan mempercayai hasilnya.
## Memulai investigasi
Anda dapat memulai penyelidikan dengan dua cara:
+ Dari Discover, Visualization, atau halaman fitur lain yang didukung, pilih tombol **Mulai Investigasi**. Dialog muncul di mana Anda dapat memasukkan sasaran investigasi dan memilih dari templat yang disarankan seperti “Analisis penyebab akar” atau “Masalah kinerja.”
+ Dari Agentic Chat, ketik perintah `/investigate` garis miring di input obrolan dengan tujuan investigasi Anda.
![\[Dialog Mulai investigasi menunjukkan bidang teks untuk tujuan investigasi dan templat yang disarankan untuk analisis akar penyebab dan masalah kinerja.\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/images/investigation-agent-start.png)
Untuk informasi selengkapnya tentang Obrolan Agen, lihat[Obrolan Agen di Layanan Amazon OpenSearch](application-agentic-chat.md).
## Meninjau hasil investigasi
Ketika penyelidikan selesai, Agen Investigasi menyajikan hipotesis utama dengan tingkat kepercayaan dan bukti pendukung. Halaman hasil menunjukkan langkah-langkah investigasi yang diambil, temuan relevan yang diberi peringkat berdasarkan kepentingan, dan hipotesis alternatif.
![\[Halaman hasil investigasi menunjukkan hipotesis utama dengan opsi Terima dan Singkirkan, temuan relevan yang diberi peringkat berdasarkan kepentingan, dan hipotesis alternatif.\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/images/investigation-agent-results.png)
Anda dapat meninjau temuan di balik setiap hipotesis, lalu memilih **Terima** untuk mengkonfirmasi hipotesis atau **Mengesampingkan** untuk menolaknya. Hipotesis alternatif dengan kemungkinan lebih rendah juga tersedia untuk ditinjau. Anda dapat memilih hipotesis alternatif sebagai kesimpulan akhir jika lebih cocok dengan penilaian Anda.
## Menyelidiki kembali
Jika hasil investigasi memerlukan klarifikasi lebih lanjut, atau jika Agen Investigasi menentukan bahwa pertanyaan investigasi tidak dapat dijawab oleh kumpulan data yang tersedia, Anda dapat menggunakan opsi **Selidiki Ulang untuk menyesuaikan dan menjalankan kembali penyelidikan**. Pilih **Selidiki ulang** untuk mengedit tujuan awal, menyesuaikan rentang waktu, dan secara opsional membawa hipotesis dan temuan yang ada ke dalam penyelidikan baru.
![\[Dialog Selidiki ulang masalah yang menunjukkan opsi untuk mengedit tujuan awal, menyesuaikan rentang waktu, dan membawa hipotesis dan temuan yang ada ke dalam penyelidikan baru.\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/images/investigation-agent-reinvestigate.png)
# Memori Agentic di Layanan Amazon OpenSearch
Agentic Memory adalah lapisan memori yang dikelola layanan yang mendukung Obrolan Agen dan Agen Investigasi. Ini mempertahankan konteks dalam percakapan atau investigasi Anda, sehingga Anda memiliki pengalaman yang konsisten di berbagai halaman fitur, tab browser, dan penyegaran halaman. Agentic Memory bekerja secara otomatis dan tidak memerlukan konfigurasi pengguna.
Memori Agentic dibangun di atas kerangka memori OpenSearch agen. Penyimpanan memori diisolasi oleh ID pengguna untuk privasi.
## Perlindungan data
Memori Agentic gratis untuk digunakan. Data pelanggan yang disimpan di Agentic Memory dienkripsi dengan kunci yang dikelola layanan. Jika Anda mengaktifkan enkripsi kunci terkelola pelanggan (CMK) untuk aplikasi OpenSearch UI Anda, data memori Anda akan dienkripsi dengan CMK Anda sebagai gantinya. Memori disimpan dalam koleksi Amazon OpenSearch Serverless yang dikelola layanan.
Untuk informasi selengkapnya tentang enkripsi CMK, lihat[Mengenkripsi metadata aplikasi OpenSearch UI dengan kunci yang dikelola pelanggan](application-encryption-cmk.md).
## Batasan
Memori Agentic tidak dapat mempertahankan konteks di seluruh utas percakapan yang berbeda.
# Mengenkripsi metadata aplikasi OpenSearch UI dengan kunci yang dikelola pelanggan
Aset dan konfigurasi visual disimpan sebagai metadata untuk aplikasi UI Anda OpenSearch . Ini termasuk kueri yang disimpan, visualisasi, dan dasbor. Data dari sumber data terkait tidak disimpan dalam metadata. Untuk informasi tentang mengenkripsi data di sumber data Anda, lihat [Perlindungan data di OpenSearch Layanan Amazon](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/data-protection.html) untuk OpenSearch domain dan Enkripsi [di Amazon Tanpa Server untuk koleksi tanpa OpenSearch server](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-encryption.html).
Metadata OpenSearch UI Anda dilindungi dengan enkripsi saat istirahat. Ini mencegah akses yang tidak sah. Enkripsi menggunakan AWS Key Management Service (AWS KMS) untuk menyimpan dan mengelola kunci enkripsi. Secara default, metadata OpenSearch UI dienkripsi dengan kunci yang dimiliki. AWS
Anda juga dapat menggunakan fitur Customer Managed Key (CMK) untuk mengelola kunci enkripsi Anda sendiri. Ini membantu Anda memenuhi persyaratan peraturan dan kepatuhan. Untuk menggunakan CMK, Anda harus membuat aplikasi OpenSearch UI baru dan mengaktifkan CMK dalam proses pembuatan. Saat ini tidak didukung untuk memperbarui aplikasi OpenSearch UI yang ada dari kunci yang AWS dimiliki ke CMK.
Kapan menggunakan kunci yang dikelola pelanggan:
+ Organisasi Anda memiliki persyaratan kepatuhan terhadap peraturan untuk manajemen kunci
+ Anda memerlukan jejak audit untuk penggunaan kunci enkripsi
+ Anda ingin mengontrol jadwal rotasi tombol
+ Anda perlu mengintegrasikan dengan alur kerja manajemen kunci yang ada
Saat Anda menggunakan kunci yang dikelola pelanggan, Anda memiliki kendali penuh atas kunci tersebut. Ini termasuk kemampuan untuk:
+ Menetapkan dan memelihara kebijakan utama
+ Menetapkan dan memelihara kebijakan dan hibah IAM
+ Aktifkan dan nonaktifkan kunci
+ Putar materi kriptografi kunci
+ Tambahkan tag ke kunci
+ Buat alias kunci
+ Jadwalkan kunci untuk dihapus
**catatan**
Kunci yang dikelola pelanggan harus Wilayah AWS sama dengan aplikasi OpenSearch UI. Anda tidak dapat menggunakan kunci dari Wilayah yang berbeda.
**Topics**
+ [Prasyarat untuk menggunakan kunci yang dikelola pelanggan](#application-encryption-cmk-prerequisites)
+ [Membuat aplikasi dengan enkripsi kunci yang dikelola pelanggan menggunakan konsol](#application-encryption-cmk-create-console)
+ [Membuat aplikasi dengan enkripsi kunci yang dikelola pelanggan menggunakan AWS CLI](#application-encryption-cmk-create-cli)
+ [Memantau penggunaan kunci yang dikelola pelanggan](#application-encryption-cmk-monitoring)
+ [Memperbarui pengaturan enkripsi](#application-encryption-cmk-update)
## Prasyarat untuk menggunakan kunci yang dikelola pelanggan
Sebelum Anda dapat menggunakan kunci yang dikelola pelanggan untuk mengenkripsi metadata aplikasi OpenSearch UI Anda, Anda harus membuat kunci enkripsi simetris. AWS KMS Untuk petunjuk cara membuat kunci, lihat [Membuat kunci](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) di *Panduan AWS KMS Pengembang*.
Kebijakan kunci untuk kunci terkelola pelanggan Anda harus memberikan izin OpenSearch UI untuk menggunakan kunci tersebut. Gunakan kebijakan kunci berikut, ganti *placeholder values* dengan informasi Anda sendiri:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowOpenSearchUIToUseKey",
"Effect": "Allow",
"Principal": {
"Service": [
"application.opensearchservice.amazonaws.com"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "AllowKeyAdministration",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account-id:root"
},
"Action": "kms:*",
"Resource": "*"
}
]
}
```
Kebijakan ini mencakup dua pernyataan:
+ Pernyataan pertama memungkinkan OpenSearch UI untuk menggunakan kunci untuk operasi enkripsi.
+ Pernyataan kedua memungkinkan pengguna di Anda Akun AWS untuk mengelola kunci. Ini termasuk izin untuk memperbarui kebijakan kunci, mengaktifkan atau menonaktifkan kunci, dan menjadwalkan kunci untuk dihapus. Anda dapat membatasi izin ini lebih lanjut dengan mengganti prinsip root dengan pengguna atau peran IAM tertentu.
Untuk informasi selengkapnya tentang kebijakan utama, lihat [Menggunakan kebijakan utama AWS KMS di](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) *Panduan AWS KMS Pengembang*.
## Membuat aplikasi dengan enkripsi kunci yang dikelola pelanggan menggunakan konsol
Saat membuat aplikasi OpenSearch UI di konsol, Anda dapat menentukan kunci yang dikelola pelanggan untuk mengenkripsi metadata aplikasi.
**Untuk membuat aplikasi OpenSearch UI dengan enkripsi kunci yang dikelola pelanggan menggunakan konsol**
1. Masuk ke konsol OpenSearch Layanan Amazon di [https://console.aws.amazon.com/aos/rumah](https://console.aws.amazon.com/aos/home).
1. Di panel navigasi kiri, pilih **OpenSearch UI (Dasbor)**.
1. Pilih **Create application** (Buat aplikasi).
1. Untuk **nama Aplikasi**, masukkan nama untuk aplikasi.
1. Konfigurasikan pengaturan otentikasi dan administrator sesuai kebutuhan. Untuk informasi selengkapnya, lihat [Memulai antarmuka OpenSearch pengguna di Amazon OpenSearch Service](application-getting-started.md).
1. Di bagian **Enkripsi**, untuk **Enkripsi saat istirahat**, pilih **Gunakan kunci yang dikelola pelanggan**.
1. Pilih kunci terkelola pelanggan yang sudah ada dari daftar, atau pilih **Buat kunci** untuk membuat kunci baru AWS KMS.
**catatan**
Kuncinya harus Wilayah AWS sama dengan aplikasi yang Anda buat.
1. (Opsional) Tambahkan tag ke aplikasi.
1. Pilih **Buat**.
## Membuat aplikasi dengan enkripsi kunci yang dikelola pelanggan menggunakan AWS CLI
Untuk membuat aplikasi OpenSearch UI dengan enkripsi kunci yang dikelola pelanggan menggunakan AWS CLI, gunakan perintah [create-application](https://docs.aws.amazon.com/cli/latest/reference/opensearch/create-application.html) dengan parameter. `--kms-key-arn`
Ganti *placeholder values* dengan informasi Anda sendiri.
```
aws opensearch create-application \
--name my-application \
--kms-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
```
Jika Anda tidak menentukan `--kms-key-arn` parameter, OpenSearch gunakan kunci AWS-managed untuk mengenkripsi metadata aplikasi.
## Memantau penggunaan kunci yang dikelola pelanggan
Saat Anda menggunakan kunci yang dikelola pelanggan dengan aplikasi OpenSearch UI, AWS KMS catat setiap penggunaan kunci dalam AWS CloudTrail log. Anda dapat menggunakan log ini untuk memantau bagaimana dan kapan kunci Anda digunakan. Log menunjukkan pengguna atau layanan mana yang mengakses kunci.
AWS AWS KMS secara otomatis memutar kunci yang dikelola pelanggan setiap tahun. Anda juga dapat memutar tombol secara manual sesuai kebutuhan. Untuk informasi selengkapnya tentang rotasi kunci, lihat [Memutar kunci KMS](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) di Panduan *AWS KMS Pengembang*.
Untuk informasi selengkapnya tentang pemantauan penggunaan kunci, lihat [Logging panggilan AWS KMS API dengan AWS CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html) di *Panduan AWS KMS Pengembang*.
**catatan**
Menggunakan kunci yang dikelola pelanggan menimbulkan biaya. AWS KMS Biaya didasarkan pada jumlah permintaan API dan kunci yang disimpan. Untuk detail harga, lihat [Harga Layanan Manajemen AWS Utama](https://aws.amazon.com/kms/pricing/).
## Memperbarui pengaturan enkripsi
Setelah Anda membuat aplikasi OpenSearch UI, Anda tidak dapat mengubah pengaturan enkripsi. Jika Anda perlu menggunakan kunci yang dikelola pelanggan yang berbeda, Anda harus membuat aplikasi baru. Jika Anda perlu beralih antara kunci AWS-managed dan customer managed, Anda juga harus membuat aplikasi baru dengan pengaturan enkripsi yang diinginkan.
**penting**
Sebelum Anda menonaktifkan atau menghapus kunci yang dikelola pelanggan, pertimbangkan hal berikut:
Jika Anda menonaktifkan kunci, aplikasi akan kehilangan akses ke metadata terenkripsi. Anda harus mengaktifkan kembali kunci yang sama untuk memulihkan akses.
Jika Anda menghapus kunci, objek yang disimpan aplikasi menjadi tidak dapat diakses secara permanen. Ini termasuk kueri, visualisasi, dan dasbor. Kunci yang dihapus tidak dapat dipulihkan.
Kami merekomendasikan untuk mendokumentasikan ARN kunci Anda sebelum membuat perubahan apa pun pada status kunci.
**Langkah selanjutnya**
Setelah Anda mengkonfigurasi enkripsi CMK untuk aplikasi Anda, Anda dapat:
+ Kaitkan sumber data dengan aplikasi Anda. Untuk informasi selengkapnya, lihat [Mengelola asosiasi sumber data dan izin akses Virtual Private Cloud](application-data-sources-and-vpc.md).
+ Buat ruang kerja untuk tim Anda. Untuk informasi selengkapnya, lihat [Menggunakan ruang kerja Amazon OpenSearch Service](application-workspaces.md).
+ Siapkan AWS CloudTrail pemantauan untuk penggunaan kunci. Untuk informasi selengkapnya, lihat [Memantau penggunaan kunci yang dikelola pelanggan](#application-encryption-cmk-monitoring).
# Mengaktifkan federasi SAFL dengan AWS Identity and Access Management
OpenSearch UI mendukung Security Assertion Markup Language 2.0 (SALL), standar terbuka yang digunakan oleh banyak penyedia identitas. Ini memungkinkan federasi identitas dengan AWS Identity and Access Management (IAM). Dengan dukungan ini, pengguna di akun atau organisasi Anda dapat langsung mengakses OpenSearch UI dengan mengasumsikan peran IAM. Anda dapat membuat pengalaman masuk tunggal yang dimulai penyedia identitas (IDP) untuk pengguna akhir Anda, di mana mereka dapat mengautentikasi di penyedia identitas eksternal dan diarahkan langsung ke halaman yang Anda tentukan di UI. OpenSearch Anda juga dapat menerapkan kontrol akses berbutir halus dengan mengonfigurasi pengguna akhir atau grup Anda untuk mengambil peran IAM yang berbeda dengan izin berbeda untuk mengakses UI dan sumber data terkait. OpenSearch
Topik ini menyajikan step-by-step petunjuk untuk mengonfigurasi penggunaan SAMP dengan OpenSearch UI. Dalam prosedur ini, kami menggunakan langkah-langkah untuk mengonfigurasi identitas Okta dan aplikasi manajemen akses sebagai contoh. Langkah-langkah konfigurasi untuk penyedia identitas lain, seperti Azure Active Directory dan Ping, serupa.
**Topics**
+ [Langkah 1: Siapkan aplikasi penyedia identitas (Okta)](#SAML-identity-federation-step-1)
+ [Langkah 2: Siapkan AWS konfigurasi untuk Okta](#SAML-identity-federation-step-2)
+ [Langkah 3: Buat kebijakan akses OpenSearch Layanan Amazon di IAM](#SAML-identity-federation-step-3)
+ [Langkah 4: Verifikasi pengalaman Single Sign-On yang diprakarsai oleh penyedia identitas dengan SALL](#SAML-identity-federation-step-4)
+ [Langkah 5: Konfigurasikan kontrol akses halus berbasis atribut SAMP](#SAML-identity-federation-step-5)
## Langkah 1: Siapkan aplikasi penyedia identitas (Okta)
Untuk menggunakan SAFL dengan OpenSearch UI, langkah pertama adalah mengatur penyedia identitas Anda.
**Tugas 1: Buat pengguna Okta**
1. Masuk ke organisasi Okta Anda di [https://login.okta.com/](https://login.okta.com/)sebagai pengguna dengan hak administratif.
1. Di konsol admin, di bawah **Direktori** di panel navigasi, pilih **Orang**.
1. Pilih **Tambah orang**.
1. Untuk **Nama Depan**, masukkan nama depan pengguna.
1. Untuk **Nama Belakang**, masukkan nama belakang pengguna.
1. Untuk **Nama Pengguna**, masukkan nama pengguna pengguna dalam format email.
1. Pilih **Saya akan mengatur kata sandi** dan memasukkan kata sandi
1. (Opsional) Hapus **Pengguna harus mengubah kata sandi pada kotak login pertama** jika Anda tidak ingin pengguna mengubah kata sandi saat masuk pertama.
1. Pilih **Simpan**.
**Tugas 2: Membuat dan menetapkan grup**
1. Masuk ke organisasi Okta Anda di [https://login.okta.com/](https://login.okta.com/)sebagai pengguna dengan hak administratif.
1. Di konsol admin, di bawah **Direktori** di panel navigasi, pilih **Grup**.
1. Pilih **Tambah grup**.
1. Masukkan nama grup dan pilih **Simpan**.
1. Pilih grup yang baru dibuat, lalu pilih **Tetapkan orang**.
1. Pilih tanda plus (**\$1**), lalu pilih **Selesai**.
1. (Opsional) Ulangi Langkah 1—6 untuk menambahkan lebih banyak grup.
**Tugas 3: Buat aplikasi Okta**
1. Masuk ke organisasi Okta Anda di [https://login.okta.com/](https://login.okta.com/)sebagai pengguna dengan hak administratif.
1. Di konsol admin, di bawah **Aplikasi** di panel navigasi, pilih **Aplikasi**.
1. Pilih **Buat Integrasi Aplikasi**.
1. **Pilih SAMP 2.0 sebagai metode masuk, lalu pilih Berikutnya.**
1. Masukkan nama untuk integrasi aplikasi Anda (misalnya,**OpenSearch\$1UI**), lalu pilih **Berikutnya**.
1. Masukkan nilai berikut di aplikasi; Anda tidak perlu mengubah nilai lain:
1. 1. Untuk **URL Masuk Tunggal**, masukkan **https://signin.aws.amazon.com/saml** untuk AWS Wilayah komersial, atau URL khusus untuk Wilayah Anda.
1. 2. Untuk **URI Audiens (SP Entity ID)**, masukkan**urn:amazon:webservices**.
1. 3. Untuk **format ID Nama**, masukkan**EmailAddress**.
1. Pilih **Berikutnya**.
1. Pilih **Saya pelanggan Okta menambahkan aplikasi internal**, lalu pilih **Ini adalah aplikasi internal yang telah kami buat**.
1. Pilih **Selesai**.
1. Pilih **Penugasan**, lalu pilih **Tetapkan**.
1. Pilih **Tetapkan ke grup**, lalu pilih **Tetapkan** di samping grup yang ingin Anda tambahkan.
1. Pilih **Selesai**.
**Tugas 4: Mengatur konfigurasi lanjutan Okta**
Setelah Anda membuat aplikasi SAMP kustom, selesaikan langkah-langkah berikut:
1. Masuk ke organisasi Okta Anda di [https://login.okta.com/](https://login.okta.com/)sebagai pengguna dengan hak administratif.
Di konsol administrator, di area **Umum**, pilih **Edit** di bawah **pengaturan SAFL**.
1. Pilih **Berikutnya**.
1. Setel **Status Relai Default** ke titik akhir OpenSearch UI, menggunakan format:
`https://region.console.aws.amazon.com/aos/home?region=region#opensearch/applications/application-id/redirectToDashboardURL`.
Berikut ini adalah contohnya:
`https://us-east-2.console.aws.amazon.com/aos/home?region=us-east-2#opensearch/applications/abc123def4567EXAMPLE/redirectToDashboardURL`
1. Di bawah **Pernyataan Atribut (opsional)**, tambahkan properti berikut:
1. **Berikan peran IAM dan penyedia identitas dalam format yang dipisahkan koma menggunakan atribut Peran.** Anda akan menggunakan peran IAM dan penyedia identitas yang sama ini di langkah selanjutnya saat menyiapkan AWS konfigurasi.
1. Setel **user.login** untuk. **RoleSessionName** Ini digunakan sebagai pengidentifikasi untuk kredensi sementara yang dikeluarkan saat peran diasumsikan.
Untuk referensi:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/application-enable-SAML-identity-federation.html)
1. Setelah Anda menambahkan properti atribut, pilih **Berikutnya**, dan kemudian pilih **Selesai**.
Atribut Anda harus serupa dalam format dengan yang ditunjukkan pada gambar berikut. Nilai **Status Relai Default** adalah URL untuk menentukan halaman landing bagi pengguna akhir di akun atau organisasi Anda setelah mereka menyelesaikan validasi masuk tunggal dari Okta. Anda dapat mengaturnya ke halaman mana pun di OpenSearch UI, dan kemudian memberikan URL tersebut kepada pengguna akhir yang dituju.
![\[Area “SAMP 2.0" melaporkan URL status relai default dan URL metadata untuk aplikasi.\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/images/ui-saml-2.0-area-okta.png)
## Langkah 2: Siapkan AWS konfigurasi untuk Okta
Selesaikan tugas-tugas berikut untuk mengatur AWS konfigurasi Anda untuk Okta.
**Tugas 1: Kumpulkan Informasi Okta**
Untuk langkah ini, Anda perlu mengumpulkan informasi Okta Anda sehingga nantinya Anda dapat mengonfigurasinya. AWS
1. Masuk ke organisasi Okta Anda di [https://login.okta.com/](https://login.okta.com/)sebagai pengguna dengan hak administratif.
1. **Pada tab Sign** On, di sudut kanan bawah halaman, pilih **Lihat instruksi pengaturan SALL**.
1. Catat nilai untuk URL **Masuk Tunggal Penyedia Identitas**. Anda dapat menggunakan URL ini saat menghubungkan ke klien SQL pihak ketiga seperti [SQL](https://www.sql-workbench.eu/) Workbench/J.
1. Gunakan metadata penyedia identitas di blok 4, lalu simpan file metadata dalam format.xl (misalnya,). `metadata.xml`
**Tugas 2: Buat penyedia IAM**
Untuk membuat penyedia IAM Anda, selesaikan langkah-langkah berikut:
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, di bawah **Manajemen akses**, pilih **Penyedia identitas**.
1. Pilih **Tambah penyedia**.
1. Untuk **tipe Provider** ¸ pilih **SAFL**.
1. Untuk **nama Penyedia** ¸ masukkan nama.
1. Untuk **dokumen Metadata**, pilih **Pilih file dan unggah file** metadata (.xml. yang Anda unduh sebelumnya.
1. Pilih **Tambah penyedia**.
**Tugas 3: Buat peran IAM**
Untuk membuat AWS Identity and Access Management peran Anda, selesaikan langkah-langkah berikut:
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, di bawah **Manajemen akses**, pilih **Peran**.
1. Pilih **Buat peran**.
1. Untuk **jenis entitas Tepercaya**, pilih **federasi SAFL 2.0**.
1. Untuk **penyedia berbasis SAMP 2.0, pilih penyedia** identitas yang Anda buat sebelumnya.
1. Pilih **Izinkan programatik dan Konsol Manajemen AWS akses**.
1. Pilih **Berikutnya**.
1. Dalam daftar **Kebijakan izin**, pilih kotak centang untuk kebijakan yang memberikan izin OpenSearch Layanan, misalnya, kebijakan AWS terkelola. **AmazonOpenSearchServiceFullAccess**
1. Pilih **Berikutnya**.
1. Di area **Tinjauan**, untuk **nama Peran**, masukkan nama peran Anda; misalnya,**oktarole**.
1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi singkat tentang tujuan peran.
1. Pilih **Buat peran**.
1. Arahkan ke peran yang baru saja Anda buat, pilih tab **Trust Relationships**, lalu pilih **Edit kebijakan kepercayaan**.
1. Di panel **Edit pernyataan**, di bawah **Tambahkan tindakan untuk STS**, pilih kotak untuk **TagSession**.
1. Pilih **Perbarui kebijakan**.
## Langkah 3: Buat kebijakan akses OpenSearch Layanan Amazon di IAM
Pelajari cara mengonfigurasi peran IAM Anda untuk kontrol OpenSearch akses. Dengan peran IAM, Anda dapat menerapkan kontrol akses berbutir halus untuk grup pengguna Okta Anda untuk mengakses sumber daya. OpenSearch Topik ini menunjukkan konfigurasi berbasis peran IAM menggunakan dua kelompok contoh.
------
#### [ Sample group: Alice ]
Permintaan:
```
GET _plugins/_security/api/roles/alice-group
```
Hasil:
```
{
"alice-group": {
"reserved": false,
"hidden": false,
"cluster_permissions": [
"unlimited"
],
"index_permissions": [
{
"index_patterns": [
"alice*"
],
"dls": "",
"fls": [],
"masked_fields": [],
"allowed_actions": [
"indices_all"
]
}
],
"tenant_permissions": [
{
"tenant_patterns": [
"global_tenant"
],
"allowed_actions": [
"kibana_all_write"
]
}
],
"static": false
}
}
```
------
#### [ Sample group: Bob ]
Permintaan:
```
GET _plugins/_security/api/roles/bob-group
```
Hasil:
```
{
"bob-group": {
"reserved": false,
"hidden": false,
"cluster_permissions": [
"unlimited"
],
"index_permissions": [
{
"index_patterns": [
"bob*"
],
"dls": "",
"fls": [],
"masked_fields": [],
"allowed_actions": [
"indices_all"
]
}
],
"tenant_permissions": [
{
"tenant_patterns": [
"global_tenant"
],
"allowed_actions": [
"kibana_all_write"
]
}
],
"static": false
}
}
```
------
Anda dapat memetakan peran domain OpenSearch Layanan Amazon ke peran IAM menggunakan pemetaan peran backend, seperti yang ditunjukkan dalam contoh berikut:
```
{
"bob-group": {
"hosts": [],
"users": [],
"reserved": false,
"hidden": false,
"backend_roles": [
"arn:aws:iam::111222333444:role/bob-group"
],
"and_backend_roles": []
},
"alice-group": {
"hosts": [],
"users": [],
"reserved": false,
"hidden": false,
"backend_roles": [
"arn:aws:iam::111222333444:role/alice-group"
],
"and_backend_roles": []
}
}
```
## Langkah 4: Verifikasi pengalaman Single Sign-On yang diprakarsai oleh penyedia identitas dengan SALL
Buka URL untuk **Status Relai Default** untuk membuka halaman otentikasi Okta. Masukkan kredensi pengguna akhir. Anda secara otomatis dialihkan ke OpenSearch UI.
Anda dapat memeriksa kredensi Anda saat ini dengan memilih ikon pengguna di bagian bawah panel navigasi, seperti yang diilustrasikan pada gambar berikut:
![\[Memilih ikon pengguna di halaman “Pengaturan dan pengaturan” Okta menampilkan kredensil pengguna saat ini.\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/images/ui-okta-user-icon.png)
Anda juga dapat memverifikasi izin kontrol akses berbutir halus untuk pengguna dengan mengakses Alat Pengembang di bagian bawah panel navigasi dan menjalankan kueri di konsol. Berikut ini adalah contoh query.
------
#### [ Example 1: Displays information about the current user ]
Permintaan:
```
GET _plugins/_security/api/account
```
Hasil:
```
{
"user_name": "arn:aws:iam::XXXXXXXXXXXX:role/bob-group",
"is_reserved": false,
"is_hidden": false,
"is_internal_user": false,
"user_requested_tenant": null,
"backend_roles": [
"arn:aws:iam::XXXXXXXXXXXX:role/bob-group"
],
"custom_attribute_names": [],
"tenants": {
"global_tenant": true,
"arn:aws:iam::XXXXXXXXXXXX:role/bob-group": true
},
"roles": [
"bob-group"
]
}
```
------
#### [ Example 2: Displays actions permitted for a user ]
Permintaan:
```
GET bob-test/_search
```
Hasil:
```
{
"took": 390,
"timed_out": false,
"_shards": {
"total": 5,
"successful": 5,
"skipped": 0,
"failed": 0
},
"hits": {
"total": {
"value": 1,
"relation": "eq"
},
"max_score": 1,
"hits": [
{
"_index": "bob-test",
"_id": "ui01N5UBCIHpjO8Jlvfy",
"_score": 1,
"_source": {
"title": "Your Name",
"year": "2016"
}
}
]
}
}
```
------
#### [ Example 3: Displays actions not permitted for a user ]
Permintaan:
```
GET alice-test
```
Hasil:
```
{
"error": {
"root_cause": [
{
"type": "security_exception",
"reason": "no permissions for [indices:admin/get] and User [name=arn:aws:iam::111222333444:role/bob-group, backend_roles=[arn:aws:iam::111222333444:role/bob-group], requestedTenant=null]"
}
],
"type": "security_exception",
"reason": "no permissions for [indices:admin/get] and User [name=arn:aws:iam::111222333444:role/bob-group, backend_roles=[arn:aws:iam::111222333444:role/bob-group], requestedTenant=null]"
},
"status": 403
}
```
------
## Langkah 5: Konfigurasikan kontrol akses halus berbasis atribut SAMP
Dengan Amazon OpenSearch Service, Anda dapat menggunakan kontrol akses berbutir halus dengan SAMP untuk memetakan pengguna dan grup dari penyedia identitas Anda ke pengguna dan peran kontrol akses yang OpenSearch halus secara dinamis. Anda dapat membuat cakupan peran ini ke OpenSearch domain tertentu dan koleksi tanpa server, serta menentukan izin tingkat indeks dan keamanan tingkat dokumen.
**catatan**
Untuk informasi selengkapnya tentang kontrol akses berbutir halus, lihat. [Kontrol akses berbutir halus di Layanan Amazon OpenSearch](fgac.md)
**Topics**
+ [Atribut SALL untuk kontrol akses berbutir halus](#saml-fgac-key-attributes)
+ [Tugas 1: Konfigurasikan Okta untuk kontrol akses berbutir halus](#configure-okta-fgac)
+ [Tugas 2: Konfigurasikan SALL di domain OpenSearch](#configure-opensearch-domain-fgac)
+ [Tugas 3: Konfigurasikan SAFL dalam koleksi Tanpa OpenSearch Server](#saml-configure-collections)
### Atribut SALL untuk kontrol akses berbutir halus
**SubjectKey**
Peta ke atribut pengguna unik, seperti email atau nama pengguna, yang mengidentifikasi pengguna untuk otentikasi.
**RolesKey**
Memetakan ke atribut grup atau peran di IDP Anda yang menentukan peran atau izin untuk otorisasi.
### Tugas 1: Konfigurasikan Okta untuk kontrol akses berbutir halus
**Untuk mengonfigurasi Okta untuk kontrol akses berbutir halus**
1. Tambahkan atribut baru untuk prinsipal OpenSearch pengguna di bagian **Pernyataan Atribut**:
+ Nama: `UserName`
+ Nilai: `${user-email}`
Atribut ini digunakan sebagai **kunci Subjek** dalam konfigurasi kontrol akses OpenSearch berbutir halus untuk otentikasi.
1. Tambahkan atribut grup untuk peran di bagian **Pernyataan Atribut Grup**:
+ Nama: `groups`
+ Filter: `OpenSearch_xxx`
Atribut ini digunakan sebagai **kunci Peran untuk memetakan grup ke peran** kontrol akses OpenSearch berbutir halus untuk otorisasi.
### Tugas 2: Konfigurasikan SALL di domain OpenSearch
**Untuk mengkonfigurasi SAFL di domain OpenSearch**
1. Di AWS Management Console, identifikasi domain OpenSearch Layanan yang ingin Anda aktifkan kontrol akses halus untuk pengguna UI. OpenSearch
1. Arahkan ke halaman detail domain tertentu.
1. Pilih tab **Konfigurasi keamanan** dan klik **Edit**.
1. Perluas **SALL melalui IAM Federate**.
1. Masukkan `subjectKey` dan `roleKey` yang Anda definisikan di Okta.
1. Pilih **Simpan perubahan**.
Anda juga dapat mengonfigurasi kontrol akses berbutir halus menggunakan file. AWS CLI
```
aws opensearch create-domain \
--domain-name testDomain \
--engine-version OpenSearch_1.3 \
--cluster-config InstanceType=r5.xlarge.search,InstanceCount=1,DedicatedMasterEnabled=false,ZoneAwarenessEnabled=false,WarmEnabled=false \
--access-policies '{"Version": "2012-10-17", "Statement":[{"Effect":"Allow","Principal":{"AWS":"*"},"Action":"es:*","Resource":"arn:aws:es:us-east-1:12345678901:domain/neosaml10/*"}]}' \
--domain-endpoint-options '{"EnforceHTTPS":true,"TLSSecurityPolicy":"Policy-Min-TLS-1-2-2019-07"}' \
--node-to-node-encryption-options '{"Enabled":true}' \
--encryption-at-rest-options '{"Enabled":true}' \
--advanced-security-options '{"Enabled":true,"InternalUserDatabaseEnabled":true,"MasterUserOptions":{"MasterUserName":"********","MasterUserPassword":"********"}, "IAMFederationOptions":{"Enabled": true,"SubjectKey":"TestSubjectKey","RolesKey":"TestRolesKey"}}' \
--ebs-options "EBSEnabled=true,VolumeType=gp2,VolumeSize=300" \
--no-verify-ssl \
--endpoint-url https://es.us-east-1.amazonaws.com \
--region us-east-1
```
Untuk memperbarui domain yang ada:
```
aws opensearch update-domain-config \
--domain-name testDomain \
--advanced-security-options '{"Enabled":true,"InternalUserDatabaseEnabled":true,"MasterUserOptions":{"MasterUserName":"********","MasterUserPassword":"********"}, "IAMFederationOptions":{"Enabled": true,"SubjectKey":"TestSubjectKey","RolesKey":"TestRolesKey"}}' \
--ebs-options "EBSEnabled=true,VolumeType=gp2,VolumeSize=300" \
--no-verify-ssl \
--endpoint-url https://es.us-east-1.amazonaws.com \
--region us-east-1
```
### Tugas 3: Konfigurasikan SAFL dalam koleksi Tanpa OpenSearch Server
**Untuk mengonfigurasi kontrol akses berbutir halus berbasis SAML di Tanpa Server OpenSearch**
1. Buka Konsol Manajemen AWS dan navigasikan ke OpenSearch Layanan Amazon.
1. **Di panel navigasi, di bawah **Tanpa Server**, pilih **Keamanan**, lalu pilih Otentikasi.**
1. Di bagian **Federasi IAM**, pilih **Edit**.
Anda dapat mengontrol kontrol akses halus berbasis atribut SAMP menggunakan konfigurasi ini. Federasi IAM dinonaktifkan secara default.
1. Pilih **Aktifkan Federasi IAM**.
1. Masukkan `subjectKey` dan `roleKey` nilai yang Anda tentukan di Okta.
Untuk informasi selengkapnya, lihat [Atribut SALL untuk kontrol akses berbutir halus](#saml-fgac-key-attributes).
1. Pilih **Simpan**.
1. Di panel navigasi di bawah **Tanpa Server**, pilih Kebijakan akses **data**.
1. Perbarui kebijakan yang ada atau buat yang baru.
1. Perluas aturan, pilih **Tambahkan prinsipal**, lalu pilih pengguna dan grup **Federasi IAM**.
1. **Tambahkan prinsipal yang diperlukan dan pilih Simpan.**
1. Pilih**Izin**.
1. Di bawah aturan ini, lakukan hal berikut:
+ Pilih izin yang ingin Anda tentukan untuk prinsipal yang dipilih.
+ Tentukan koleksi tempat Anda ingin menerapkan izin.
+ Secara opsional, tentukan izin tingkat indeks.
**catatan**
Anda dapat membuat beberapa aturan untuk menetapkan izin yang berbeda ke grup prinsipal yang berbeda.
1. Setelah selesai, silakan pilih **Simpan**.
1. Pilih **Buat**.
Atau, Anda dapat menggunakan CLI untuk membuat konfigurasi keamanan untuk koleksi, seperti yang diberikan di bawah ini:
```
aws opensearchserverless create-security-config --region "region" --type iamfederation --name "configuration_name" --description "description" --iam-federation-options '{"groupAttribute":"GroupKey","userAttribute":"UserKey"}'
```
# Mengelola asosiasi sumber data dan izin akses Virtual Private Cloud
Gunakan prosedur di bagian ini untuk mengelola asosiasi sumber data dan untuk mengonfigurasi izin akses yang diperlukan untuk virtual private cloud (VPC).
**Topics**
+ [Mengaitkan sumber data dengan aplikasi OpenSearch UI](#application-data-source-association)
+ [Mengelola akses ke domain dalam VPC](#application-manage-vpc-access)
+ [Mengkonfigurasi akses ke koleksi OpenSearch Tanpa Server dalam VPC](#application-configure-vpc-access-serverless-connections)
## Mengaitkan sumber data dengan aplikasi OpenSearch UI
Setelah membuat aplikasi OpenSearch UI, Anda dapat menggunakan konsol atau AWS CLI mengaitkannya dengan satu atau beberapa sumber data. Setelah ini, pengguna akhir dapat mengambil data dari sumber data ini untuk mencari, bekerja dengan dasbor, dan sebagainya.
### Kaitkan sumber data dengan aplikasi OpenSearch UI (konsol)
**Untuk mengaitkan sumber data dengan aplikasi OpenSearch UI menggunakan konsol**
1. Masuk ke konsol OpenSearch Layanan Amazon di [https://console.aws.amazon.com/aos/rumah](https://console.aws.amazon.com/aos/home).
1. Pilih **OpenSearch UI (Dasbor)**, lalu pilih nama aplikasi OpenSearch UI.
1. Di area **Sumber data terkait**, pilih **Kelola sumber data**.
1. Pilih dari OpenSearch domain dan koleksi yang ingin Anda kaitkan dengan aplikasi.
**Tip**
Jika Anda tidak menemukan sumber data yang Anda cari, hubungi administrator Anda untuk memberi Anda izin yang diperlukan. Untuk informasi selengkapnya, lihat [Izin untuk membuat aplikasi yang menggunakan autentikasi IAM Identity Center (opsional)](application-getting-started.md#prerequisite-permissions-idc).
1. Pilih **Berikutnya**, lalu pilih **Simpan**.
Setelah Anda mengaitkan sumber data dengan aplikasi, tombol **Luncurkan Aplikasi** diaktifkan pada halaman detail aplikasi. Anda dapat memilih **Luncurkan Aplikasi** untuk membuka OpenSearch halaman **Selamat Datang** di, tempat Anda dapat membuat dan mengelola ruang kerja.
Untuk informasi tentang bekerja dengan ruang kerja, lihat[Menggunakan ruang kerja Amazon OpenSearch Service](application-workspaces.md).
## Mengelola akses ke domain dalam VPC
Jika OpenSearch domain dalam VPC dikaitkan dengan aplikasi, administrator VPC harus mengotorisasi akses antara UI OpenSearch dan VPC menggunakan konsol atau. AWS CLI
### Mengelola akses ke domain di VPC (konsol)
**Untuk mengkonfigurasi akses ke domain VPC menggunakan: Konsol Manajemen AWS**
1. Masuk ke konsol OpenSearch Layanan Amazon di [https://console.aws.amazon.com/aos/rumah](https://console.aws.amazon.com/aos/home).
1. Di panel navigasi kiri, pilih **Domain**, dan pilih nama domain VPC.
-atau-
Pilih **Buat domain**, lalu konfigurasikan detail untuk domain tersebut.
1. **Pilih tab **titik akhir VPC**, lalu pilih Authorize principal.**
1. **Dalam kotak dialog **Otorisasi prinsipal**, pilih **Otorisasi Prinsipal dari AWS Layanan lain, lalu pilih OpenSearch aplikasi (Dasbor) dari** daftar.**
1. Pilih **Izinkan**.
### Mengelola akses ke domain dalam AWS CLI VPC ()
**Untuk mengotorisasi domain VPC menggunakan AWS CLI**
Untuk mengotorisasi domain VPC menggunakan AWS CLI, jalankan perintah berikut. Ganti *placeholder values* dengan informasi Anda sendiri.
```
aws opensearch authorize-vpc-endpoint-access \
--domain-name domain-name \
--service application.opensearchservice.amazonaws.com \
--region region-id
```
**Untuk mencabut asosiasi domain VPC menggunakan konsol**
Ketika asosiasi tidak lagi diperlukan, pemilik domain VPC dapat mencabut akses menggunakan prosedur berikut.
1. Masuk ke konsol OpenSearch Layanan Amazon di [https://console.aws.amazon.com/aos/rumah](https://console.aws.amazon.com/aos/home).
1. Di panel navigasi kiri, pilih **Domain**, dan pilih nama domain VPC.
1. Pilih tab **titik akhir VPC**, lalu pilih tombol untuk baris **OpenSearch aplikasi (Dasbor)**.
1. Pilih **Cabut akses**.
**Untuk mencabut asosiasi domain VPC menggunakan AWS CLI**
Untuk mencabut asosiasi domain VPC dengan aplikasi OpenSearch UI, jalankan perintah berikut. Ganti *placeholder values* dengan informasi Anda sendiri.
```
aws opensearch revoke-vpc-endpoint-access \
--domain-name domain-name \
--service application.opensearchservice.amazonaws.com \
--region region-id
```
## Mengkonfigurasi akses ke koleksi OpenSearch Tanpa Server dalam VPC
Jika koleksi Amazon OpenSearch Tanpa Server dalam VPC dikaitkan dengan aplikasi, administrator VPC dapat mengotorisasi akses dengan membuat kebijakan jaringan baru dan melampirkannya ke koleksi.
### Mengkonfigurasi akses ke koleksi OpenSearch Tanpa Server di VPC (konsol)
**Untuk mengonfigurasi akses ke koleksi OpenSearch Tanpa Server di VPC menggunakan konsol**
1. Masuk ke konsol OpenSearch Layanan Amazon di [https://console.aws.amazon.com/aos/rumah](https://console.aws.amazon.com/aos/home).
1. Di navigasi kiri, pilih **Kebijakan jaringan**, pilih nama kebijakan jaringan, lalu pilih **Edit**.
-atau-
Pilih **Buat kebijakan jaringan**, lalu konfigurasikan detail untuk kebijakan tersebut.
1. Di area **tipe Access**, pilih **Private (recommended)**, lalu pilih **AWS Service Private Access**.
1. Di kolom pencarian, pilih **Layanan**, lalu pilih`application.opensearchservice.amazonaws.com`.
1. Di area **Jenis sumber daya**, pilih kotak **Aktifkan akses ke OpenSearch titik akhir**.
1. Untuk **kumpulan Penelusuran, atau masukan istilah awalan tertentu**, di bidang pencarian, pilih **Nama Koleksi**, lalu masukkan atau pilih nama koleksi yang akan dikaitkan dengan kebijakan jaringan.
1. Pilih **Buat** untuk kebijakan jaringan baru atau **Perbarui** untuk kebijakan jaringan yang ada.
### Mengkonfigurasi akses ke koleksi OpenSearch Tanpa Server di VPC ()AWS CLI
**Untuk mengonfigurasi akses ke koleksi OpenSearch Tanpa Server di VPC menggunakan AWS CLI**
1. Buat file.json mirip dengan berikut ini. Ganti *placeholder values* dengan informasi Anda sendiri.
```
{
"Description" : "policy-description",
"Rules": [{
"ResourceType" : "collection",
"Resource" : ["collection/collection_name"]
}],
"SourceServices" : [
"application.opensearchservice.amazonaws.com"
],
"AllowFromPublic" : false
}
```
1. Buat atau perbarui kebijakan jaringan untuk koleksi di VPC agar berfungsi dengan aplikasi OpenSearch UI.
------
#### [ Create a network policy ]
Jalankan perintah berikut. Ganti *placeholder values* dengan informasi Anda sendiri.
```
aws opensearchserverless create-security-policy \
--type network \
--region region \
--endpoint-url endpoint-url \
--name network-policy-name \
--policy file:/path_to_network_policy_json_file
```
Perintah mengembalikan informasi yang mirip dengan berikut ini:
```
{
"securityPolicyDetail": {
"createdDate": ******,
"lastModifiedDate": ******,
"name": "network-policy-name",
"policy": [
{
"SourceVPCEs": [],
"AllowFromPublic": false,
"Description": "",
"Rules": [
{
"Resource": [
"collection/network-policy-name"
],
"ResourceType": "collection"
}
],
"SourceServices": [
"application.opensearchservice.amazonaws.com"
]
}
],
"policyVersion": "******",
"type": "network"
}
}
```
------
#### [ Update a network policy ]
Jalankan perintah berikut. Ganti *placeholder values* dengan informasi Anda sendiri.
```
aws opensearchserverless update-security-policy \
--type network \
--region region \
--endpoint-url endpoint-url \
--name network-policy-name \
--policy-version "policy_version_from_output_of_network_policy_creation" \
--policy file:/path_to_network_policy_json_file
```
Perintah mengembalikan informasi yang mirip dengan berikut ini:
```
{
"securityPolicyDetail": {
"createdDate": ******,
"lastModifiedDate": ******,
"name": "network-policy-name",
"policy": [
{
"SourceVPCEs": [],
"AllowFromPublic": false,
"Description": "",
"Rules": [
{
"Resource": [
"collection/network-policy-name"
],
"ResourceType": "collection"
}
],
"SourceServices": [
"application.opensearchservice.amazonaws.com"
]
}
],
"policyVersion": "******",
"type": "network"
}
}
```
------
# Menggunakan ruang kerja Amazon OpenSearch Service
Amazon OpenSearch Service mendukung pembuatan beberapa ruang kerja khusus kasus penggunaan. Setiap ruang kerja memberikan pengalaman yang dikuratori untuk kasus penggunaan populer seperti Observability, Security Analytics, dan Search. Workspace juga mendukung manajemen kolaborator, sehingga Anda dapat berbagi ruang kerja hanya dengan kolaborator yang dituju dan mengelola izin untuk masing-masing kolaborator.
## Membuat OpenSearch ruang kerja aplikasi UI
Setelah aplikasi OpenSearch UI dibuat dan dikaitkan dengan sumber data, dan izin pengguna telah dikonfigurasi untuk aplikasi, Anda dapat meluncurkan aplikasi OpenSearch UI untuk membuat ruang kerja.
Untuk mulai membuat ruang kerja, Anda dapat memilih tombol **Luncurkan aplikasi** pada halaman detail aplikasi atau menggunakan URL aplikasi OpenSearch UI untuk membuka beranda aplikasi OpenSearch UI di jendela browser baru.
Aplikasi OpenSearch UI menyediakan opsi untuk membuat ruang kerja dan mencantumkan semua ruang kerja yang ada di beranda, dikategorikan berdasarkan kasus penggunaan.
![\[Area “Ruang kerja saya” di konsol dapat digunakan untuk membuat lima jenis ruang kerja yang berbeda: Observabilitas, Analisis keamanan, Penelusuran, Penting, dan Analytics. Anda juga dapat melihat semua ruang kerja yang ada di area “Ruang kerja saya”.\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/images/workspaces.png)
Untuk informasi selengkapnya tentang jenis ruang kerja yang didukung, lihat[Jenis ruang kerja](#application-workspaces-types).
## Privasi ruang kerja dan kolaborator
Anda dapat menentukan pengaturan privasi untuk ruang kerja sebagai tingkat izin default untuk semua pengguna. Anda dapat melakukan ini sambil membuat ruang kerja atau memodifikasi ruang kerja yang ada (pada tab **Kolaborator** ruang kerja). Ada tiga opsi privasi untuk dipilih:
+ **Pribadi untuk kolaborator** - Hanya kolaborator yang Anda tambahkan secara eksplisit ke ruang kerja yang dapat mengakses ruang kerja. Anda dapat menentukan tingkat izin untuk setiap kolaborator.
+ ****Siapa pun dapat melihat**** — Siapa pun yang memiliki akses ke aplikasi OpenSearch UI dapat mengakses ruang kerja dan melihat asetnya, tetapi mereka tidak dapat membuat perubahan apa pun di ruang kerja.
+ ****Siapa pun dapat mengedit**** — Siapa pun yang memiliki akses ke aplikasi OpenSearch UI dapat mengakses ruang kerja, melihat aset di dalamnya, dan membuat perubahan pada aset di ruang kerja.
Pada tab Workspace **Collaborators**, Anda dapat menambahkan pengguna atau peran IAM dan AWS IAM Identity Center pengguna sebagai kolaborator di ruang kerja. Ada tiga tingkat izin bagi kolaborator untuk dipilih:
+ **Hanya baca** — Kolaborator hanya dapat melihat aset di ruang kerja. Pengaturan ini diganti jika ruang kerja dikonfigurasi untuk menggunakan pengaturan privasi **Siapa pun dapat mengedit**.
+ **Baca dan tulis** — Kolaborator dapat melihat dan mengedit aset di ruang kerja. Jika ruang kerja dikonfigurasi untuk menggunakan pengaturan privasi **Siapa pun dapat melihat**, kolaborator masih dapat mengedit.
+ **Admin** - Kolaborator dapat memperbarui pengaturan dan menghapus ruang kerja. Kolaborator juga dapat mengubah pengaturan privasi ruang kerja dan mengelola kolaborator. Pengguna yang membuat ruang kerja secara otomatis ditetapkan untuk menjadi administrator ruang kerja.
## Jenis ruang kerja
Amazon OpenSearch Service menyediakan lima jenis ruang kerja, masing-masing dengan fitur berbeda untuk kasus penggunaan yang berbeda:
+ Ruang kerja **Observability** dirancang untuk mendapatkan visibilitas ke dalam kesehatan sistem, kinerja, dan keandalan melalui pemantauan log, metrik, dan jejak.
+ Ruang kerja **Security Analytics** dirancang untuk mendeteksi dan menyelidiki potensi ancaman dan kerentanan keamanan di seluruh sistem dan data Anda.
+ Ruang kerja **Penelusuran** dirancang untuk menemukan dan menjelajahi informasi yang relevan dengan cepat di seluruh sumber data organisasi Anda.
+ Ruang kerja **Essentials** dirancang untuk OpenSearch Tanpa Server sebagai sumber data, dan memungkinkan analisis data untuk memperoleh wawasan, mengidentifikasi pola dan tren, dan membuat keputusan berdasarkan data dengan cepat. Anda dapat menemukan dan menjelajahi informasi yang relevan di seluruh sumber data organisasi Anda di ruang kerja **Essentials.**
+ Ruang kerja **Analytics** (semua fitur) dirancang untuk kasus penggunaan multiguna dan mendukung semua fitur yang tersedia di UI OpenSearch Layanan (Dasbor).
# Akses data lintas wilayah dan lintas akun
OpenSearch UI mendukung akses data dari OpenSearch domain di berbagai Akun AWS s dan Wilayah AWS s. Anda dapat memilih dari dua pendekatan tergantung pada kebutuhan Anda. Tabel berikut membandingkan kedua pendekatan tersebut.
**catatan**
Akses data lintas akun dan pencarian lintas klaster hanya berfungsi dengan OpenSearch domain. Tidak ada pendekatan yang mendukung OpenSearch koleksi Tanpa Server.
| Aspek | Akses data lintas akun | Pencarian lintas klaster |
| --- | --- | --- |
| Fitur | Mengaitkan domain dari akun lain sebagai sumber data langsung di UI OpenSearch | Kueri data di seluruh domain yang terhubung menggunakan koneksi pencarian lintas-cluster |
| Mekanisme | Akses langsung — OpenSearch UI terhubung langsung ke domain target di akun lain | Akses tidak langsung — memerlukan domain lokal di akun yang sama dengan OpenSearch UI untuk menyampaikan permintaan ke domain jarak jauh |
| Dukungan lintas akun | Ya | Ya |
| Dukungan Lintas Wilayah | Tidak — domain sumber dan target harus sama Wilayah AWS | Ya — domain sumber dan tujuan bisa berbeda Wilayah AWS |
| Data serikat lintas domain | Tidak — setiap domain ditanyakan secara independen sebagai sumber data terpisah | Ya — satu kueri dapat mengumpulkan hasil dari beberapa domain yang terhubung |
| Metode autentikasi | IAM dan AWS IAM Identity Center | IAM (dengan kontrol akses berbutir halus) |
| Kompleksitas pengaturan | Lebih rendah — membutuhkan peran IAM lintas akun untuk validasi | Lebih tinggi — memerlukan koneksi lintas klaster, kebijakan akses pada kedua domain, dan kontrol akses berbutir halus |
| Visibilitas sumber data di UI OpenSearch | Setiap domain lintas akun muncul sebagai sumber data terpisah | Domain jarak jauh diakses melalui alias koneksi domain sumber lokal |
| Menulis akses ke domain jarak jauh | Ya — dikendalikan oleh kebijakan akses domain target | Tidak - pencarian lintas cluster menyediakan akses hanya-baca ke domain jarak jauh |
**Topics**
+ [Akses data lintas akun ke domain OpenSearch](application-cross-account-data-access-domains.md)
+ [Pencarian lintas klaster](application-cross-cluster-search.md)
# Akses data lintas akun ke domain OpenSearch
Anda dapat mengonfigurasi aplikasi OpenSearch UI Anda dalam satu akun untuk mengakses OpenSearch domain di akun yang berbeda. Saat Anda membuat aplikasi OpenSearch UI dengan sumber data lintas akun, Anda memberikan `iamRoleForDataSourceArn` yang menunjuk ke peran IAM di akun target. OpenSearch UI memvalidasi permintaan dengan mengasumsikan peran ini dan memanggil `es:DescribeDomain` untuk memverifikasi aksesibilitas domain. Peran lintas akun hanya digunakan untuk validasi bidang kontrol. Akses pesawat data dikendalikan secara terpisah oleh kebijakan akses domain target.
**Kode sampel**
Contoh kode dalam topik ini hanya untuk tujuan ilustrasi. Mereka menunjukkan fungsionalitas dasar dan mungkin tidak termasuk penanganan kesalahan, praktik terbaik keamanan, atau fitur siap produksi. Sebelum menggunakan kode sampel dalam produksi, tinjau dan modifikasi untuk memenuhi persyaratan spesifik Anda, dan uji secara menyeluruh di lingkungan Anda.
## Konsep utama
Akun sumber
Yang Akun AWS meng-host aplikasi OpenSearch UI Anda.
Akun target
Di Akun AWS mana OpenSearch domain berada.
Peran lintas akun
Peran IAM dalam akun target yang digunakan untuk validasi bidang kontrol saja. Peran ini hanya membutuhkan `es:DescribeDomain` izin.
Peran aplikasi IAM Identity Center
Peran IAM dalam akun sumber yang digunakan untuk akses pesawat data pengguna IAM Identity Center.
## Prasyarat
Sebelum Anda mengatur akses data lintas akun, pastikan Anda memiliki yang berikut:
+ AWS CLI diinstal dan dikonfigurasi
+ Akses ke sumber dan target Akun AWS s
+ Untuk alur Pusat Identitas IAM: Sebuah instance AWS IAM Identity Center organisasi
## Skenario
Pilih skenario yang cocok dengan metode otentikasi dan konfigurasi domain Anda:
+ [Skenario 1: Pengguna IAM mengakses domain publik](#cross-account-scenario-1)
+ [Skenario 2: Pengguna IAM Identity Center mengakses domain publik](#cross-account-scenario-2)
+ [Skenario 3: Pengguna IAM mengakses domain VPC](#cross-account-scenario-3)
+ [Skenario 4: Pengguna Pusat Identitas IAM mengakses domain VPC](#cross-account-scenario-4)
## Skenario 1: Pengguna IAM mengakses domain publik
### Langkah 1: Buat peran IAM lintas akun (akun target)
Buat peran IAM di akun target yang memungkinkan akun sumber untuk menganggapnya sebagai validasi domain.
**Untuk membuat peran lintas akun**
1. Buat kebijakan kepercayaan yang memungkinkan akun sumber untuk mengambil peran:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::source-account-id:root"
},
"Action": "sts:AssumeRole"
}]
}
```
1. Buat peran:
```
aws iam create-role \
--role-name OpenSearchUIAccessRole \
--assume-role-policy-document file://trust-policy.json
```
1. Buat kebijakan izin hanya dengan `es:DescribeDomain` tindakan:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "es:DescribeDomain",
"Resource": "arn:aws:es:region:target-account-id:domain/*"
}]
}
```
1. Lampirkan kebijakan izin ke peran:
```
aws iam put-role-policy \
--role-name OpenSearchUIAccessRole \
--policy-name ValidationOnly \
--policy-document file://permissions-policy.json
```
### Langkah 2: Buat OpenSearch domain (akun target)
Buat OpenSearch domain di akun target dengan kontrol akses halus dan enkripsi diaktifkan:
```
aws opensearch create-domain \
--domain-name domain-name \
--engine-version OpenSearch_2.19 \
--cluster-config InstanceType=m5.large.search,InstanceCount=1 \
--ebs-options "EBSEnabled=true,VolumeType=gp3,VolumeSize=100" \
--advanced-security-options '{"Enabled":true,"InternalUserDatabaseEnabled":true,"MasterUserOptions":{"MasterUserName":"admin","MasterUserPassword":"master-password"}}' \
--node-to-node-encryption-options '{"Enabled":true}' \
--encryption-at-rest-options '{"Enabled":true}' \
--domain-endpoint-options '{"EnforceHTTPS":true,"TLSSecurityPolicy":"Policy-Min-TLS-1-2-2019-07"}' \
--access-policies '{"Version":"2012-10-17", "Statement":[{"Effect":"Allow","Principal":{"AWS":"*"},"Action":"es:ESHttp*","Resource":"arn:aws:es:region:target-account-id:domain/domain-name/*"}]}' \
--region region
```
Tunggu status domain menjadi `Active` sebelum melanjutkan.
### Langkah 3: Buat aplikasi OpenSearch UI (akun sumber)
Buat aplikasi di akun sumber dengan sumber data lintas akun:
```
aws opensearch create-application \
--region region \
--name "cross-account-iam-app" \
--data-sources '[{
"dataSourceArn":"arn:aws:es:region:target-account-id:domain/domain-name",
"dataSourceDescription":"Cross-account domain",
"iamRoleForDataSourceArn":"arn:aws:iam::target-account-id:role/OpenSearchUIAccessRole"
}]' \
--app-configs '[{"key":"opensearchDashboards.dashboardAdmin.users","value":"[\"*\"]"}]'
```
### Langkah 4: Verifikasi dan akses
Ambil detail aplikasi untuk mendapatkan URL endpoint:
```
aws opensearch get-application \
--region region \
--id application-id
```
+ Arahkan ke URL titik akhir aplikasi dari respons.
+ Masuk dengan kredensi IAM.
+ Pengguna IAM menandatangani permintaan pesawat data dengan kredensialnya sendiri.
+ Kebijakan akses domain target mengontrol data apa yang dapat diakses pengguna.
## Skenario 2: Pengguna IAM Identity Center mengakses domain publik
### Langkah 1: Buat peran IAM lintas akun (akun target)
Buat peran IAM di akun target yang memungkinkan akun sumber untuk menganggapnya sebagai validasi domain.
**Untuk membuat peran lintas akun**
1. Buat kebijakan kepercayaan yang memungkinkan akun sumber untuk mengambil peran:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::source-account-id:root"
},
"Action": "sts:AssumeRole"
}]
}
```
1. Buat peran:
```
aws iam create-role \
--role-name OpenSearchUIAccessRole \
--assume-role-policy-document file://trust-policy.json
```
1. Buat kebijakan izin hanya dengan `es:DescribeDomain` tindakan:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "es:DescribeDomain",
"Resource": "arn:aws:es:region:target-account-id:domain/*"
}]
}
```
1. Lampirkan kebijakan izin ke peran:
```
aws iam put-role-policy \
--role-name OpenSearchUIAccessRole \
--policy-name ValidationOnly \
--policy-document file://permissions-policy.json
```
### Langkah 2: Buat OpenSearch domain (akun target)
Buat OpenSearch domain di akun target. Gunakan perintah yang sama seperti[Langkah 2: Buat OpenSearch domain (akun target)](#scenario-1-step-2), tetapi perbarui kebijakan akses untuk mengizinkan peran aplikasi Pusat Identitas IAM dari akun sumber:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::source-account-id:role/NeoIdCAppRole"
},
"Action": "es:ESHttp*",
"Resource": "arn:aws:es:region:target-account-id:domain/domain-name/*"
}]
}
```
Tunggu status domain menjadi `Active` sebelum melanjutkan.
### Langkah 3: Buat peran IAM untuk aplikasi IAM Identity Center (akun sumber)
Buat peran IAM di akun sumber yang digunakan OpenSearch UI untuk akses pesawat data pengguna IAM Identity Center.
**Untuk membuat peran aplikasi IAM Identity Center**
1. Buat kebijakan kepercayaan:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "application.opensearchservice.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Effect": "Allow",
"Principal": {
"Service": "application.opensearchservice.amazonaws.com"
},
"Action": "sts:SetContext",
"Condition": {
"ForAllValues:ArnEquals": {
"sts:RequestContextProviders": "arn:aws:iam::source-account-id:oidc-provider/portal.sso.region.amazonaws.com/apl/application-id"
}
}
}
]
}
```
1. Membuat kebijakan izin:
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "OpenSearchDomain",
"Effect": "Allow",
"Action": ["es:ESHttp*"],
"Resource": "*"
}]
}
```
1. Buat peran dan lampirkan kebijakan:
```
aws iam create-role \
--role-name NeoIdCAppRole \
--assume-role-policy-document file://neoidc-trust-policy.json
aws iam put-role-policy \
--role-name NeoIdCAppRole \
--policy-name NeoIdCAppPermissions \
--policy-document file://neoidc-permissions-policy.json
```
### Langkah 4: Buat aplikasi OpenSearch UI dengan IAM Identity Center (akun sumber)
```
aws opensearch create-application \
--region region \
--name "cross-account-idc-app" \
--iam-identity-center-options '{
"enabled":true,
"iamIdentityCenterInstanceArn":"arn:aws:sso:::instance/ssoins-instance-id",
"iamRoleForIdentityCenterApplicationArn":"arn:aws:iam::source-account-id:role/NeoIdCAppRole"
}' \
--data-sources '[{
"dataSourceArn":"arn:aws:es:region:target-account-id:domain/domain-name",
"dataSourceDescription":"Cross-account domain",
"iamRoleForDataSourceArn":"arn:aws:iam::target-account-id:role/OpenSearchUIAccessRole"
}]' \
--app-configs '[{"key":"opensearchDashboards.dashboardAdmin.users","value":"[\"*\"]"}]'
```
### Langkah 5: Buat dan tetapkan pengguna dan grup IAM Identity Center
**Buat pengguna Pusat Identitas IAM**
Jalankan perintah berikut. Ganti *placeholder values* dengan informasi Anda sendiri.
```
aws identitystore create-user \
--identity-store-id d-directory-id \
--user-name user-email \
--display-name "display-name" \
--name Formatted=string,FamilyName=last-name,GivenName=first-name \
--emails Value=user-email,Type=work,Primary=true
```
**Buat grup Pusat Identitas IAM dan tambahkan pengguna**
Jalankan perintah berikut:
```
aws identitystore create-group \
--identity-store-id d-directory-id \
--display-name "OpenSearchUsers" \
--description "Users with OpenSearch access"
aws identitystore create-group-membership \
--identity-store-id d-directory-id \
--group-id group-id \
--member-id UserId=user-id
```
**Tetapkan pengguna atau grup ke aplikasi**
Jalankan perintah berikut:
```
aws sso-admin create-application-assignment \
--application-arn "arn:aws:sso:::source-account-id:application/ssoins-instance-id/apl-application-id" \
--principal-id user-id-or-group-id \
--principal-type USER
```
**Konfigurasikan pemetaan peran backend pada domain target**
Petakan grup Pusat Identitas IAM ke peran OpenSearch keamanan pada domain target:
```
curl -XPUT "https://domain-endpoint/_plugins/_security/api/rolesmapping/all_access" \
-u admin:master-password \
-H 'Content-Type: application/json' \
-d '{
"backend_roles": ["group-id"],
"hosts": [],
"users": []
}'
```
### Langkah 6: Verifikasi dan akses
```
aws opensearch get-application \
--region region \
--id application-id
```
+ Arahkan ke URL titik akhir aplikasi.
+ Masuk dengan kredensi pengguna IAM Identity Center.
+ Permintaan data pengguna IAM Identity Center ditandatangani dengan peran aplikasi IAM Identity Center, bukan peran lintas akun.
+ Pemetaan peran backend pada izin akses data kontrol domain.
## Skenario 3: Pengguna IAM mengakses domain VPC
### Langkah 1: Buat peran IAM lintas akun (akun target)
Buat peran IAM di akun target yang memungkinkan akun sumber untuk menganggapnya sebagai validasi domain.
**Untuk membuat peran lintas akun**
1. Buat kebijakan kepercayaan yang memungkinkan akun sumber untuk mengambil peran:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::source-account-id:root"
},
"Action": "sts:AssumeRole"
}]
}
```
1. Buat peran:
```
aws iam create-role \
--role-name OpenSearchUIAccessRole \
--assume-role-policy-document file://trust-policy.json
```
1. Buat kebijakan izin hanya dengan `es:DescribeDomain` tindakan:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "es:DescribeDomain",
"Resource": "arn:aws:es:region:target-account-id:domain/*"
}]
}
```
1. Lampirkan kebijakan izin ke peran:
```
aws iam put-role-policy \
--role-name OpenSearchUIAccessRole \
--policy-name ValidationOnly \
--policy-document file://permissions-policy.json
```
### Langkah 2: Siapkan VPC (akun target)
Lewati langkah ini jika VPC sudah ada di akun target.
```
# Create VPC
aws ec2 create-vpc \
--cidr-block 10.0.0.0/16 \
--region region
# Create subnet
aws ec2 create-subnet \
--vpc-id vpc-id \
--cidr-block 10.0.1.0/24 \
--availability-zone regiona \
--region region
# Create security group
aws ec2 create-security-group \
--group-name opensearch-vpc-sg \
--description "Security group for OpenSearch VPC domain" \
--vpc-id vpc-id \
--region region
# Allow inbound HTTPS
aws ec2 authorize-security-group-ingress \
--group-id security-group-id \
--protocol tcp \
--port 443 \
--cidr 10.0.0.0/16 \
--region region
```
Pelajari lebih lanjut tentang [pembuatan domain VPC](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html).
### Langkah 3: Buat domain VPC (akun target)
```
aws opensearch create-domain \
--domain-name vpc-domain-name \
--engine-version OpenSearch_2.19 \
--cluster-config InstanceType=m5.large.search,InstanceCount=1 \
--ebs-options "EBSEnabled=true,VolumeType=gp3,VolumeSize=100" \
--vpc-options "SubnetIds=subnet-id,SecurityGroupIds=security-group-id" \
--advanced-security-options '{"Enabled":true,"InternalUserDatabaseEnabled":true,"MasterUserOptions":{"MasterUserName":"admin","MasterUserPassword":"master-password"}}' \
--node-to-node-encryption-options '{"Enabled":true}' \
--encryption-at-rest-options '{"Enabled":true}' \
--domain-endpoint-options '{"EnforceHTTPS":true,"TLSSecurityPolicy":"Policy-Min-TLS-1-2-2019-07"}' \
--access-policies '{"Version":"2012-10-17", "Statement":[{"Effect":"Allow","Principal":{"AWS":"*"},"Action":"es:ESHttp*","Resource":"arn:aws:es:region:target-account-id:domain/vpc-domain-name/*"}]}' \
--region region
```
Tunggu status domain menjadi `Active` sebelum melanjutkan.
### Langkah 4: Otorisasi titik akhir VPC untuk OpenSearch prinsipal layanan UI (akun target)
**penting**
Ini adalah langkah penting yang unik untuk domain VPC. Layanan OpenSearch UI harus diotorisasi secara eksplisit untuk mengakses titik akhir VPC.
```
# Authorize the service principal
aws opensearch authorize-vpc-endpoint-access \
--domain-name vpc-domain-name \
--service "application.opensearchservice.amazonaws.com" \
--region region
# Verify authorization
aws opensearch list-vpc-endpoint-access \
--domain-name vpc-domain-name \
--region region
```
Tanggapan yang diharapkan:
```
{
"AuthorizedPrincipalList": [
{
"PrincipalType": "AWS_SERVICE",
"Principal": "application.opensearchservice.amazonaws.com"
}
]
}
```
### Langkah 5: Buat aplikasi OpenSearch UI (akun sumber)
```
aws opensearch create-application \
--region region \
--name "cross-account-vpc-iam-app" \
--data-sources '[{
"dataSourceArn":"arn:aws:es:region:target-account-id:domain/vpc-domain-name",
"dataSourceDescription":"Cross-account VPC domain",
"iamRoleForDataSourceArn":"arn:aws:iam::target-account-id:role/OpenSearchUIAccessRole"
}]' \
--app-configs '[{"key":"opensearchDashboards.dashboardAdmin.users","value":"[\"*\"]"}]'
```
### Langkah 6: Verifikasi dan akses
Ambil detail aplikasi untuk mendapatkan URL endpoint:
```
aws opensearch get-application \
--region region \
--id application-id
```
+ Arahkan ke URL titik akhir aplikasi dari respons.
+ Masuk dengan kredensi IAM.
+ Pengguna IAM menandatangani permintaan pesawat data dengan kredensialnya sendiri.
+ Kebijakan akses domain target mengontrol data apa yang dapat diakses pengguna.
## Skenario 4: Pengguna Pusat Identitas IAM mengakses domain VPC
### Langkah 1: Buat peran IAM lintas akun (akun target)
Buat peran IAM di akun target yang memungkinkan akun sumber untuk menganggapnya sebagai validasi domain.
**Untuk membuat peran lintas akun**
1. Buat kebijakan kepercayaan yang memungkinkan akun sumber untuk mengambil peran:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::source-account-id:root"
},
"Action": "sts:AssumeRole"
}]
}
```
1. Buat peran:
```
aws iam create-role \
--role-name OpenSearchUIAccessRole \
--assume-role-policy-document file://trust-policy.json
```
1. Buat kebijakan izin hanya dengan `es:DescribeDomain` tindakan:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "es:DescribeDomain",
"Resource": "arn:aws:es:region:target-account-id:domain/*"
}]
}
```
1. Lampirkan kebijakan izin ke peran:
```
aws iam put-role-policy \
--role-name OpenSearchUIAccessRole \
--policy-name ValidationOnly \
--policy-document file://permissions-policy.json
```
### Langkah 2: Siapkan VPC (akun target)
Lewati langkah ini jika VPC sudah ada di akun target.
```
# Create VPC
aws ec2 create-vpc \
--cidr-block 10.0.0.0/16 \
--region region
# Create subnet
aws ec2 create-subnet \
--vpc-id vpc-id \
--cidr-block 10.0.1.0/24 \
--availability-zone regiona \
--region region
# Create security group
aws ec2 create-security-group \
--group-name opensearch-vpc-sg \
--description "Security group for OpenSearch VPC domain" \
--vpc-id vpc-id \
--region region
# Allow inbound HTTPS
aws ec2 authorize-security-group-ingress \
--group-id security-group-id \
--protocol tcp \
--port 443 \
--cidr 10.0.0.0/16 \
--region region
```
Pelajari lebih lanjut tentang [pembuatan domain VPC](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html).
### Langkah 3: Buat domain VPC (akun target)
Gunakan perintah yang sama seperti[Langkah 3: Buat domain VPC (akun target)](#scenario-3-step-3), tetapi perbarui kebijakan akses untuk mengizinkan peran aplikasi Pusat Identitas IAM dari akun sumber:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::source-account-id:role/NeoIdCAppRole"
},
"Action": "es:ESHttp*",
"Resource": "arn:aws:es:region:target-account-id:domain/vpc-domain-name/*"
}]
}
```
Tunggu status domain menjadi `Active` sebelum melanjutkan.
### Langkah 4: Otorisasi titik akhir VPC untuk OpenSearch prinsipal layanan UI (akun target)
**penting**
Ini adalah langkah penting yang unik untuk domain VPC. Layanan OpenSearch UI harus diotorisasi secara eksplisit untuk mengakses titik akhir VPC.
```
# Authorize the service principal
aws opensearch authorize-vpc-endpoint-access \
--domain-name vpc-domain-name \
--service "application.opensearchservice.amazonaws.com" \
--region region
# Verify authorization
aws opensearch list-vpc-endpoint-access \
--domain-name vpc-domain-name \
--region region
```
Tanggapan yang diharapkan:
```
{
"AuthorizedPrincipalList": [
{
"PrincipalType": "AWS_SERVICE",
"Principal": "application.opensearchservice.amazonaws.com"
}
]
}
```
### Langkah 5: Buat peran IAM untuk aplikasi IAM Identity Center (akun sumber)
Buat peran IAM di akun sumber yang digunakan OpenSearch UI untuk akses pesawat data pengguna IAM Identity Center.
**Untuk membuat peran aplikasi IAM Identity Center**
1. Buat kebijakan kepercayaan:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "application.opensearchservice.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Effect": "Allow",
"Principal": {
"Service": "application.opensearchservice.amazonaws.com"
},
"Action": "sts:SetContext",
"Condition": {
"ForAllValues:ArnEquals": {
"sts:RequestContextProviders": "arn:aws:iam::source-account-id:oidc-provider/portal.sso.region.amazonaws.com/apl/application-id"
}
}
}
]
}
```
1. Membuat kebijakan izin:
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "OpenSearchDomain",
"Effect": "Allow",
"Action": ["es:ESHttp*"],
"Resource": "*"
}]
}
```
1. Buat peran dan lampirkan kebijakan:
```
aws iam create-role \
--role-name NeoIdCAppRole \
--assume-role-policy-document file://neoidc-trust-policy.json
aws iam put-role-policy \
--role-name NeoIdCAppRole \
--policy-name NeoIdCAppPermissions \
--policy-document file://neoidc-permissions-policy.json
```
### Langkah 6: Buat aplikasi OpenSearch UI dengan IAM Identity Center (akun sumber)
```
aws opensearch create-application \
--region region \
--name "cross-account-vpc-idc-app" \
--iam-identity-center-options '{
"enabled":true,
"iamIdentityCenterInstanceArn":"arn:aws:sso:::instance/ssoins-instance-id",
"iamRoleForIdentityCenterApplicationArn":"arn:aws:iam::source-account-id:role/NeoIdCAppRole"
}' \
--data-sources '[{
"dataSourceArn":"arn:aws:es:region:target-account-id:domain/vpc-domain-name",
"dataSourceDescription":"Cross-account VPC domain",
"iamRoleForDataSourceArn":"arn:aws:iam::target-account-id:role/OpenSearchUIAccessRole"
}]' \
--app-configs '[{"key":"opensearchDashboards.dashboardAdmin.users","value":"[\"*\"]"}]'
```
### Langkah 7: Buat dan tetapkan pengguna dan grup IAM Identity Center
**Buat pengguna Pusat Identitas IAM**
Jalankan perintah berikut. Ganti *placeholder values* dengan informasi Anda sendiri.
```
aws identitystore create-user \
--identity-store-id d-directory-id \
--user-name user-email \
--display-name "display-name" \
--name Formatted=string,FamilyName=last-name,GivenName=first-name \
--emails Value=user-email,Type=work,Primary=true
```
**Buat grup Pusat Identitas IAM dan tambahkan pengguna**
Jalankan perintah berikut:
```
aws identitystore create-group \
--identity-store-id d-directory-id \
--display-name "OpenSearchUsers" \
--description "Users with OpenSearch access"
aws identitystore create-group-membership \
--identity-store-id d-directory-id \
--group-id group-id \
--member-id UserId=user-id
```
**Tetapkan pengguna atau grup ke aplikasi**
Jalankan perintah berikut:
```
aws sso-admin create-application-assignment \
--application-arn "arn:aws:sso:::source-account-id:application/ssoins-instance-id/apl-application-id" \
--principal-id user-id-or-group-id \
--principal-type USER
```
**Konfigurasikan pemetaan peran backend pada domain target**
Petakan grup Pusat Identitas IAM ke peran OpenSearch keamanan pada domain target:
```
curl -XPUT "https://domain-endpoint/_plugins/_security/api/rolesmapping/all_access" \
-u admin:master-password \
-H 'Content-Type: application/json' \
-d '{
"backend_roles": ["group-id"],
"hosts": [],
"users": []
}'
```
### Langkah 8: Verifikasi dan akses
```
aws opensearch get-application \
--region region \
--id application-id
```
+ Arahkan ke URL titik akhir aplikasi.
+ Masuk dengan kredensi pengguna IAM Identity Center.
+ Permintaan data pengguna IAM Identity Center ditandatangani dengan peran aplikasi IAM Identity Center, bukan peran lintas akun.
+ Pemetaan peran backend pada izin akses data kontrol domain.
## Mengelola aplikasi
**Perbarui aplikasi dengan sumber data lintas akun**
Jalankan perintah berikut. Ganti *placeholder values* dengan informasi Anda sendiri.
```
aws opensearch update-application \
--region region \
--id application-id \
--data-sources '[{
"dataSourceArn":"arn:aws:es:region:target-account-id:domain/domain-1",
"dataSourceDescription":"First cross-account domain",
"iamRoleForDataSourceArn":"arn:aws:iam::target-account-id:role/OpenSearchUIAccessRole"
},{
"dataSourceArn":"arn:aws:es:region:target-account-id:domain/domain-2",
"dataSourceDescription":"Second cross-account domain",
"iamRoleForDataSourceArn":"arn:aws:iam::target-account-id:role/OpenSearchUIAccessRole"
}]'
```
**penting**
Operasi pembaruan menggantikan seluruh array sumber data. Sertakan semua sumber data yang ingin Anda simpan.
**Daftar aplikasi**
Jalankan perintah berikut:
```
aws opensearch list-applications \
--region region
```
**Menghapus sebuah aplikasi**
Jalankan perintah berikut:
```
aws opensearch delete-application \
--region region \
--id application-id
```
**Cabut akses titik akhir VPC**
Jalankan perintah berikut:
```
aws opensearch revoke-vpc-endpoint-access \
--domain-name vpc-domain-name \
--service "application.opensearchservice.amazonaws.com" \
--region region
```
## Referensi cepat
Tabel berikut merangkum perbedaan utama antara jenis domain dan metode otentikasi.
**Domain publik dibandingkan dengan domain VPC**
| Aspek | Domain publik | Domain VPC |
| --- | --- | --- |
| Otorisasi titik akhir VPC | Tidak diperlukan | Wajib — harus mengotorisasi application.opensearchservice.amazonaws.com |
| Pengaturan jaringan | Tidak ada | VPC, subnet, grup keamanan dengan HTTPS (443) masuk |
| Kebijakan akses IAM | Diperlukan | Diperlukan |
| Peran lintas akun | Diperlukan untuk cross-account | Diperlukan untuk cross-account |
**Pengguna IAM dibandingkan dengan pengguna IAM Identity Center**
| Aspek | Pengguna IAM | Pengguna Pusat Identitas IAM |
| --- | --- | --- |
| Kredensial bidang data | Kredensi IAM milik pengguna | Peran aplikasi IAM Identity Center |
| Kontrol akses | Kebijakan akses domain | Kebijakan akses domain dan pemetaan peran backend |
| Pengaturan tambahan | Tidak ada | Peran aplikasi IAM Identity Center, user/group pembuatan, penugasan aplikasi, pemetaan peran backend |
| OpenSearch Konfigurasi aplikasi UI | Tidak ada opsi Pusat Identitas IAM | --iam-identity-center-optionsdiperlukan |
## Catatan penting
+ `iamRoleForDataSourceArn`Harus dalam akun yang sama dengan`dataSourceArn`.
+ Hanya `iamRoleForDataSourceArn` diperlukan untuk sumber data lintas akun. Hilangkan untuk sumber data akun yang sama.
+ Peran lintas akun hanya membutuhkan `es:DescribeDomain` izin. Ini tidak pernah digunakan untuk akses pesawat data.
+ Untuk domain VPC, kebijakan IAM dan otorisasi titik akhir VPC harus dikonfigurasi.
+ Versi mesin yang didukung: OpenSearch 1.3 dan di atas.
## Pemecahan masalah
| Isu | Resolusi |
| --- | --- |
| Pembuatan aplikasi gagal dengan “Tidak dapat mengakses domain” | Verifikasi bahwa peran lintas akun memiliki es:DescribeDomain izin dan kebijakan kepercayaan mengizinkan akun sumber. |
| Asosiasi domain VPC gagal | Pastikan titik akhir VPC diotorisasi. application.opensearchservice.amazonaws.com |
| Akses pesawat data ditolak untuk pengguna IAM | Periksa apakah kebijakan akses domain target memungkinkan pengguna IAM atau kepala peran. |
| Akses pesawat data ditolak untuk pengguna IAM Identity Center | Verifikasi bahwa pemetaan peran backend menyertakan ID grup Pusat Identitas IAM, dan kebijakan domain mengizinkan peran aplikasi Pusat Identitas IAM. |
| Kesalahan ketidakcocokan akun | Pastikan itu iamRoleForDataSourceArn berada di akun yang sama dengan domain didataSourceArn. |
# Pencarian lintas klaster
Menggunakan [penelusuran lintas klaster](cross-cluster-search.md) di Amazon OpenSearch Tanpa Server, Anda dapat melakukan kueri dan agregasi di beberapa domain yang terhubung.
*Pencarian lintas cluster di Amazon OpenSearch Tanpa Server menggunakan konsep *domain sumber dan domain tujuan*.* Permintaan pencarian lintas cluster berasal dari domain sumber. Domain tujuan dapat berbeda Akun AWS atau Wilayah AWS (atau keduanya) untuk domain sumber untuk kueri. Menggunakan pencarian lintas klaster, Anda dapat mengonfigurasi domain sumber untuk dikaitkan dengan OpenSearch UI Anda di akun yang sama dan kemudian membuat koneksi ke domain tujuan. Akibatnya, Anda dapat menggunakan OpenSearch UI dengan data dari domain tujuan meskipun mereka berada di akun atau Wilayah yang berbeda.
Anda membayar [biaya transfer AWS data standar](https://aws.amazon.com/opensearch-service/pricing/) untuk data yang ditransfer masuk dan keluar dari OpenSearch Layanan Amazon. Anda tidak dikenakan biaya untuk data yang ditransfer antar node dalam domain OpenSearch Layanan Anda. Untuk informasi selengkapnya tentang biaya “masuk” dan “keluar” data, lihat [Transfer Data](https://aws.amazon.com/ec2/pricing/on-demand/#Data_Transfer) di halaman Harga *Sesuai Permintaan Amazon EC2*.
Anda dapat menggunakan pencarian lintas klaster sebagai mekanisme agar OpenSearch UI dikaitkan dengan cluster di akun lain atau Wilayah yang berbeda. Permintaan antar domain dienkripsi dalam perjalanan secara default sebagai bagian dari enkripsi. node-to-node
**catatan**
OpenSearch Alat open source juga mendokumentasikan [pencarian lintas cluster](https://opensearch.org/docs/latest/search-plugins/cross-cluster-search/). Perhatikan bahwa penyiapan untuk alat open source berbeda secara signifikan untuk kluster open source dibandingkan dengan domain Amazon Tanpa OpenSearch Server yang dikelola.
Terutama, di Amazon OpenSearch Tanpa Server, Anda mengonfigurasi koneksi lintas-cluster menggunakan Konsol Manajemen AWS alih-alih menggunakan permintaan. `cURL` Layanan terkelola menggunakan AWS Identity and Access Management (IAM) untuk otentikasi lintas-cluster selain kontrol akses berbutir halus.
Oleh karena itu, sebaiknya gunakan konten dalam topik ini untuk mengonfigurasi pencarian lintas klaster untuk domain Anda, bukan dokumentasi sumber OpenSearch terbuka.
**Perbedaan fungsional saat menggunakan pencarian lintas cluster**
Dibandingkan dengan domain biasa, domain tujuan yang dibuat menggunakan pencarian Cross-cluster memiliki perbedaan dan persyaratan fungsional berikut:
+ Anda tidak dapat menulis atau menjalankan `PUT` perintah ke cluster jarak jauh. Akses Anda ke cluster jarak jauh *hanya-baca*.
+ Domain sumber dan tujuan harus berupa OpenSearch domain. Anda tidak dapat menghubungkan domain Elasticsearch atau cluster OpenSearch /Elasticsearch yang dikelola sendiri untuk UI. OpenSearch
+ Sebuah domain dapat memiliki maksimal 20 koneksi ke domain lain. Ini termasuk koneksi keluar dan masuk.
+ Domain sumber harus pada versi yang sama atau lebih tinggi OpenSearch dari domain tujuan. Jika Anda ingin mengatur koneksi dua arah antara dua domain, kedua domain harus dalam versi yang sama. Kami merekomendasikan untuk memutakhirkan kedua domain ke versi terbaru sebelum membuat koneksi. Jika Anda perlu memperbarui domain setelah mengatur koneksi dua arah, Anda harus terlebih dahulu menghapus koneksi, dan kemudian membuatnya kembali setelahnya.
+ Anda tidak dapat menggunakan kamus kustom atau SQL dengan cluster jarak jauh.
+ Anda tidak dapat menggunakan CloudFormation untuk menghubungkan domain.
+ Anda tidak dapat menggunakan pencarian lintas klaster pada instance M3 atau burstable (T2 dan T3).
+ Pencarian lintas cluster tidak berfungsi untuk koleksi Amazon Tanpa OpenSearch Server.
**Prasyarat pencarian lintas-cluster untuk UI OpenSearch**
Sebelum menyiapkan penelusuran lintas klaster dengan dua OpenSearch domain, pastikan domain Anda memenuhi persyaratan berikut:
+ Kontrol akses berbutir halus diaktifkan untuk kedua domain
+ Node-to-node enkripsi diaktifkan untuk kedua domain
**Topics**
+ [Menyiapkan izin akses untuk akses data lintas wilayah dan lintas akun dengan pencarian lintas klaster](#cross-cluster-search-security)
+ [Membuat koneksi antar domain](#cross-cluster-search-create-connection)
+ [Menguji pengaturan keamanan Anda untuk akses data lintas wilayah dan lintas akun dengan pencarian lintas klaster](#cross-cluster-search-security-testing)
+ [Menghapus koneksi](#cross-cluster-search-deleting-connection)
## Menyiapkan izin akses untuk akses data lintas wilayah dan lintas akun dengan pencarian lintas klaster
Saat Anda mengirim permintaan penelusuran lintas klaster ke domain sumber, domain akan mengevaluasi permintaan tersebut berdasarkan kebijakan akses domainnya. Pencarian lintas-cluster memerlukan kontrol akses berbutir halus. Berikut ini adalah contoh dengan kebijakan akses terbuka pada domain sumber.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"*"
]
},
"Action": [
"es:ESHttp*"
],
"Resource": "arn:aws:es:us-east-1:111222333444:domain/src-domain/*"
}
]
}
```
------
**catatan**
Jika Anda menyertakan indeks jarak jauh di jalur, Anda harus mengkodekan URL URI di domain ARN.
Misalnya, gunakan format ARN berikut:
`:arn:aws:es:us-east-1:111222333444:domain/my-domain/local_index,dst%3Aremote_index`
Jangan gunakan format ARN berikut:
`arn:aws:es:us-east-1:111222333444:domain/my-domain/local_index,dst:remote_index.`
Jika Anda memilih untuk menggunakan kebijakan akses terbatas selain kontrol akses berbutir halus, kebijakan Anda minimal harus mengizinkan akses ke. `es:ESHttpGet` Berikut ini adalah contohnya:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111222333444:user/john-doe"
]
},
"Action": "es:ESHttpGet",
"Resource": "arn:aws:es:us-east-1:111122223333:domain/my-domain/*"
}
]
}
```
------
[Kontrol akses berbutir halus](fgac.md) pada domain sumber mengevaluasi permintaan untuk menentukan apakah permintaan tersebut ditandatangani dengan kredensi dasar IAM atau HTTP yang valid. Jika ya, kontrol akses berbutir halus selanjutnya mengevaluasi apakah pengguna memiliki izin untuk melakukan pencarian dan mengakses data.
Berikut ini adalah persyaratan izin untuk pencarian:
+ Jika permintaan hanya mencari data pada domain tujuan (misalnya`dest-alias:dest-index/_search)`, izin hanya diperlukan pada domain tujuan.
+ Jika permintaan mencari data di kedua domain (misalnya`source-index,dest-alias:dest-index/_search)`, izin diperlukan pada kedua domain.
+ Untuk menggunakan kontrol akses berbutir halus, izin `indices:admin/shards/search_shards` diperlukan selain izin baca atau pencarian standar untuk indeks yang relevan.
Sumber domain melewati permintaan ke domain tujuan. Domain tujuan mengevaluasi permintaan ini terhadap kebijakan akses domainnya. Untuk mendukung semua fitur di OpenSearch UI, seperti mengindeks dokumen dan melakukan pencarian standar, izin penuh harus ditetapkan. Berikut ini adalah contoh kebijakan yang kami rekomendasikan tentang domain tujuan:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"*"
]
},
"Action": [
"es:ESHttp*"
],
"Resource": "arn:aws:es:us-east-2:111222333444:domain/my-destination-domain/*"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "es:ESCrossClusterGet",
"Resource": "arn:aws:es:us-east-2:111222333444:domain/"
}
]
}
```
------
Jika Anda hanya ingin melakukan penelusuran dasar, persyaratan kebijakan minimum adalah `es:ESCrossClusterGet` izin yang akan diterapkan untuk domain tujuan tanpa dukungan wildcard. Misalnya, dalam kebijakan sebelumnya, Anda akan menentukan nama domain sebagai */my-destination-domain* dan bukan. */my-destination-domain/\$1*
Dalam hal ini, domain tujuan melakukan pencarian dan mengembalikan hasilnya ke domain sumber. Sumber domain menggabungkan hasil sendiri (jika ada) dengan hasil dari domain tujuan dan mengembalikannya kepada Anda.
## Membuat koneksi antar domain
Koneksi pencarian lintas cluster searah dari domain sumber ke domain tujuan. Ini berarti bahwa domain tujuan (di akun atau Wilayah yang berbeda) tidak dapat menanyakan domain sumber, yang bersifat lokal ke OpenSearch UI. Domain sumber membuat koneksi *keluar* ke domain tujuan. Domain tujuan menerima permintaan koneksi *masuk* dari domain sumber.
![\[Gambar ini menggambarkan bahwa koneksi pencarian lintas cluster searah dari domain sumber ke domain tujuan.\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/images/ui-oubound-inbound-connections.png)
**Untuk membuat koneksi antar domain**
1. Masuk ke konsol OpenSearch Layanan Amazon di [https://console.aws.amazon.com/aos/rumah](https://console.aws.amazon.com/aos/home).
1. Di navigasi kiri, pilih **Domain**.
1. Pilih nama domain untuk dijadikan domain sumber, lalu pilih tab **Connections**.
1. Di area **Koneksi keluar**, pilih **Permintaan**.
1. Untuk **alias Koneksi**, masukkan nama untuk koneksi Anda. Alias koneksi digunakan di OpenSearch UI untuk memilih domain tujuan.
1. Untuk **mode Koneksi**, pilih **Langsung** untuk pencarian atau replikasi lintas klaster.
1. Untuk menentukan bahwa koneksi harus melewati kluster yang tidak tersedia selama pencarian, pilih kotak **Lewati kluster yang tidak tersedia**. Memilih opsi ini memastikan bahwa kueri lintas klaster Anda mengembalikan sebagian hasil terlepas dari kegagalan pada satu atau beberapa cluster jarak jauh.
1. Untuk **tujuan klaster**, pilih antara **Connect to a cluster di this Akun AWS** dan **Connect to a cluster di cluster lain Akun AWS**.
1. Untuk **Remote domain ARN**, masukkan Amazon Resource Name (ARN) untuk cluster. Domain ARN dapat ditemukan di area **informasi umum** halaman detail domain.
Domain harus memenuhi persyaratan berikut:
+ ARN harus dalam format. `arn:partition:es:regionaccount-id:type/domain-id` Contoh:
`arn:aws:es:us-east-2:111222333444:domain/my-domain`
+ Domain harus dikonfigurasi untuk menggunakan OpenSearch versi 1.0 (atau yang lebih baru) atau Elasticsearch versi 6.7 (atau yang lebih baru).
+ Kontrol akses berbutir halus harus diaktifkan pada domain.
+ Domain harus berjalan OpenSearch.
1. Pilih **Minta**.
Pencarian lintas-cluster pertama memvalidasi permintaan koneksi untuk memastikan prasyarat terpenuhi. Jika domain tidak kompatibel, permintaan koneksi memasuki status. `Validation failed`
Jika permintaan koneksi berhasil divalidasi, itu dikirim ke domain tujuan, di mana itu harus disetujui. Sampai persetujuan ini diberikan, koneksi tetap dalam `Pending acceptance` keadaan. Ketika permintaan koneksi diterima di domain tujuan, status berubah `Active` dan domain tujuan menjadi tersedia untuk kueri.
Halaman domain menunjukkan kesehatan domain secara keseluruhan dan detail kesehatan instans domain tujuan Anda. Hanya pemilik domain yang memiliki fleksibilitas untuk membuat, melihat, menghapus, dan memantau koneksi ke atau dari domain mereka.
Setelah koneksi dibuat, lalu lintas yang mengalir di antara simpul dari domain yang terhubung dienkripsi. Saat Anda menghubungkan domain VPC ke domain non-VPC dan domain non-VPC adalah titik akhir publik yang dapat menerima lalu lintas dari internet, lalu lintas lintas cluster antar domain masih terenkripsi dan aman.
## Menguji pengaturan keamanan Anda untuk akses data lintas wilayah dan lintas akun dengan pencarian lintas klaster
Setelah menyiapkan izin akses untuk akses data lintas wilayah dan lintas akun dengan penelusuran lintas klaster, sebaiknya uji penyiapan menggunakan platform pihak ketiga untuk [https://www.postman.com/](https://www.postman.com/)pengembangan API kolaboratif.
**Untuk mengatur pengaturan keamanan Anda menggunakan Postman**
1. Pada domain tujuan, indeks dokumen. Berikut ini adalah permintaan sampel:
```
POST https://dst-domain.us-east-1.es.amazonaws.com/books/_doc/1
{
"Dracula": "Bram Stoker"
}
```
1. Untuk melakukan kueri indeks ini dari domain sumber, sertakan alias koneksi domain tujuan dalam kueri. Anda dapat menemukan alias koneksi di tab Connections di dasbor domain Anda. Berikut ini adalah permintaan sampel dan respons terpotong:
```
GET https://src-domain.us-east-1.es.amazonaws.com/connection_alias:books/_search
{
...
"hits": [
{
"_index": "source-destination:books",
"_type": "_doc",
"_id": "1",
"_score": 1,
"_source": {
"Dracula": "Bram Stoker"
}
}
]
}
```
1. (Opsional) Anda dapat membuat konfigurasi yang mencakup beberapa domain dalam satu pencarian. Misalnya, katakan bahwa Anda mengatur yang berikut:
Koneksi antara `domain-a` ke`domain-b`, dengan alias koneksi bernama `cluster_b`
Koneksi antara `domain-a` ke`domain-c`, dengan alias koneksi bernama `cluster_c`
Dalam hal ini, pencarian Anda mencakup konten`domain-a`,`domain-b`, dan`domain-c`. Berikut ini adalah contoh permintaan dan tanggapan:
Permintaan
```
GET https://src-domain.us-east-1.es.amazonaws.com/local_index,cluster_b:b_index,cluster_c:c_index/_search
{
"query": {
"match": {
"user": "domino"
}
}
}
```
Respons:
```
{
"took": 150,
"timed_out": false,
"_shards": {
"total": 3,
"successful": 3,
"failed": 0,
"skipped": 0
},
"_clusters": {
"total": 3,
"successful": 3,
"skipped": 0
},
"hits": {
"total": 3,
"max_score": 1,
"hits": [
{
"_index": "local_index",
"_type": "_doc",
"_id": "0",
"_score": 1,
"_source": {
"user": "domino",
"message": "This is message 1",
"likes": 0
}
},
{
"_index": "cluster_b:b_index",
"_type": "_doc",
"_id": "0",
"_score": 2,
"_source": {
"user": "domino",
"message": "This is message 2",
"likes": 0
}
},
{
"_index": "cluster_c:c_index",
"_type": "_doc",
"_id": "0",
"_score": 3,
"_source": {
"user": "domino",
"message": "This is message 3",
"likes": 0
}
}
]
}
}
```
Jika Anda tidak memilih untuk melewati kluster yang tidak tersedia dalam pengaturan koneksi, semua kluster tujuan yang Anda cari harus tersedia agar permintaan pencarian Anda berjalan dengan sukses. Jika tidak, seluruh permintaan gagal—bahkan jika salah satu domain tidak tersedia, tidak ada hasil pencarian yang dikembalikan.
## Menghapus koneksi
Menghapus koneksi menghentikan operasi pencarian lintas klaster di domain tujuan.
Anda dapat melakukan prosedur berikut pada domain sumber atau tujuan untuk menghapus koneksi. Setelah Anda menghapus koneksi, itu tetap terlihat dengan status `Deleted` selama 15 hari.
Anda tidak dapat menghapus domain dengan koneksi lintas klaster yang aktif. Untuk menghapus domain, pertama-tama hapus semua koneksi masuk dan keluar dari domain tersebut. Ini memastikan Anda memperhitungkan pengguna domain lintas cluster sebelum menghapus domain.
**Untuk menghapus koneksi**
1. Masuk ke konsol OpenSearch Layanan Amazon di [https://console.aws.amazon.com/aos/rumah](https://console.aws.amazon.com/aos/home).
1. Di navigasi kiri, pilih **Domain**.
1. Pilih nama domain yang akan dihapus, lalu pilih tab **Connections**.
1. Pilih nama koneksi yang akan dihapus.
1. Pilih **Hapus**, lalu konfirmasikan penghapusan.
# Mengelola akses ke OpenSearch UI dari titik akhir VPC
Anda dapat membuat koneksi pribadi antara VPC dan OpenSearch UI Anda menggunakan. AWS PrivateLink Dengan menggunakan koneksi ini, Anda dapat mengakses aplikasi OpenSearch UI seolah-olah berada di VPC yang sama. Dengan cara ini, Anda tidak perlu mengonfigurasi gateway internet, perangkat NAT, koneksi VPN, atau AWS Direct Connect untuk membuat koneksi. Instans di VPC Anda tidak memerlukan alamat IP publik untuk OpenSearch mengakses UI.
Untuk membuat koneksi pribadi ini, pertama-tama Anda membuat titik akhir antarmuka yang didukung oleh AWS PrivateLink. Antarmuka jaringan endpoint dibuat secara otomatis di setiap subnet yang Anda tentukan untuk titik akhir antarmuka. Ini adalah antarmuka jaringan yang dikelola pemohon yang berfungsi sebagai titik masuk untuk lalu lintas yang ditujukan untuk aplikasi UI. OpenSearch
## Membuat koneksi pribadi antara VPC dan UI OpenSearch
Anda dapat membuat koneksi pribadi untuk mengakses OpenSearch UI dari VPC menggunakan Konsol Manajemen AWS atau. AWS CLI
### Membuat koneksi pribadi antara VPC dan OpenSearch UI (konsol)
**Untuk membuat koneksi pribadi antara VPC dan OpenSearch UI menggunakan konsol**
1. Masuk ke konsol OpenSearch Layanan Amazon di [https://console.aws.amazon.com/aos/rumah](https://console.aws.amazon.com/aos/home).
1. **Di navigasi kiri, di bawah **Tanpa Server, pilih titik** akhir VPC.**
1. Pilih **Buat titik akhir VPC**.
1. Untuk **Nama**, masukkan nama untuk titik akhir.
1. Untuk **VPC**, pilih VPC tempat Anda akan mengakses OpenSearch aplikasi UI.
1. Untuk **Subnet**, pilih satu subnet tempat Anda akan mengakses aplikasi OpenSearch UI.
**catatan**
Alamat IP dan tipe DNS endpoint didasarkan pada tipe subnet:
Dual-stack: Jika semua subnet memiliki keduanya IPv4 dan IPv6 rentang alamat.
IPv6: Jika semua subnet IPv6 hanya subnet.
IPv4: Jika semua subnet memiliki rentang IPv4 alamat.
1. Untuk **grup Keamanan**, pilih satu atau beberapa grup keamanan untuk dikaitkan dengan antarmuka jaringan titik akhir.
**catatan**
Pada langkah ini, Anda membatasi port, protokol, dan sumber untuk lalu lintas masuk yang Anda otorisasi ke titik akhir Anda. Pastikan bahwa aturan grup keamanan memungkinkan sumber daya yang akan menggunakan titik akhir VPC untuk berkomunikasi dengan aplikasi OpenSearch UI untuk juga berkomunikasi dengan antarmuka jaringan titik akhir.
1. 8. Pilih **Buat titik akhir**.
### Membuat koneksi pribadi antara VPC dan OpenSearch UI ()AWS CLI
**Untuk membuat koneksi pribadi antara VPC dan OpenSearch UI menggunakan AWS CLI**
Jalankan perintah berikut. Ganti *placeholder values* dengan informasi Anda sendiri.
```
aws opensearchserverless create-vpc-endpoint \
--region region \
--endpoint endpoint \
--name vpc_endpoint_name \
--vpc-id vpc_id \
--subnet-ids subnet_ids
```
## Memperbarui kebijakan titik akhir VPC untuk mengizinkan akses ke aplikasi UI OpenSearch
Setelah Anda membuat koneksi pribadi, perbarui kebijakan titik akhir VPC untuk mengizinkan akses ke aplikasi OpenSearch UI dalam kebijakan titik akhir VPC dengan menentukan ID aplikasi.
*Untuk informasi tentang memperbarui kebijakan titik akhir VPC, lihat Memperbarui kebijakan titik [akhir VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#update-vpc-endpoint-policy) di Panduan.AWS PrivateLink *
Pastikan kebijakan titik akhir VPC menyertakan pernyataan berikut. Ganti *placeholder value* dengan informasi Anda sendiri.
```
{
"Statement": [{
"Action": ["opensearch:*"],
"Effect": "Allow",
"Principal": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"opensearch:ApplicationId": ["opensearch-ui-application-id"]
}
}
}]
}
```
## Mencabut akses ke OpenSearch UI dalam kebijakan titik akhir VPC
OpenSearch UI memerlukan izin eksplisit dalam kebijakan titik akhir VPC untuk memungkinkan pengguna mengakses aplikasi dari VPC. Jika Anda tidak lagi ingin pengguna mengakses OpenSearch UI dari VPC, Anda dapat menghapus izin dalam kebijakan titik akhir. Setelah ini, pengguna menemukan pesan `403 forbidden` kesalahan saat mencoba mengakses OpenSearch UI.
*Untuk informasi tentang memperbarui kebijakan titik akhir VPC, lihat Memperbarui kebijakan titik [akhir VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#update-vpc-endpoint-policy) di Panduan.AWS PrivateLink *
Berikut ini adalah contoh kebijakan titik akhir VPC yang menolak akses ke aplikasi UI dari VPC:
```
{
"Statement": [{
"Action": ["opensearch:*"],
"Effect": "Allow",
"Principal": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"opensearch:ApplicationId": [""]
}
}
}]
}
```
# Migrasi objek yang disimpan dari OpenSearch Dasbor ke UI OpenSearch
Jika Anda memiliki dasbor, visualisasi, pola indeks, dan objek lain yang disimpan di OpenSearch Dasbor, Anda dapat memigrasi dan menggunakannya kembali di UI. OpenSearch
Manfaat migrasi ke OpenSearch UI:
+ **Ketersediaan tinggi** — OpenSearch UI di-host di AWS Cloud dan tetap tersedia selama peningkatan dan pemeliharaan domain, sementara OpenSearch Dasbor di-host dalam domain dan untuk sementara tidak tersedia.
+ **Beberapa Sumber Data** — OpenSearch UI dapat menyediakan satu panel kaca terkonsolidasi di berbagai sumber data, termasuk OpenSearch domain, koleksi tanpa server, dan koneksi data dengan Amazon S3 dan CloudWatch Amazon; sementara OpenSearch setiap Dasbor hanya dapat berfungsi dengan satu domain atau koleksi.
+ Fitur tambahan seperti AI Assistant dan Workspaces tersedia di OpenSearch UI. Pelajari lebih lanjut:[Menggunakan OpenSearch UI di Amazon OpenSearch Service](application.md).
**Topics**
+ [Ikhtisar migrasi](#application-migrate-saved-objects-overview)
+ [Prasyarat](#application-migrate-saved-objects-prerequisites)
+ [Langkah 1: Ekspor objek yang disimpan dari OpenSearch Dasbor](#application-migrate-saved-objects-export)
+ [Langkah 2: Impor objek yang disimpan ke OpenSearch UI](#application-migrate-saved-objects-import)
## Ikhtisar migrasi
Proses migrasi terdiri dari langkah-langkah tingkat tinggi berikut:
1. **Ekspor objek yang disimpan dari OpenSearch Dasbor** — Gunakan UI manajemen Objek Tersimpan OpenSearch Dasbor atau API ekspor untuk mengunduh dasbor, visualisasi, pola indeks, dan objek lainnya sebagai file JSON (NDJSON) yang dibatasi baris baru.
1. **Buat aplikasi OpenSearch UI dan ruang kerja** - Jika Anda belum melakukannya, buat aplikasi OpenSearch UI dan ruang kerja untuk menerima objek yang diimpor.
1. **Daftarkan sumber data di OpenSearch UI** — Kaitkan OpenSearch domain Anda dengan aplikasi OpenSearch UI dan daftarkan sebagai sumber data di dalam ruang kerja. Pola indeks dalam objek impor Anda mereferensikan sumber data ini.
1. **Impor objek yang disimpan ke OpenSearch UI** — Gunakan OpenSearch UI manajemen Objek Tersimpan UI atau API impor untuk mengunggah file NDJSON ke ruang kerja target.
1. **Validasi objek yang diimpor** — Buka dasbor dan visualisasi Anda di OpenSearch UI untuk memverifikasi bahwa objek tersebut ditampilkan dengan benar dan data tersebut mengalir dari domain atau koleksi terkait.
## Prasyarat
Sebelum migrasi, verifikasi prasyarat berikut:
+ Anda memiliki izin IAM yang diperlukan untuk memanggil OpenSearch Layanan Amazon dan. OpenSearch APIs Untuk informasi selengkapnya, lihat [Izin yang diperlukan untuk membuat aplikasi OpenSearch Layanan Amazon](application-getting-started.md#application-prerequisite-permissions).
+ Anda dapat mengakses domain atau koleksi dan OpenSearch Dasbor yang ingin Anda migrasi.
+ Anda telah membuat aplikasi OpenSearch UI. Untuk informasi tentang membuat aplikasi dan ruang kerja, lihat[Memulai antarmuka OpenSearch pengguna di Amazon OpenSearch Service](application-getting-started.md).
+ Anda telah mengaitkan domain atau koleksi yang sama ke aplikasi OpenSearch UI. Untuk informasi tentang mengaitkan sumber data, lihat[Mengelola asosiasi sumber data dan izin akses Virtual Private Cloud](application-data-sources-and-vpc.md).
**catatan**
OpenSearch UI hanya mendukung OpenSearch versi 1.3 dan yang lebih baru. Verifikasi bahwa OpenSearch domain Anda menjalankan versi 1.3 atau lebih tinggi sebelum mencoba memigrasi objek yang disimpan.
## Langkah 1: Ekspor objek yang disimpan dari OpenSearch Dasbor
Ekspor objek yang disimpan dari OpenSearch Dasbor menggunakan UI manajemen atau API ekspor. Ekspor menghasilkan file JSON (NDJSON) yang dibatasi baris baru yang berisi semua jenis objek tersimpan yang dipilih dan dependensinya.
**Topics**
+ [Ekspor secara manual di OpenSearch Dasbor](#application-migrate-export-console)
+ [Mengekspor melalui API](#application-migrate-export-api)
### Ekspor secara manual di OpenSearch Dasbor
**Untuk mengekspor objek yang disimpan menggunakan UI manajemen OpenSearch Dasbor**
1. Buka instance OpenSearch Dasbor Anda.
1. Di panel navigasi kiri, pilih **Manajemen**.
1. Di bawah **Manajemen Dasbor**, pilih **Objek Tersimpan**.
1. Pilih objek yang disimpan yang ingin Anda ekspor. Untuk mengekspor semua objek dari jenis tertentu, filter berdasarkan jenis menggunakan bilah pencarian. Untuk mengekspor semua objek, pilih kotak centang di header tabel.
1. Pilih **Ekspor**.
1. Dalam kotak dialog **Ekspor objek yang disimpan**, pastikan bahwa **Sertakan objek terkait** dipilih. Opsi ini mencakup semua objek yang bergantung pada objek tersimpan yang dipilih, seperti pola indeks yang direferensikan oleh visualisasi. Hapus opsi ini hanya jika Anda bermaksud mengelola dependensi secara manual.
1. Pilih **Ekspor** untuk mengunduh `.ndjson` file ke mesin lokal Anda.
**Tip**
Saat Anda memilih **Sertakan objek terkait**, file NDJSON yang diekspor berisi semua objek tersimpan yang diperlukan untuk merender dasbor dan visualisasi yang dipilih, termasuk pola indeks dependennya, visualisasi, dan objek pencarian. Ini menyederhanakan langkah impor dan menghindari kesalahan referensi yang hilang.
### Mengekspor melalui API
Anda dapat menggunakan API ekspor Objek Tersimpan OpenSearch Dasbor untuk mengekspor objek yang disimpan secara terprogram. Ini berguna untuk mengotomatiskan migrasi atau mengintegrasikan langkah ekspor ke dalam pipeline. CI/CD
**catatan**
Jika OpenSearch domain Anda telah mengaktifkan [kontrol akses berbutir halus](fgac.md), Anda harus memberikan kredensi otentikasi dengan permintaan ekspor Anda. Gunakan otentikasi dasar HTTP dengan menambahkan `-u` bendera dengan nama pengguna dan kata sandi Anda. Untuk informasi selengkapnya tentang opsi otentikasi, lihat[Kontrol akses berbutir halus di Layanan Amazon OpenSearch](fgac.md).
Contoh berikut mengekspor semua dasbor dengan objek terkait. Ganti *placeholder values* dengan informasi Anda sendiri.
```
curl -X POST \
"https://dashboards-endpoint/_dashboards/api/saved_objects/_export" \
-u 'master-username:master-password' \
-H "Content-Type: application/json" \
-H "osd-xsrf: true" \
-d '{
"type": ["dashboard", "visualization", "index-pattern", "search"],
"includeReferencesDeep": true,
"excludeExportDetails": false
}' \
-o saved-objects-export.ndjson
```
Jika domain Anda tidak mengaktifkan kontrol akses berbutir halus, Anda dapat menghilangkan bendera. `-u`
Untuk mengekspor objek tertentu yang disimpan berdasarkan ID, gunakan `objects` parameter alih-alih`type`:
```
curl -X POST \
"https://dashboards-endpoint/_dashboards/api/saved_objects/_export" \
-u 'master-username:master-password' \
-H "Content-Type: application/json" \
-H "osd-xsrf: true" \
-d '{
"objects": [
{"type": "dashboard", "id": "dashboard-id"},
{"type": "visualization", "id": "visualization-id"}
],
"includeReferencesDeep": true
}' \
-o saved-objects-export.ndjson
```
**catatan**
Untuk menemukan objek yang disimpan IDs, Anda dapat menggunakan Saved Objects API untuk mencantumkan semua objek dari tipe tertentu. Contoh berikut mencantumkan semua dasbor:
```
curl -X GET \
"https://dashboards-endpoint/_dashboards/api/saved_objects/_find?type=dashboard" \
-u 'master-username:master-password'
```
Respons termasuk ID untuk setiap objek yang disimpan. Anda juga dapat menemukan ID di URL browser saat melihat objek di OpenSearch Dasbor.
## Langkah 2: Impor objek yang disimpan ke OpenSearch UI
Setelah mengekspor objek yang disimpan, Anda dapat mengimpor file NDJSON ke OpenSearch UI secara manual atau melalui API.
**Topics**
+ [Impor secara manual di OpenSearch UI](#application-migrate-import-console)
+ [Impor melalui API](#application-migrate-import-api)
### Impor secara manual di OpenSearch UI
**Untuk mengimpor objek yang disimpan menggunakan OpenSearch UI manajemen UI**
1. Buka aplikasi OpenSearch UI Anda dan arahkan ke ruang kerja target.
1. Di ruang kerja, pilih **Aset** dari navigasi atas atau buka halaman aset ruang kerja.
1. Pilih **Impor** untuk membuka dialog **Impor aset**.
1. Pilih **Pilih file** dan pilih `.ndjson` file yang Anda ekspor dari OpenSearch Dasbor.
1. Untuk **manajemen Konflik**, pilih salah satu dari berikut ini:
+ **Buat aset baru dengan unik IDs** (default) - Menghasilkan baru IDs untuk semua objek yang diimpor, menghindari konflik dengan aset yang ada.
+ **Periksa aset yang ada** — Memeriksa konflik dengan objek yang ada. Saat dipilih, pilih salah satu dari sub-opsi berikut:
+ **Menimpa konflik secara otomatis** - Aset yang ada dengan ID yang sama diganti secara otomatis.
+ **Meminta tindakan atas konflik** — Anda diminta untuk menyelesaikan setiap konflik secara individual.
1. Pilih **Impor**.
1. Tinjau ringkasan impor.
### Impor melalui API
Untuk mengimpor objek yang disimpan menggunakan API dengan otentikasi AWS Signature Version 4, Anda harus terlebih dahulu mendapatkan ID sumber data, lalu menggunakannya dalam permintaan impor. Ganti *placeholder values* dengan informasi Anda sendiri.
Langkah 1: Dapatkan ID sumber data untuk ruang kerja Anda:
```
curl -X GET \
"https://opensearch-ui-endpoint/w/workspace-id/api/saved_objects/_find?type=data-source" \
--aws-sigv4 "aws:amz:region:opensearch" \
--user "$AWS_ACCESS_KEY_ID:$AWS_SECRET_ACCESS_KEY" \
-H "x-amz-security-token: $AWS_SESSION_TOKEN" \
-H "osd-xsrf: true"
```
**catatan**
Respons termasuk ID sumber data. Anda juga dapat menemukan ID sumber data di URL browser saat melihat sumber data di OpenSearch UI.
Langkah 2: Impor objek yang disimpan menggunakan ID sumber data dari Langkah 1:
```
curl -X POST \
"https://opensearch-ui-endpoint/w/workspace-id/api/saved_objects/_import?overwrite=true&dataSourceId=data-source-id" \
--aws-sigv4 "aws:amz:region:opensearch" \
--user "$AWS_ACCESS_KEY_ID:$AWS_SECRET_ACCESS_KEY" \
-H "x-amz-security-token: $AWS_SESSION_TOKEN" \
-H "osd-xsrf: true" \
-F "file=@saved-objects-export.ndjson"
```
**catatan**
Contoh-contoh ini menggunakan `--aws-sigv4` opsi bawaan curl (tersedia di curl 7.75 atau yang lebih baru) untuk menandatangani permintaan. Tetapkan AWS kredensil Anda sebagai variabel lingkungan sebelum menjalankan perintah:`AWS_ACCESS_KEY_ID`,`AWS_SECRET_ACCESS_KEY`, dan `AWS_SESSION_TOKEN` (jika menggunakan kredensil sementara).
# OpenSearch Titik akhir dan kuota UI
Untuk terhubung secara terprogram ke AWS layanan, Anda menggunakan titik akhir. Kuota layanan, juga disebut sebagai batasan, adalah jumlah maksimum sumber daya layanan atau operasi untuk akun AWS Anda.
Amazon OpenSearch UI adalah antarmuka OpenSearch pengguna generasi berikutnya untuk OpenSearch Dasbor. Ini menyediakan titik akhir untuk mengakses dasbor Anda OpenSearch . Gunakan topik ini untuk menemukan titik akhir layanan dan kuota layanan untuk OpenSearch UI.
Untuk informasi selengkapnya tentang OpenSearch layanan lain, lihat [Titik Akhir Layanan dan Kuota](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html).
## OpenSearch Titik akhir UI
OpenSearch UI tersedia di Wilayah berikut:
| Nama wilayah | Wilayah | Titik Akhir | Protokol |
| --- | --- | --- | --- |
| Asia Pasifik (Mumbai) | ap-south-1 | opensearch.ap-south-1.amazonaws.com es.ap-south-1.amazonaws.com | HTTPS HTTPS |
| Europe (Paris) | eu-west-3 | opensearch.eu-west-3.amazonaws.com es.eu-west-3.amazonaws.com | HTTPS HTTPS |
| US East (Ohio) | us-east-2 | opensearch.us-east-2.amazonaws.com es.us-east-2.amazonaws.com | HTTPS HTTPS |
| Europe (Ireland) | eu-west-1 | opensearch.eu-west-1.amazonaws.com es.eu-west-1.amazonaws.com | HTTPS HTTPS |
| Europe (Frankfurt) | eu-central-1 | opensearch.eu-central-1.amazonaws.com es.eu-central-1.amazonaws.com | HTTPS HTTPS |
| South America (São Paulo) | sa-east-1 | opensearch.sa-east-1.amazonaws.com es.sa-east-1.amazonaws.com | HTTPS HTTPS |
| US East (N. Virginia) | us-east-1 | opensearch.us-east-1.amazonaws.com es.us-east-1.amazonaws.com | HTTPS HTTPS |
| Europe (London) | eu-west-2 | opensearch.eu-west-2.amazonaws.com es.eu-west-2.amazonaws.com | HTTPS HTTPS |
| Asia Pacific (Tokyo) | ap-northeast-1 | opensearch.ap-northeast-1.amazonaws.com es.ap-northeast-1.amazonaws.com | HTTPS HTTPS |
| US West (Oregon) | us-west-2 | opensearch.us-west-2.amazonaws.com es.us-west-2.amazonaws.com | HTTPS HTTPS |
| Asia Pacific (Singapore) | ap-southeast-1 | opensearch.ap-southeast-1.amazonaws.com es.ap-southeast-1.amazonaws.com | HTTPS HTTPS |
| Asia Pacific (Sydney) | ap-southeast-2 | opensearch.ap-southeast-2.amazonaws.com es.ap-southeast-2.amazonaws.com | HTTPS HTTPS |
| Canada (Central) | ca-central-1 | opensearch.ca-central-1.amazonaws.com es.ca-central-1.amazonaws.com | HTTPS HTTPS |
| Europe (Stockholm) | eu-north-1 | opensearch.eu-north-1.amazonaws.com es.eu-north-1.amazonaws.com | HTTPS HTTPS |
| Asia Pacific (Hong Kong) | ap-east-1 | opensearch.ap-east-1.amazonaws.com es.ap-east-1.amazonaws.com | HTTPS HTTPS |
| Asia Pacific (Seoul) | ap-northeast-2 | opensearch.ap-northeast-2.amazonaws.com es.ap-northeast-2.amazonaws.com | HTTPS HTTPS |
| Asia Pacific (Osaka) | ap-northeast-3 | opensearch.ap-northeast-3.amazonaws.com es.ap-northeast-3.amazonaws.com | HTTPS HTTPS |
| Asia Pasifik (Hyderabad) | ap-south-2 | opensearch.ap-south-2.amazonaws.com es.ap-south-2.amazonaws.com | HTTPS HTTPS |
| Eropa (Spanyol) | eu-south-2 | opensearch.eu-south-2.amazonaws.com es.eu-south-2.amazonaws.com | HTTPS HTTPS |
| US West (N. California) | us-west-1 | opensearch.us-west-1.amazonaws.com es.us-west-1.amazonaws.com | HTTPS HTTPS |
| Europe (Zurich) | eu-central-2 | opensearch.eu-central-2.amazonaws.com es.eu-central-2.amazonaws.com | HTTPS HTTPS |
| Europe (Milan) | eu-south-1 | opensearch.eu-south-1.amazonaws.com es.eu-south-1.amazonaws.com | HTTPS HTTPS |
## OpenSearch Kuota layanan UI
AWS Akun Anda memiliki kuota berikut yang terkait dengan sumber daya OpenSearch UI.
| Nama | Default | Dapat disesuaikan | Catatan |
| --- | --- | --- | --- |
| OpenSearch Aplikasi UI per Akun per Wilayah | 30 | Ya | Jumlah maksimum aplikasi OpenSearch UI yang dapat Anda buat per akun per Wilayah. Anda dapat meningkatkan limit menjadi 50 menggunakan kuota layanan dan mendapatkan persetujuan secara otomatis. Untuk meminta batas yang lebih tinggi, kirimkan tiket dukungan. |