Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Utilizzo OpenSearch dell'interfaccia utente in Amazon OpenSearch Service
OpenSearch L'interfaccia utente (interfaccia utente) è un'esperienza di analisi operativa modernizzata per Amazon OpenSearch Service che offre una vista unificata per interagire con i dati da più fonti. A differenza di OpenSearch Dashboards, che funziona solo con un dominio o una raccolta che lo ospita, l' OpenSearch interfaccia utente è ospitata in. Cloud AWS Ciò consente all' OpenSearch interfaccia utente di raggiungere un'elevata disponibilità e di rimanere funzionale durante gli aggiornamenti del cluster e di connettersi in modo nativo a più fonti di dati. Per informazioni sui OpenSearch pannelli di controllo, consulta. [Utilizzo dei OpenSearch pannelli di controllo con Amazon Service OpenSearch](dashboards.md)
Le seguenti sono le caratteristiche principali dell' OpenSearch interfaccia utente:
+ **Supporto per più fonti di dati**: l' OpenSearch interfaccia utente può connettersi a più fonti di dati per creare una visualizzazione completa. Ciò include OpenSearch domini e raccolte serverless, nonché fonti di AWS dati integrate come Amazon, Amazon Security Lake e Amazon Simple Storage Service ( CloudWatchAmazon S3) Simple Storage Service (Amazon S3).
+ **Zero tempi di inattività durante gli aggiornamenti**: l' OpenSearch interfaccia utente è ospitata in. Cloud AWS Ciò significa che OpenSearch rimane operativo e può recuperare i dati dai cluster durante i processi di aggiornamento.
+ **Spazi di lavoro: spazi** curati per la collaborazione in team per vari flussi di lavoro, come Observability, Security Analytics e Search. Puoi definire le impostazioni sulla privacy e gestire le autorizzazioni per i collaboratori nel tuo spazio di lavoro.
+ **Single Sign-On**: l' OpenSearch interfaccia utente funziona con la federazione SAML tramite AWS Identity and Access Management (IAM) per integrarsi con i tuoi provider di identità AWS IAM Identity Center e creare un'esperienza Single Sign-On per gli utenti finali.
+ **Analisi basata su GenAI**: l' OpenSearch interfaccia utente supporta la generazione di query in linguaggio naturale per aiutarti a generare le query giuste per le tue analisi. OpenSearch L'interfaccia utente collabora anche con Amazon Q Developer per fornire la chat di Amazon Q e aiutare a generare visualizzazioni, riepilogo degli avvisi, approfondimenti e rilevatori di anomalie consigliati.
+ **Supporto per più linguaggi di interrogazione**: l' OpenSearch interfaccia utente supporta Piped Processing Language (PPL), SQL, Lucene e Dashboards Query Language (DQL).
+ **Supporto per più regioni e più account**: l' OpenSearch interfaccia utente può utilizzare la funzionalità di ricerca tra cluster per connettersi a OpenSearch domini di account diversi e regioni diverse per analisi e visualizzazioni aggregate.
Per iniziare a creare la tua prima interfaccia utente, segui le istruzioni riportate in. OpenSearch [Guida introduttiva all'interfaccia OpenSearch utente in Amazon OpenSearch Service](application-getting-started.md)
Per informazioni sulle funzionalità più recenti rilasciate per l' OpenSearch interfaccia utente, consulta[Cronologia delle versioni dell'interfaccia utente di Amazon OpenSearch Service](application-release-history.md).
**Topics**
+ [Cronologia delle versioni dell'interfaccia utente di Amazon OpenSearch Service](application-release-history.md)
+ [Guida introduttiva all'interfaccia OpenSearch utente in Amazon OpenSearch Service](application-getting-started.md)
+ [AI agentica in Amazon Service OpenSearch](application-ai-assistant.md)
+ [Crittografia dei metadati delle applicazioni dell' OpenSearch interfaccia utente con chiavi gestite dal cliente](application-encryption-cmk.md)
+ [Abilitazione della federazione SAML con AWS Identity and Access Management](application-enable-SAML-identity-federation.md)
+ [Gestione delle associazioni delle fonti di dati e delle autorizzazioni di accesso al Virtual Private Cloud](application-data-sources-and-vpc.md)
+ [Utilizzo delle aree di lavoro OpenSearch di Amazon Service](application-workspaces.md)
+ [Accesso ai dati tra regioni e account diversi](application-cross-region-cross-account.md)
+ [Gestione dell'accesso all' OpenSearch interfaccia utente da un endpoint VPC](application-access-ui-from-vpc-endpoint.md)
+ [Migrazione degli oggetti salvati dalle dashboard all'interfaccia utente OpenSearch OpenSearch](application-migration.md)
+ [OpenSearch Endpoint e quote dell'interfaccia utente](opensearch-ui-endpoints-quotas.md)
# Cronologia delle versioni dell'interfaccia utente di Amazon OpenSearch Service
La tabella seguente elenca tutte le versioni del supporto Amazon OpenSearch Service per l' OpenSearch interfaccia utente e le funzionalità e i miglioramenti inclusi in ciascuna versione.
| Modifica | Data di rilascio | Description |
| --- | --- | --- |
| Nuova funzionalità | 10/03/2025 | OpenSearch L'interfaccia utente ora supporta l'accesso ai dati tra account diversi ai domini. OpenSearch Puoi configurare le applicazioni in un account per accedere ai domini di account diversi utilizzando IAM o l' AWS IAM Identity Center autenticazione, sia per i domini pubblici che per quelli VPC. Per ulteriori informazioni, consulta [Accesso ai dati tra account diversi ai domini OpenSearch](application-cross-account-data-access-domains.md). |
| Nuova funzionalità | 2025-12-29 | OpenSearch L'interfaccia utente ora supporta le chiavi gestite dai clienti (CMK) per la crittografia dei metadati delle applicazioni. Questa funzionalità consente di soddisfare i requisiti normativi e di conformità offrendoti il pieno controllo sulle chiavi di crittografia. Questo lancio aumenta anche il limite di dimensione dei metadati per gli oggetti salvati nell' OpenSearch interfaccia utente, consentendoti di creare e archiviare query complesse, visualizzazioni estese e aree di lavoro su larga scala. Per ulteriori informazioni, consulta [Crittografia dei metadati delle applicazioni dell' OpenSearch interfaccia utente con chiavi gestite dal cliente](application-encryption-cmk.md). |
| Nuova funzionalità | 2025-04-16 | OpenSearch [L'interfaccia utente ora funziona con la ricerca tra cluster.](cross-cluster-search.md) In questo modo è possibile utilizzare l' OpenSearch interfaccia utente in un'unica interfaccia Regione AWS per accedere ai cluster in una regione diversa. Questo viene fatto configurandolo come un cluster remoto connesso a un cluster nella stessa regione. Per ulteriori informazioni, consulta [Funzionalità di ricerca tra cluster](application-cross-cluster-search.md). |
| Nuova funzionalità | 2025-03-31 | Amazon Q Developer è ora disponibile a livello generale in Amazon OpenSearch Service. Per informazioni, consulta [Assistente AI per Amazon OpenSearch Service](AI-assistant-support.md). |
| Nuova funzionalità | 05/02/2025 | La federazione da Security Assertion Markup Language 2.0) (SAML) a (IAM) ora funziona con l'interfaccia AWS Identity and Access Management utente. OpenSearch In questo modo è possibile creare un'esperienza Single Sign-On (SSO) avviata dal provider di identità per gli utenti finali. Per ulteriori informazioni, consulta [Abilitazione della federazione SAML con AWS Identity and Access Management](application-enable-SAML-identity-federation.md). |
| Nuova integrazione | 2024-12-01 | L'integrazione zero-ETL con Amazon CloudWatch semplifica l'analisi e la visualizzazione dei dati di log, riducendo le spese tecniche generali e i costi operativi. Per ulteriori informazioni, consulta [New Amazon CloudWatch e Amazon OpenSearch Service lanciano un'esperienza di analisi integrata](https://aws.amazon.com/blogs/aws/new-amazon-cloudwatch-and-amazon-opensearch-service-launch-an-integrated-analytics-experience/) sul *AWS News Blog*. |
| Nuova integrazione | 2024-12-01 | L'integrazione zero-ETL con Amazon Security Lake consente alle organizzazioni di cercare, analizzare e ottenere informazioni utili dai propri dati di sicurezza in modo efficiente. Per ulteriori informazioni, consulta la sezione [Introduzione all'integrazione tra Amazon OpenSearch Service e Amazon Security Lake per semplificare l'analisi della sicurezza](https://aws.amazon.com/blogs/aws/introducing-amazon-opensearch-service-zero-etl-integration-for-amazon-security-lake/) nel *AWS News Blog*. |
| Rilascio iniziale | 2024-11-07 | La versione pubblica iniziale dell'interfaccia utente. OpenSearch Per ulteriori informazioni, consulta [Amazon OpenSearch Service lancia l' OpenSearch interfaccia utente di nuova generazione](https://aws.amazon.com/blogs/big-data/amazon-opensearch-service-launches-the-next-generation-opensearch-ui/) sul *AWS Big Data Blog*. |
# Guida introduttiva all'interfaccia OpenSearch utente in Amazon OpenSearch Service
In Amazon OpenSearch Service, un'*applicazione* è un'istanza dell'interfaccia OpenSearch utente (OpenSearch UI). Ogni applicazione può essere associata a più fonti di dati e una singola fonte può essere associata a più applicazioni. È possibile creare più applicazioni per amministratori diversi utilizzando diverse opzioni di autenticazione supportate.
Utilizzate le informazioni contenute in questo argomento per guidarvi nel processo di creazione di un'applicazione OpenSearch UI utilizzando Console di gestione AWS o il AWS CLI.
**Topics**
+ [Autorizzazioni richieste per la creazione di applicazioni Amazon OpenSearch Service](#application-prerequisite-permissions)
+ [Creazione di un'applicazione OpenSearch UI](#create-application)
+ [Gestione degli amministratori delle applicazioni](#managing-application-administrators)
## Autorizzazioni richieste per la creazione di applicazioni Amazon OpenSearch Service
Prima di creare un'applicazione, verifica che ti siano state concesse le autorizzazioni necessarie per l'attività. Se necessario, contatta un amministratore dell'account per ricevere assistenza.
### Autorizzazioni generali
Per utilizzare le applicazioni in OpenSearch Service, sono necessarie le autorizzazioni indicate nella seguente politica. Le autorizzazioni servono ai seguenti scopi:
+ Le cinque `es:*Application` autorizzazioni sono necessarie per creare e gestire un'applicazione.
+ Le tre `es:*Tags` autorizzazioni sono necessarie per aggiungere, elencare e rimuovere tag dall'applicazione.
+ Le `aoss:BatchGetCollection` `es:GetDirectQueryDataSource` autorizzazioni `es:DescribeDomain` e sono necessarie per associare le fonti di dati.
+ Sono necessarie le `opensearch:*DirectQuery*` autorizzazioni `aoss:APIAccessAll``es:ESHttp*`, e 4 per accedere alle fonti di dati.
+ `iam:CreateServiceLinkedRole`Fornisce l'autorizzazione ad Amazon OpenSearch Service per creare un ruolo collegato al servizio (SLR) nel tuo account. Questo ruolo viene utilizzato e consente all'applicazione OpenSearch UI di pubblicare i CloudWatch parametri Amazon nel tuo account. Per ulteriori informazioni, consulta [Permissions](slr-aos.md#slr-permissions) nell'argomento [Utilizzo di ruoli collegati ai servizi per creare domini VPC e fonti di dati di interrogazione diretta](slr-aos.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"es:CreateApplication",
"es:DeleteApplication",
"es:GetApplication",
"es:ListApplications",
"es:UpdateApplication",
"es:AddTags",
"es:ListTags",
"es:RemoveTags",
"aoss:APIAccessAll",
"es:ESHttp*",
"opensearch:StartDirectQuery",
"opensearch:GetDirectQuery",
"opensearch:CancelDirectQuery",
"opensearch:GetDirectQueryResult",
"aoss:BatchGetCollection",
"aoss:ListCollections",
"es:DescribeDomain",
"es:DescribeDomains",
"es:ListDomainNames",
"es:GetDirectQueryDataSource",
"es:ListDirectQueryDataSources"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService"
}
]
}
```
------
### Autorizzazioni per creare un'applicazione che utilizza l'autenticazione IAM Identity Center (opzionale)
Per impostazione predefinita, le applicazioni dashboard vengono autenticate utilizzando AWS Identity and Access Management (IAM) per gestire le autorizzazioni per AWS gli utenti delle risorse. Tuttavia, puoi scegliere di fornire un'esperienza Single Sign-On utilizzando IAM Identity Center, che consente di utilizzare i provider di identità esistenti per accedere alle applicazioni dell'interfaccia utente. OpenSearch In questo caso, selezionerai l'opzione **Autenticazione con IAM Identity Center** nella procedura riportata più avanti in questo argomento, quindi concederai agli utenti di IAM Identity Center le autorizzazioni necessarie per accedere all' OpenSearch applicazione UI.)
Per creare un'applicazione che utilizza l'autenticazione IAM Identity Center, avrai bisogno delle seguenti autorizzazioni. Sostituisci *placeholder values* con le informazioni appropriate. Contatta un amministratore dell'account per ricevere assistenza, se necessario.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IDCPermissions",
"Effect": "Allow",
"Action": [
"es:CreateApplication",
"es:DeleteApplication",
"es:GetApplication",
"es:ListApplications",
"es:UpdateApplication",
"es:AddTags",
"es:ListTags",
"es:RemoveTags",
"aoss:BatchGetCollection",
"aoss:ListCollections",
"es:DescribeDomain",
"es:DescribeDomains",
"es:ListDomainNames",
"es:GetDirectQueryDataSource",
"es:ListDirectQueryDataSources",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:PutApplicationGrant",
"sso:PutApplicationAccessScope",
"sso:PutApplicationAuthenticationMethod",
"sso:ListInstances",
"sso:DescribeApplicationAssignment",
"sso:DescribeApplication",
"sso:CreateApplicationAssignment",
"sso:ListApplicationAssignments",
"sso:DeleteApplicationAssignment",
"sso-directory:SearchGroups",
"sso-directory:SearchUsers",
"sso:ListDirectoryAssociations",
"identitystore:DescribeUser",
"identitystore:DescribeGroup",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "SLRPermission",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService"
},
{
"Sid": "PassRolePermission",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/iam-role-for-identity-center"
}
]
}
```
------
## Creazione di un'applicazione OpenSearch UI
Create un'applicazione che specifichi il nome dell'applicazione, il metodo di autenticazione e gli amministratori utilizzando una delle seguenti procedure.
**Topics**
+ [Creazione di un'applicazione OpenSearch UI che utilizza l'autenticazione IAM nella console](#create-application-iam-authentication-console)
+ [Creazione di un'applicazione OpenSearch UI che utilizza AWS IAM Identity Center l'autenticazione nella console](#create-application-iam-identity-center-authentication-console)
+ [Creazione di un'applicazione OpenSearch UI che utilizza AWS IAM Identity Center l'autenticazione tramite AWS CLI](#create-application-iam-identity-center-authentication-cli)
### Creazione di un'applicazione OpenSearch UI che utilizza l'autenticazione IAM nella console
**Per creare un'applicazione OpenSearch UI che utilizzi l'autenticazione IAM nella console**
1. Accedi alla console di Amazon OpenSearch Service da [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home).
1. Nel riquadro di navigazione a sinistra, scegli **OpenSearch UI (dashboard).**
1. Scegli **Crea applicazione**.
1. Per **Nome applicazione**, inserisci un nome per l'applicazione.
1. Non selezionare la casella di controllo **Autenticazione con IAM Identity Center**. Per informazioni sulla creazione di un'applicazione con autenticazione tramite AWS IAM Identity Center, consulta [Creazione di un'applicazione OpenSearch UI che utilizza AWS IAM Identity Center l'autenticazione nella console](#create-application-iam-identity-center-authentication-console) più avanti in questo argomento.
1. (Facoltativo) L'utente viene aggiunto automaticamente come amministratore dell'applicazione che si sta creando. Nell'area di **gestione degli amministratori OpenSearch dell'applicazione**, puoi concedere le autorizzazioni di amministratore ad altri utenti.
**Nota**
Il ruolo di amministratore dell'applicazione OpenSearch UI concede le autorizzazioni per modificare ed eliminare un'applicazione UI. OpenSearch Gli amministratori dell'applicazione possono anche creare, modificare ed eliminare aree di lavoro in un'applicazione UI. OpenSearch
Per concedere le autorizzazioni di amministratore ad altri utenti, scegliete una delle seguenti opzioni:
+ **Concedi l'autorizzazione di amministratore a utenti specifici****: nel campo **amministratori dell'OpenSearchapplicazione**, nell'elenco pop-up **Proprietà**, seleziona utenti IAM o**
**AWS IAM Identity Center utenti**, quindi scegli i singoli utenti a cui concedere le autorizzazioni di amministratore.
+ **Concedi l'autorizzazione di amministratore a tutti gli utenti**: a tutti gli utenti dell'organizzazione o dell'account vengono concesse le autorizzazioni di amministratore.
1. (Facoltativo) Configura le impostazioni di crittografia. Per impostazione predefinita, OpenSearch i metadati dell'interfaccia utente sono crittografati con chiavi AWS proprietarie. Per utilizzare la propria chiave gestita dal cliente (CMK) per la crittografia, consulta. [Crittografia dei metadati delle applicazioni dell' OpenSearch interfaccia utente con chiavi gestite dal cliente](application-encryption-cmk.md)
1. (Facoltativo) Nell'area **Tag**, applicate una o più name/value coppie di chiavi di tag all'applicazione.
I tag sono metadati facoltativi assegnati a una risorsa. Consentono di categorizzare una risorsa in diversi modi, ad esempio in base allo scopo, al proprietario o all'ambiente.
1. Scegli **Create** (Crea).
### Creazione di un'applicazione OpenSearch UI che utilizza AWS IAM Identity Center l'autenticazione nella console
Per creare un'applicazione OpenSearch UI che utilizzi l' AWS IAM Identity Center autenticazione, è necessario disporre delle autorizzazioni IAM descritte in precedenza in questo argomento in[Autorizzazioni per creare un'applicazione che utilizza l'autenticazione IAM Identity Center (opzionale)](#prerequisite-permissions-idc).
**Per creare un'applicazione OpenSearch UI che utilizzi AWS IAM Identity Center l'autenticazione nella console**
1. Accedi alla console di Amazon OpenSearch Service da [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home).
1. Nel riquadro di navigazione a sinistra, scegli **OpenSearch UI (dashboard).**
1. Scegli **Crea applicazione**.
1. Per **Nome applicazione**, inserisci un nome per l'applicazione.
1. (Facoltativo) Per abilitare il Single Sign-On per la tua organizzazione o il tuo account, procedi come segue:
1. Seleziona la casella di controllo **Autenticazione con IAM Identity Center**, come mostrato nell'immagine seguente:
![\[L'area «Autenticazione Single Sign-on» con la casella «Autenticazione con IAM Identity Center» selezionata.\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/images/ui-Single-sign-on-authentication.png)
1. Esegui una delle seguenti operazioni:
+ Nell'elenco delle **applicazioni IAM role for Identity Center**, scegli un ruolo IAM esistente che fornisca le autorizzazioni richieste a IAM Identity Center per accedere all' OpenSearch interfaccia utente e alle fonti di dati associate. Vedi le politiche nel prossimo bullet per le autorizzazioni che il ruolo deve avere.
+ Crea un nuovo ruolo con le autorizzazioni richieste. Utilizza le seguenti procedure nella *Guida per l'utente IAM* con le opzioni specificate per creare un nuovo ruolo e con la politica di autorizzazione e la politica di fiducia necessarie.
+ Procedura: [creazione di politiche IAM (console)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/access_policies_create-console.html)
Mentre segui i passaggi di questa procedura, incolla la seguente policy nel campo **JSON** dell'editor di policy:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IdentityStoreOpenSearchDomainConnectivity",
"Effect": "Allow",
"Action": [
"identitystore:DescribeUser",
"identitystore:ListGroupMembershipsForMember",
"identitystore:DescribeGroup"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledViaLast": "es.amazonaws.com"
}
}
},
{
"Sid": "OpenSearchDomain",
"Effect": "Allow",
"Action": [
"es:ESHttp*"
],
"Resource": "*"
},
{
"Sid": "OpenSearchServerless",
"Effect": "Allow",
"Action": [
"aoss:APIAccessAll"
],
"Resource": "*"
}
]
}
```
------
+ Procedura: [creare un ruolo utilizzando politiche di attendibilità personalizzate](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html)
Man mano che segui i passaggi di questa procedura, sostituisci il segnaposto JSON nella casella **Custom trust policy** con quanto segue:
**Suggerimento**
Se stai aggiungendo la politica di fiducia a un ruolo esistente, aggiungi la politica nella scheda Relazione di **fiducia** del ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "application.opensearchservice.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Effect": "Allow",
"Principal": {
"Service": "application.opensearchservice.amazonaws.com"
},
"Action": "sts:SetContext",
"Condition": {
"ForAllValues:ArnEquals": {
"sts:RequestContextProviders": "arn:aws:iam::123456789012:oidc-provider/portal.sso.us-east-1.amazonaws.com/apl/application-id"
}
}
}
]
}
```
------
1. Se un'istanza IAM Identity Center è già stata creata nella tua organizzazione o nel tuo account, la console segnala che Amazon OpenSearch Dashboards è già connesso a un'istanza organizzativa di IAM Identity Center, come mostrato nell'immagine seguente.
![\[L'area «Amazon OpenSearch Dashboard connessa a un'istanza di account di IAM Identity Center» mostra l'URL dell'istanza dell'account IAM Identity Center esistente.\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/images/ui-connected-instance.png)
Se IAM Identity Center non è ancora disponibile nella tua organizzazione o nel tuo account, tu o un amministratore con le autorizzazioni necessarie potete creare un'istanza dell'organizzazione o un'istanza di account. L'area **Connect Amazon OpenSearch Dashboards to IAM Identity Center** offre opzioni per entrambi, come mostrato nell'immagine seguente:
![\[L'area «Connect Amazon OpenSearch Dashboards to IAM Identity Center» fornisce pulsanti per creare un'istanza dell'organizzazione o un'istanza di account.\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/images/ui-no-connected-instance.png)
In questo caso, puoi creare un'istanza di account in IAM Identity Center per il test o richiedere a un amministratore di creare un'istanza organizzativa in IAM Identity Center. Per ulteriori informazioni, consulta gli argomenti seguenti nella *Guida per l'utente AWS IAM Identity Center *:
**Nota**
Se desideri creare applicazioni OpenSearch UI in un'istanza organizzativa diversa Regione AWS dalla tua istanza organizzativa IAM Identity Center, consulta [Utilizzo di IAM Identity Center su più](https://docs.aws.amazon.com/singlesignon/latest/userguide/multi-region-iam-identity-center.html) istanze Regioni AWS.
+ [Istanze organizzative di IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/organization-instances-identity-center.html)
+ [Istanze account del Centro identità IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/account-instances-identity-center.html)
+ [Attiva AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html)
1. (Facoltativo) Verrai aggiunto automaticamente come amministratore dell'applicazione che stai creando. Nell'area di **gestione degli amministratori OpenSearch dell'applicazione**, puoi concedere le autorizzazioni di amministratore ad altri utenti, come mostrato nell'immagine seguente:
![\[L'area "gestione degli amministratori delle OpenSearch applicazioni» offre opzioni per concedere le autorizzazioni di amministratore a determinati utenti o a tutti gli utenti.\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/images/ui-admins-management.png)
**Nota**
Il ruolo di amministratore dell'applicazione OpenSearch UI concede le autorizzazioni per modificare ed eliminare un'applicazione UI. OpenSearch Gli amministratori dell'applicazione possono anche creare, modificare ed eliminare aree di lavoro in un'applicazione UI. OpenSearch
Per concedere le autorizzazioni di amministratore ad altri utenti, scegliete una delle seguenti opzioni:
+ **Concedi l'autorizzazione di amministratore a utenti specifici****: nel campo **amministratori dell'OpenSearchapplicazione**, nell'elenco pop-up **Proprietà**, seleziona utenti IAM o**
**AWS IAM Identity Center utenti**, quindi scegli i singoli utenti a cui concedere le autorizzazioni di amministratore.
+ **Concedi l'autorizzazione di amministratore a tutti gli utenti**: a tutti gli utenti dell'organizzazione o dell'account vengono concesse le autorizzazioni di amministratore.
1. (Facoltativo) Nell'area **Tag**, applicate una o più name/value coppie di chiavi di tag all'applicazione.
I tag sono metadati facoltativi assegnati a una risorsa. Consentono di categorizzare una risorsa in diversi modi, ad esempio in base allo scopo, al proprietario o all'ambiente.
1. Scegli **Create** (Crea).
### Creazione di un'applicazione OpenSearch UI che utilizza AWS IAM Identity Center l'autenticazione tramite AWS CLI
Per creare un'applicazione OpenSearch UI che utilizzi AWS IAM Identity Center l'autenticazione tramite AWS CLI, utilizzate il comando [create-application](https://docs.aws.amazon.com/cli/latest/reference/opensearch/create-application.html) con le seguenti opzioni:
+ `--name`— Il nome dell'applicazione.
+ `--iam-identity-center-options`— (Facoltativo) L'istanza IAM Identity Center e il ruolo IAM da utilizzare per l'autenticazione e il controllo degli accessi. OpenSearch
Sostituisci *placeholder values* con le informazioni appropriate.
```
aws opensearch create-application \
--name application-name \
--iam-identity-center-options "
{
\"enabled\":true,
\"iamIdentityCenterInstanceArn\":\"arn:aws:sso:::instance/sso-instance\",
\"iamRoleForIdentityCenterApplicationArn\":\"arn:aws:iam::account-id:role/role-name\"
}
"
```
## Gestione degli amministratori delle applicazioni
L'amministratore di un'applicazione OpenSearch UI è un ruolo definito con l'autorizzazione a modificare ed eliminare un'applicazione OpenSearch UI.
Per impostazione predefinita, in qualità di creatore di un'applicazione OpenSearch UI, sei il primo amministratore dell'applicazione OpenSearch UI.
### Gestione degli amministratori OpenSearch dell'interfaccia utente tramite la console
È possibile aggiungere altri amministratori a un'applicazione OpenSearch UI in Console di gestione AWS, durante il flusso di lavoro di creazione dell'applicazione o nella pagina **Modifica** dopo la creazione dell'applicazione.
Il ruolo di amministratore dell'applicazione OpenSearch UI concede le autorizzazioni per modificare ed eliminare un' OpenSearch applicazione UI. Gli amministratori dell'applicazione possono anche creare, modificare ed eliminare aree di lavoro in un'applicazione UI. OpenSearch
Nella pagina dei dettagli dell'applicazione, puoi cercare l'Amazon Resource Name (ARN) di un principale IAM o cercare il nome di un utente IAM Identity Center.
**Per gestire gli amministratori OpenSearch dell'interfaccia utente utilizzando la console**
1. Accedi alla console di Amazon OpenSearch Service da [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home).
1. Nel riquadro di navigazione a sinistra, scegli **OpenSearch UI (dashboard).**
1. Nell'area delle **OpenSearch applicazioni**, scegli il nome di un'applicazione esistente.
1. Scegli **Edit (Modifica)**.
1. Per concedere le autorizzazioni di amministratore ad altri utenti, scegliete una delle seguenti opzioni:
+ **Concedi l'autorizzazione di amministratore a utenti specifici****: nel campo **amministratori dell'OpenSearchapplicazione**, nell'elenco pop-up **Proprietà**, seleziona utenti IAM o**
**AWS IAM Identity Center utenti**, quindi scegli i singoli utenti a cui concedere le autorizzazioni di amministratore.
+ **Concedi l'autorizzazione di amministratore a tutti gli utenti**: a tutti gli utenti dell'organizzazione o dell'account vengono concesse le autorizzazioni di amministratore.
1. Scegliere **Aggiorna**.
È possibile rimuovere amministratori aggiuntivi, ma ogni applicazione dell' OpenSearch interfaccia utente deve mantenere almeno un amministratore.
### Gestione degli amministratori OpenSearch dell'interfaccia utente tramite AWS CLI
È possibile creare e aggiornare gli amministratori delle applicazioni dell' OpenSearch interfaccia utente utilizzando. AWS CLI
#### Creazione di amministratori OpenSearch dell'interfaccia utente utilizzando il AWS CLI
Di seguito sono riportati alcuni esempi di aggiunta di dirigenti IAM e utenti IAM Identity Center come amministratori durante la creazione di un' OpenSearch applicazione UI.
##### Esempio 1: creazione di un'applicazione OpenSearch UI che aggiunge un utente IAM come amministratore
Esegui il comando seguente per creare un'applicazione OpenSearch UI che aggiunga un utente IAM come amministratore. Sostituisci *placeholder values* con le informazioni appropriate.
```
aws opensearch create-application \
--name application-name \
--app-configs "
{
\"key\":\"opensearchDashboards.dashboardAdmin.users\",
\"value\":\"arn:aws:iam::account-id:user/user-id\"
}
"
```
##### Esempio 2: creare un'applicazione OpenSearch UI che abiliti IAM Identity Center e aggiunga un ID utente IAM Identity Center come amministratore dell'applicazione OpenSearch UI
Esegui il comando seguente per creare un'applicazione OpenSearch UI che abiliti IAM Identity Center e aggiunga un ID utente IAM Identity Center come amministratore dell'applicazione OpenSearch UI. Sostituisci *placeholder values* con le informazioni appropriate.
`key`specifica l'elemento di configurazione da impostare, ad esempio il ruolo di amministratore per l'applicazione OpenSearch UI. I valori validi includono `opensearchDashboards.dashboardAdmin.users` e `opensearchDashboards.dashboardAdmin.groups`.
*xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx*rappresenta il valore assegnato alla chiave, ad esempio l'Amazon Resource Name (ARN) di un utente IAM.
```
aws opensearch create-application \
--name myapplication \
--iam-identity-center-options "
{
\"enabled\":true,
\"iamIdentityCenterInstanceArn\":\"arn:aws:sso:::instance/ssoins-instance-id\",
\"iamRoleForIdentityCenterApplicationArn\":\"arn:aws:iam::account-id:role/role-name\"
}
" \
--app-configs "
{
\"key\":\"opensearchDashboards.dashboardAdmin.users\",
\"value\":\"xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx\"
}
"
```
#### Aggiornamento degli amministratori OpenSearch dell'interfaccia utente tramite AWS CLI
Di seguito sono riportati alcuni esempi di aggiornamento dei principali IAM e degli utenti di IAM Identity Center assegnati come amministratori per un'applicazione esistente. OpenSearch
##### Esempio 1: aggiungere un utente IAM come amministratore per un'applicazione esistente OpenSearch
Esegui il comando seguente per aggiornare un'applicazione OpenSearch UI e aggiungere un utente IAM come amministratore. Sostituisci *placeholder values* con le informazioni appropriate.
```
aws opensearch update-application \
--id myapplication \
--app-configs "
{
\"key\":\"opensearchDashboards.dashboardAdmin.users\",
\"value\":\"arn:aws:iam::account-id:user/user-id\"
}
"
```
##### Esempio 2: aggiorna un'applicazione OpenSearch UI per aggiungere un ID utente IAM Identity Center come amministratore dell'applicazione OpenSearch UI
Esegui il comando seguente per aggiornare un'applicazione OpenSearch UI e aggiungere un ID utente IAM Identity Center come amministratore dell'applicazione OpenSearch UI. Sostituisci *placeholder values* con le informazioni appropriate.
`key`specifica l'elemento di configurazione da impostare, ad esempio il ruolo di amministratore per l'applicazione OpenSearch UI. I valori validi includono `opensearchDashboards.dashboardAdmin.users` e `opensearchDashboards.dashboardAdmin.groups`.
*xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx*rappresenta il valore assegnato alla chiave, ad esempio l'Amazon Resource Name (ARN) di un utente IAM.
```
aws opensearch update-application \
--id myapplication \
--app-configs "
{
\"key\":\"opensearchDashboards.dashboardAdmin.users\",
\"value\":\"xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx\"
}
"
```
# AI agentica in Amazon Service OpenSearch
OpenSearch L'interfaccia utente include una suite di funzionalità di intelligenza artificiale agentica progettate per semplificare l'analisi operativa e accelerare le indagini sugli incidenti per i team di progettazione e supporto.
In ogni pagina dell'applicazione OpenSearch UI, scegli il pulsante **Ask AI** per aprire Agentic Chat. Agentic Chat comprende il contesto della pagina che stai visualizzando, utilizza strumenti agentici per analizzare i dati sottostanti, aggiorna le query per visualizzare i risultati in Discover e risponde alle tue domande con chiarezza e precisione. Quando un'analisi complessa della causa principale richiede un'indagine più approfondita, puoi far sì che l'agente investigativo pianifichi, esegua e rifletta autonomamente attraverso un flusso di lavoro in più fasi, fornendo ipotesi strutturate supportate da prove di dati. Alla base di entrambe le funzionalità agentiche c'è Agentic Memory, un livello di memoria che conserva il contesto all'interno della conversazione o dell'indagine, in modo da poter continuare a porre domande di follow-up con lo stesso contesto coerente in diverse sessioni web.
![\[La pagina Scopri nell' OpenSearch interfaccia utente che mostra Agentic Chat che genera una query PPL dall'input in linguaggio naturale «trova tutte le richieste con latenza superiore a 10 secondi», con il pannello Ask AI che mostra la spiegazione della query e un pulsante Avvia indagine.\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/images/agentic-chat-discover-ppl.png)
## Funzionalità chiave
+ **Agentic Chat**: integrata nella funzione Ask AI in ogni pagina dell' OpenSearch interfaccia utente, Agentic Chat comprende il contesto attuale e utilizza strumenti per analizzare i dati per rispondere al meglio alle tue domande. Su Discover, inserisci il linguaggio naturale nell'interfaccia di chat per generare e iterare le query PPL (Piped Processing Language), quindi non devi essere un esperto di PPL per ottenere informazioni utili. Puoi anche avviare conversazioni direttamente dalle visualizzazioni, dove Agentic Chat può identificare anomalie nei grafici, correlarle con i dati sottostanti e generare analisi. Quando è necessaria un'analisi complessa della causa principale, utilizzate il comando `/investigate` slash per avviare l'Investigation Agent in base alla conversazione in corso o con nuove istruzioni.
+ **Agente investigativo: un agente** di ricerca approfondita orientato agli obiettivi che puoi attivare digitando `/investigate` in chat o scegliendo il pulsante **Avvia indagine** nelle pagine delle funzionalità. Inserisci un obiettivo di indagine, ad esempio «trova la causa principale di questo picco di latenza». L'agente investigativo pianifica in modo autonomo utilizzando i tuoi dati e l'obiettivo dichiarato, esegue interrogazioni e analisi e riflette attraverso un flusso di lavoro in più fasi. Una volta completata l'indagine, in genere entro pochi minuti, genera ipotesi strutturate classificate per verosimiglianza, ciascuna supportata da prove di dati. Fornisce la massima trasparenza in ogni fase del ragionamento, in modo da poter verificare e fidarsi dei risultati.
+ **Agentic Memory: un livello di memoria** gestito dai servizi che conserva il contesto all'interno della conversazione o dell'indagine, in modo che possiate continuare a porre domande o indagare all'interno di un contesto coerente. Agentic Memory consente sia ad Agentic Chat che all'Investigation Agent di mantenere la continuità durante una sessione.
## Limiti di prezzo e utilizzo
Le funzionalità di Agentic AI sono gratuite. I limiti di utilizzo basati sui token si applicano per account per prevenire gli abusi.
Le funzionalità di intelligenza artificiale agentica utilizzano un modello di base in Amazon Bedrock. Tutte le configurazioni di sicurezza e governance dei dati di Amazon Bedrock si applicano alle funzionalità di intelligenza artificiale agentica. Per ulteriori informazioni, consulta la sezione [Protezione dei dati in Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/userguide/data-protection.html).
## Sicurezza
Le funzionalità di intelligenza artificiale agentica operano all'interno del framework di sicurezza esistente e non aggirano né sostituiscono i controlli di accesso configurati. Quando interagisci con Agentic Chat o avvii un agente investigativo, le funzionalità di intelligenza artificiale si autenticano utilizzando le tue attuali credenziali IAM o IAM Identity Center ed ereditano tutte le autorizzazioni associate. L'assistente AI può solo interrogare fonti di dati, indici e visualizzazioni a cui hai già accesso esplicito tramite le politiche di controllo degli accessi basate sui ruoli (RBAC) esistenti.
Se il tuo OpenSearch dominio implementa un controllo granulare degli accessi con sicurezza a livello di campo o di documento, l'IA rispetta queste restrizioni e non può far emergere dati da campi o documenti con restrizioni che non rientrano nell'ambito delle autorizzazioni. Allo stesso modo, tutte le query PPL generate da Agentic Chat o i recuperi di dati eseguiti durante le indagini vengono eseguiti nel contesto dell'utente, garantendo che tutte le politiche di sicurezza configurate rimangano pienamente applicate.
Questo modello di ereditarietà delle autorizzazioni garantisce che l'attivazione delle funzionalità di intelligenza artificiale non crei nuove vulnerabilità di sicurezza né richieda agli amministratori di gestire strutture di autorizzazione separate per le interazioni con l'IA.
## Abilitazione e disabilitazione delle funzionalità di intelligenza artificiale agentica
Le funzionalità di intelligenza artificiale agentica vengono abilitate automaticamente per le nuove applicazioni OpenSearch dell'interfaccia utente e per le applicazioni esistenti, a meno che tu non abbia disabilitato esplicitamente le funzionalità di intelligenza artificiale in uno dei tuoi domini. OpenSearch
Per abilitare o disabilitare le funzionalità di intelligenza artificiale, puoi utilizzare l'o l' Console di gestione AWS API:
+ **Console**: accedi alla pagina dei dettagli dell'applicazione OpenSearch UI e aggiorna le funzionalità AI da lì.
![\[La pagina delle funzionalità di Manage AI Assistant nella console mostra la casella di controllo Abilita la funzione di indagine su Chatbot e Agentic e il pulsante Aggiorna.\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/images/agentic-ai-manage-features.png)
+ **API**: utilizza l'[RegisterCapability](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_RegisterCapability.html)API per abilitare le funzionalità di intelligenza artificiale o utilizza l'[DeregisterCapability](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DeregisterCapability.html)API per disabilitarle.
## Disponibilità nelle regioni
Le funzionalità di intelligenza artificiale agentica sono disponibili nelle seguenti versioni: Regioni AWS
+ Asia Pacifico (Tokyo) - ap-northeast-1
+ Asia Pacifico (Sydney) - ap-southeast-2
+ UE (Francoforte) - eu-central-1
+ Europa (Stoccolma) - eu-nord-1
+ Europa (Spagna): eu-south-2
+ Europa (Irlanda) - eu-west-1
+ Stati Uniti orientali (Virginia settentrionale) - us-east-1
+ Stati Uniti orientali (Ohio) - us-east-2
+ Stati Uniti occidentali (Oregon) - us-west-2
**Topics**
+ [Funzionalità chiave](#application-ai-assistant-key-capabilities)
+ [Limiti di prezzo e utilizzo](#application-ai-assistant-pricing)
+ [Sicurezza](#application-ai-assistant-security)
+ [Abilitazione e disabilitazione delle funzionalità di intelligenza artificiale agentica](#application-ai-assistant-enable-disable)
+ [Disponibilità nelle regioni](#application-ai-assistant-regions)
+ [Chat agentica nel servizio Amazon OpenSearch](application-agentic-chat.md)
+ [Agente investigativo in Amazon OpenSearch Service](application-investigation-agent.md)
+ [Memoria agentica in Amazon Service OpenSearch](application-agentic-memory.md)
# Chat agentica nel servizio Amazon OpenSearch
Agentic Chat è un assistente AI incorporato in ogni pagina dell'interfaccia utente. OpenSearch Scegli il pulsante **Ask AI** per aprire il pannello della chat, dove puoi porre domande sui tuoi dati, generare domande e avviare indagini. Agentic Chat comprende il contesto della pagina che stai visualizzando in Discover and Investigation e utilizza strumenti agentici per analizzare i dati sottostanti.
![\[La pagina Discover nell' OpenSearch interfaccia utente con il pulsante Ask AI evidenziato nell'angolo in alto a destra.\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/images/agentic-chat-ask-ai-button.png)
Quando apri il pannello della chat, Agentic Chat presenta delle opzioni per aiutarti a iniziare: porre domande sui tuoi dati, esaminare un problema o spiegare un concetto. Se hai iniziato una conversazione in precedenza, questa rimane visibile nel pannello della chat mentre navighi tra le pagine, in modo da poter continuare da dove avevi interrotto. In alternativa, scegli il pulsante **Nuova chat** nell'angolo in alto a destra per iniziare una nuova conversazione.
![\[Il pannello di Agentic Chat mostra il messaggio di benvenuto di AI Assistant con opzioni per porre domande sui dati, esaminare un problema o spiegare un concetto.\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/images/agentic-chat-ask-ai-panel.png)
## Utilizzo di Agentic Chat con Discover
Nella pagina Discover degli spazi di lavoro di Observability, puoi inserire il linguaggio naturale nell'interfaccia di chat per generare query PPL. Agentic Chat traduce le tue domande in PPL, esegue la query e visualizza i risultati direttamente nella vista Discover. Non devi essere un esperto di PPL per ottenere informazioni utili dai tuoi dati.
Per perfezionare una query generata, fai domande di follow-up in linguaggio naturale, ad esempio «aggiungi un filtro per il codice di stato 500". Agentic Chat comprende il contesto della query corrente e lo modifica di conseguenza. Puoi anche chiedere di modificare le aggregazioni, modificare gli intervalli di tempo o aggiungere campi aggiuntivi ai risultati. Ogni iterazione aggiorna la vista Discover con i nuovi risultati della query.
## Utilizzo di Agentic Chat con visualizzazioni
Puoi iniziare una conversazione con Agentic Chat direttamente da una visualizzazione. **Apri il menu contestuale su un pannello di visualizzazione e scegli Ask AI.** Agentic Chat analizza la visualizzazione, identifica le anomalie nei grafici, si correla con i dati sottostanti e genera analisi.
![\[Una visualizzazione nell' OpenSearch interfaccia utente che mostra l'opzione Ask AI nel menu contestuale, con il pannello Agentic Chat che analizza la visualizzazione.\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/images/agentic-chat-visualization.png)
## Avvio di un'indagine dalla chat
Quando è necessaria un'analisi complessa della causa principale, puoi avviare Investigation Agent direttamente da Agentic Chat. Usa il comando `/investigate` slash nell'input della chat o scegli il pulsante **Avvia indagine** nelle pagine delle funzionalità.
Per ulteriori informazioni sull'agente investigativo, consulta[Agente investigativo in Amazon OpenSearch Service](application-investigation-agent.md).
## Strumenti supportati
Agentic Chat utilizza i seguenti strumenti per analizzare i dati e rispondere alle domande. Per visualizzare la maggior parte up-to-date degli strumenti disponibili, digita «quali strumenti puoi usare» nell'interfaccia della chat.
**Strumenti di frontend**
Questi strumenti aggiornano l' OpenSearch interfaccia utente:
+ `create_investigation`— Crea un nuovo taccuino per le indagini sugli agenti con dettagli come obiettivi, sintomi, indice e intervallo di tempo.
+ `execute_ppl_query`— Esegue interrogazioni PPL sul set di dati corrente e visualizza i risultati nella pagina Discover.
+ `update_time_range`— Aggiorna il filtro dell'intervallo temporale globale nella pagina Discover corrente (ad esempio, «ultime 24 ore» o «ultima settimana»).
**Strumenti di backend**
Questi strumenti interagiscono direttamente con OpenSearch i dati e APIs:
+ `SearchIndexTool`— Cerca in un indice utilizzando query DSL.
+ `MsearchTool`— Esegue più operazioni di ricerca in un'unica richiesta.
+ `CountTool`— Restituisce il numero di documenti corrispondenti a una query.
+ `ExplainTool`— Spiega perché un documento corrisponde o non corrisponde a una query.
+ `ListIndexTool`— Elenca gli indici nel cluster con dettagli opzionali.
+ `IndexMappingTool`— Recupera le mappature e le impostazioni degli indici.
+ `GetShardsTool`— Ottiene informazioni frammentate per un indice.
+ `ClusterHealthTool`— Restituisce informazioni sullo stato del cluster.
+ `LogPatternAnalysisTool`— Analizza i modelli di log, confronta gli intervalli di tempo o esegue l'analisi delle sequenze di traccia.
+ `MetricChangeAnalysisTool`— Confronta le distribuzioni percentili dei campi numerici tra due intervalli di tempo.
+ `DataDistributionTool`— Analizza le distribuzioni dei valori dei campi in un intervallo di tempo target, facoltativamente rispetto a una linea di base.
+ `GenericOpenSearchApiTool`— Uno strumento flessibile per chiamare direttamente qualsiasi OpenSearch endpoint API.
# Agente investigativo in Amazon OpenSearch Service
L'Investigation Agent è un agente di ricerca approfondita nell' OpenSearch interfaccia utente orientato agli obiettivi che indaga autonomamente su questioni complesse per tuo conto. Pianifica l'utilizzo dei dati e dell'obiettivo dichiarato, esegue interrogazioni e analisi e riflette attraverso un flusso di lavoro in più fasi. Una volta completata l'indagine, in genere entro pochi minuti, genera ipotesi strutturate classificate per verosimiglianza, ciascuna supportata da prove di dati. Fornisce la massima trasparenza in ogni fase del ragionamento, in modo da poter verificare e fidarsi dei risultati.
## Avvio di un'indagine
Puoi avviare un'indagine in due modi:
+ Da Discover, Visualization o altre pagine di funzionalità supportate, scegli il pulsante **Avvia indagine**. Viene visualizzata una finestra di dialogo in cui puoi inserire l'obiettivo dell'indagine e scegliere tra modelli suggeriti come «Root cause analytics» o «Problemi di prestazioni».
+ Da Agentic Chat, digita il comando `/investigate` slash nell'input della chat con l'obiettivo dell'indagine.
![\[La finestra di dialogo Avvia indagine mostra un campo di testo per l'obiettivo dell'indagine e modelli suggeriti per l'analisi delle cause principali e i problemi di prestazioni.\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/images/investigation-agent-start.png)
Per ulteriori informazioni su Agentic Chat, consulta. [Chat agentica nel servizio Amazon OpenSearch](application-agentic-chat.md)
## Revisione dei risultati delle indagini
Una volta completata l'indagine, l'agente investigativo presenta un'ipotesi primaria con un livello di confidenza e prove a sostegno. La pagina dei risultati mostra le fasi dell'indagine intraprese, i risultati pertinenti classificati per importanza e le ipotesi alternative.
![\[La pagina dei risultati dell'indagine mostra un'ipotesi primaria con le opzioni Accept ed Ecludi, i risultati pertinenti classificati per importanza e le ipotesi alternative.\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/images/investigation-agent-results.png)
**Puoi esaminare i risultati alla base di ogni ipotesi, quindi scegliere **Accetta** per confermare l'ipotesi o Escludi per rifiutarla.** È possibile esaminare anche ipotesi alternative con minore probabilità. Puoi selezionare qualsiasi ipotesi alternativa come conclusione finale se corrisponde meglio alla tua valutazione.
## Ri-investigare
Se i risultati dell'indagine richiedono ulteriori chiarimenti o se l'agente investigativo stabilisce che alla domanda dell'indagine non è possibile rispondere con i set di dati disponibili, è possibile utilizzare l'opzione **Reinvestiga** per modificare e rieseguire l'indagine. Scegliete **Riinvestiga** per modificare l'obiettivo iniziale, modificare l'intervallo di tempo e, facoltativamente, inserire le ipotesi e i risultati esistenti nella nuova indagine.
![\[La finestra di dialogo Rianalizza il problema mostra le opzioni per modificare l'obiettivo iniziale, modificare l'intervallo di tempo e integrare le ipotesi e i risultati esistenti nella nuova indagine.\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/images/investigation-agent-reinvestigate.png)
# Memoria agentica in Amazon Service OpenSearch
Agentic Memory è un livello di memoria gestito dai servizi che alimenta Agentic Chat e Investigation Agent. Mantiene il contesto all'interno della conversazione o dell'indagine, in modo da offrire un'esperienza coerente tra diverse pagine di funzionalità, schede del browser e aggiornamenti delle pagine. Agentic Memory funziona automaticamente e non richiede alcuna configurazione da parte dell'utente.
Agentic Memory è basato sul framework di memoria degli OpenSearch agenti. L'archiviazione della memoria è isolata dall'ID utente per motivi di privacy.
## Protezione dei dati
L'uso di Agentic Memory è gratuito. I dati dei clienti archiviati in Agentic Memory sono crittografati con una chiave gestita dal servizio. Se hai abilitato la crittografia a chiave gestita dal cliente (CMK) per la tua applicazione OpenSearch UI, i dati di memoria verranno invece crittografati con la CMK. La memoria viene archiviata in una raccolta Amazon OpenSearch Serverless gestita dal servizio.
Per ulteriori informazioni sulla crittografia CMK, consulta. [Crittografia dei metadati delle applicazioni dell' OpenSearch interfaccia utente con chiavi gestite dal cliente](application-encryption-cmk.md)
## Limitazioni
Agentic Memory non è in grado di conservare il contesto tra diversi thread di conversazione.
# Crittografia dei metadati delle applicazioni dell' OpenSearch interfaccia utente con chiavi gestite dal cliente
Le risorse visive e le configurazioni vengono archiviate come metadati per le applicazioni dell'interfaccia utente. OpenSearch Ciò include interrogazioni, visualizzazioni e dashboard salvate. I dati provenienti dalle fonti di dati associate non vengono archiviati nei metadati. Per informazioni sulla crittografia dei dati nelle tue fonti di dati, consulta [Protezione dei dati in Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/data-protection.html) per i OpenSearch domini e [Crittografia in Amazon OpenSearch Serverless per le raccolte serverless](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-encryption.html).
I metadati OpenSearch dell'interfaccia utente sono protetti con crittografia a riposo. Ciò impedisce l'accesso non autorizzato. La crittografia utilizza AWS Key Management Service (AWS KMS) per archiviare e gestire le chiavi di crittografia. Per impostazione predefinita, OpenSearch i metadati dell'interfaccia utente sono crittografati con chiavi AWS proprietarie.
Puoi anche utilizzare la funzionalità Customer Managed Key (CMK) per gestire le tue chiavi di crittografia. Ciò consente di soddisfare i requisiti normativi e di conformità. Per utilizzare CMK, è necessario creare una nuova applicazione OpenSearch UI e abilitare CMK nel processo di creazione. Al momento non è supportato l'aggiornamento di un'applicazione OpenSearch UI esistente dalla chiave AWS proprietaria a CMK.
Quando utilizzare le chiavi gestite dal cliente:
+ La tua organizzazione ha requisiti di conformità normativa per la gestione delle chiavi
+ Sono necessari audit trail per l'utilizzo delle chiavi di crittografia
+ Vuoi controllare i programmi di rotazione dei tasti
+ È necessario integrarsi con i flussi di lavoro di gestione delle chiavi esistenti
Quando utilizzi una chiave gestita dal cliente, hai il pieno controllo sulla chiave. Ciò include la capacità di:
+ Stabilire e mantenere le policy della chiave
+ Stabilire e mantenere concessioni e policy IAM
+ Attivare e disattivare la chiave
+ Ruota il materiale crittografico della chiave
+ Aggiungi tag alla chiave
+ Creare alias delle chiavi
+ Pianifica l'eliminazione della chiave
**Nota**
La chiave gestita dal cliente deve trovarsi nella Regione AWS stessa applicazione dell' OpenSearch interfaccia utente. Non è possibile utilizzare una chiave proveniente da un'altra regione.
**Topics**
+ [Prerequisiti per l'utilizzo delle chiavi gestite dal cliente](#application-encryption-cmk-prerequisites)
+ [Creazione di un'applicazione con crittografia a chiave gestita dal cliente utilizzando la console](#application-encryption-cmk-create-console)
+ [Creazione di un'applicazione con crittografia a chiave gestita dal cliente utilizzando AWS CLI](#application-encryption-cmk-create-cli)
+ [Monitoraggio dell'utilizzo delle chiavi gestite dal cliente](#application-encryption-cmk-monitoring)
+ [Aggiornamento delle impostazioni di crittografia](#application-encryption-cmk-update)
## Prerequisiti per l'utilizzo delle chiavi gestite dal cliente
Prima di poter utilizzare una chiave gestita dal cliente per crittografare i metadati dell'applicazione dell' OpenSearch interfaccia utente, è necessario creare una chiave di crittografia simmetrica. AWS KMS*Per istruzioni sulla creazione di chiavi, consulta [Creating keys](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) nella Developer Guide.AWS KMS *
La politica chiave per la chiave gestita dal cliente deve concedere all' OpenSearch interfaccia utente l'autorizzazione all'uso della chiave. Utilizza la seguente politica chiave, sostituendola *placeholder values* con le tue informazioni:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowOpenSearchUIToUseKey",
"Effect": "Allow",
"Principal": {
"Service": [
"application.opensearchservice.amazonaws.com"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "AllowKeyAdministration",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account-id:root"
},
"Action": "kms:*",
"Resource": "*"
}
]
}
```
La policy include due dichiarazioni:
+ La prima istruzione consente all' OpenSearch interfaccia utente di utilizzare la chiave per le operazioni di crittografia.
+ La seconda istruzione consente agli utenti dell'utente Account AWS di amministrare la chiave. Ciò include le autorizzazioni per aggiornare la politica delle chiavi, abilitare o disabilitare la chiave e pianificare l'eliminazione della chiave. Puoi limitare ulteriormente queste autorizzazioni sostituendo il root principal con utenti o ruoli IAM specifici.
Per ulteriori informazioni sulle politiche chiave, consulta [Using key policy AWS KMS nella AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) *Developer Guide*.
## Creazione di un'applicazione con crittografia a chiave gestita dal cliente utilizzando la console
Quando OpenSearch crei un'applicazione UI nella console, puoi specificare una chiave gestita dal cliente per crittografare i metadati dell'applicazione.
**Per creare un'applicazione OpenSearch UI con crittografia a chiave gestita dal cliente utilizzando la console**
1. Accedi alla console di Amazon OpenSearch Service da [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home).
1. Nel riquadro di navigazione a sinistra, scegli **OpenSearch UI (dashboard).**
1. Scegli **Crea applicazione**.
1. Per **Nome applicazione**, inserisci un nome per l'applicazione.
1. Configura le impostazioni di autenticazione e amministratore in base alle esigenze. Per ulteriori informazioni, consulta [Guida introduttiva all'interfaccia OpenSearch utente in Amazon OpenSearch Service](application-getting-started.md).
1. Nella sezione **Crittografia**, per **Encryption at rest**, scegli **Usa chiave gestita dal cliente**.
1. Seleziona una chiave gestita dal cliente esistente dall'elenco oppure scegli **Crea una chiave** per crearne una nuova AWS KMS.
**Nota**
La chiave deve essere nella Regione AWS stessa dell'applicazione che stai creando.
1. (Facoltativo) Aggiungi tag all'applicazione.
1. Scegli **Create** (Crea).
## Creazione di un'applicazione con crittografia a chiave gestita dal cliente utilizzando AWS CLI
Per creare un'applicazione OpenSearch UI con crittografia a chiave gestita dal cliente utilizzando il AWS CLI, utilizzate il comando [create-application](https://docs.aws.amazon.com/cli/latest/reference/opensearch/create-application.html) con il `--kms-key-arn` parametro.
Sostituisci *placeholder values* con le informazioni appropriate.
```
aws opensearch create-application \
--name my-application \
--kms-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
```
Se non specificate il `--kms-key-arn` parametro, OpenSearch utilizza una chiave AWS-managed per crittografare i metadati dell'applicazione.
## Monitoraggio dell'utilizzo delle chiavi gestite dal cliente
Quando si utilizza una chiave gestita dal cliente con un'applicazione di OpenSearch interfaccia utente, AWS KMS registra ogni utilizzo della chiave nei AWS CloudTrail registri. È possibile utilizzare questi registri per monitorare come e quando viene utilizzata la chiave. I registri mostrano quale utente o servizio ha avuto accesso alla chiave.
AWS AWS KMS ruota automaticamente le chiavi gestite dal cliente ogni anno. È inoltre possibile ruotare manualmente i tasti in base alle esigenze. *Per ulteriori informazioni sulla rotazione dei tasti, consulta [Rotating KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) nella Developer Guide.AWS KMS *
*Per ulteriori informazioni sul monitoraggio dell'utilizzo delle chiavi, consulta [Logging AWS KMS API call with AWS CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html) nella Developer Guide.AWS KMS *
**Nota**
L'utilizzo di chiavi gestite dal cliente comporta dei costi. AWS KMS I costi si basano sul numero di richieste API e di chiavi archiviate. Per i dettagli sui prezzi, consulta la sezione [Prezzi del servizio di gestione delle AWS chiavi](https://aws.amazon.com/kms/pricing/).
## Aggiornamento delle impostazioni di crittografia
Dopo aver creato un'applicazione OpenSearch UI, non è possibile modificarne le impostazioni di crittografia. Se è necessario utilizzare una chiave gestita dal cliente diversa, è necessario creare una nuova applicazione. Se è necessario passare da una chiave gestita AWS a una chiave gestita dal cliente e viceversa, è inoltre necessario creare una nuova applicazione con le impostazioni di crittografia desiderate.
**Importante**
Prima di disabilitare o eliminare una chiave gestita dal cliente, considera quanto segue:
Se disabiliti la chiave, l'applicazione perderà l'accesso ai metadati crittografati. È necessario riattivare la stessa chiave per ripristinare l'accesso.
Se si elimina la chiave, gli oggetti salvati nell'applicazione diventano definitivamente inaccessibili. Ciò include interrogazioni, visualizzazioni e dashboard. Le chiavi eliminate non possono essere recuperate.
Ti consigliamo di documentare l'ARN della tua chiave prima di apportare modifiche allo stato della chiave.
**Fasi successive**
Dopo aver configurato la crittografia CMK per la tua applicazione, puoi:
+ Associare fonti di dati all'applicazione. Per ulteriori informazioni, consulta [Gestione delle associazioni delle fonti di dati e delle autorizzazioni di accesso al Virtual Private Cloud](application-data-sources-and-vpc.md).
+ Crea spazi di lavoro per il tuo team. Per ulteriori informazioni, consulta [Utilizzo delle aree di lavoro OpenSearch di Amazon Service](application-workspaces.md).
+ Imposta il AWS CloudTrail monitoraggio dell'utilizzo delle chiavi. Per ulteriori informazioni, consulta [Monitoraggio dell'utilizzo delle chiavi gestite dal cliente](#application-encryption-cmk-monitoring).
# Abilitazione della federazione SAML con AWS Identity and Access Management
OpenSearch L'interfaccia utente supporta Security Assertion Markup Language 2.0 (SAML), uno standard aperto utilizzato da molti provider di identità. Ciò consente la federazione delle identità con AWS Identity and Access Management (IAM). Con questo supporto, gli utenti del tuo account o della tua organizzazione possono accedere direttamente all' OpenSearch interfaccia utente assumendo ruoli IAM. Puoi creare un'esperienza Single Sign-On avviata dal provider di identità (IdP) per gli utenti finali, in cui possono autenticarsi nel provider di identità esterno ed essere indirizzati direttamente alla pagina definita nell'interfaccia utente. OpenSearch Puoi anche implementare un controllo granulare degli accessi configurando gli utenti finali o i gruppi in modo che assumano ruoli IAM diversi con autorizzazioni diverse per l'accesso all'interfaccia utente e alle fonti di dati associate. OpenSearch
Questo argomento presenta le step-by-step istruzioni per configurare l'uso di SAML con l'interfaccia utente. OpenSearch In queste procedure, utilizziamo come esempio i passaggi per configurare l'applicazione Okta per la gestione delle identità e degli accessi. I passaggi di configurazione per altri provider di identità, come Azure Active Directory e Ping, sono simili.
**Topics**
+ [Passaggio 1: configurare l'applicazione del provider di identità (Okta)](#SAML-identity-federation-step-1)
+ [Passaggio 2: configura la configurazione per Okta AWS](#SAML-identity-federation-step-2)
+ [Fase 3: Creare la policy di accesso ad Amazon OpenSearch Service in IAM](#SAML-identity-federation-step-3)
+ [Passaggio 4: verifica l'esperienza Single Sign-On avviata dal provider di identità con SAML](#SAML-identity-federation-step-4)
+ [Passaggio 5: configura il controllo granulare degli accessi basato sugli attributi SAML](#SAML-identity-federation-step-5)
## Passaggio 1: configurare l'applicazione del provider di identità (Okta)
Per utilizzare SAML con l' OpenSearch interfaccia utente, il primo passaggio consiste nel configurare il provider di identità.
**Attività 1: creare utenti Okta**
1. Accedi alla tua organizzazione Okta all'indirizzo [https://login.okta.com/come](https://login.okta.com/) utente con privilegi amministrativi.
1. **Nella console di amministrazione, in **Directory** nel pannello di navigazione, scegli Persone.**
1. Scegli **Add person** (Aggiungi persona).
1. **In First Name**, inserisci il nome dell'utente.
1. Per **Cognome**, inserisci il cognome dell'utente.
1. Per **Nome utente**, inserisci il nome utente dell'utente in formato e-mail.
1. Scegli **Imposterò la password** e inserisci una password
1. (Facoltativo) Deseleziona la casella L'**utente deve cambiare la password al primo accesso** se non desideri che l'utente modifichi la password al primo accesso.
1. Scegli **Save** (Salva).
**Attività 2: Creare e assegnare gruppi**
1. Accedi alla tua organizzazione Okta all'indirizzo [https://login.okta.com/come](https://login.okta.com/) utente con privilegi amministrativi.
1. **Nella console di amministrazione, in **Directory** nel pannello di navigazione, scegli Gruppi.**
1. Scegliere **Add Group (Aggiungi gruppo)**.
1. Inserisci il nome di un gruppo e scegli **Salva**.
1. Scegli il gruppo appena creato, quindi scegli **Assegna persone**.
1. Scegli il segno più (**\$1**), quindi scegli **Fine.**
1. (Facoltativo) Ripeti i passaggi da 1 a 6 per aggiungere altri gruppi.
**Attività 3: Creare applicazioni Okta**
1. Accedi alla tua organizzazione Okta all'indirizzo [https://login.okta.com/come](https://login.okta.com/) utente con privilegi amministrativi.
1. **Nella console di amministrazione, in **Applicazioni** nel pannello di navigazione, scegli Applicazioni.**
1. Scegli **Create App Integration** (Crea integrazione app).
1. **Scegli SAML 2.0 come metodo di accesso, quindi scegli Avanti.**
1. **Inserisci un nome per l'integrazione dell'app (ad esempio,**OpenSearch\$1UI**), quindi scegli Avanti.**
1. Inserisci i seguenti valori nell'app; non è necessario modificare altri valori:
1. 1. Per **l'URL Single Sign On**, inserisci **https://signin.aws.amazon.com/saml** AWS le aree commerciali o l'URL specifico della tua regione.
1. 2. Per **Audience URI (SP Entity ID)**, inserisci**urn:amazon:webservices**.
1. 3. Per **il formato Name ID**, immettete**EmailAddress**.
1. Scegli **Next (Successivo)**.
1. Scegli **Sono un cliente Okta e aggiungo un'app interna**, quindi scegli **Questa è un'app interna che abbiamo creato**.
1. Scegli **Fine**.
1. **Scegli **Assegnazioni**, quindi scegli Assegna.**
1. Scegli **Assegna ai gruppi**, quindi seleziona **Assegna** accanto ai gruppi che desideri aggiungere.
1. Seleziona **Fatto**.
**Attività 4: configurare la configurazione avanzata di Okta**
Dopo aver creato l'applicazione SAML personalizzata, completa i seguenti passaggi:
1. Accedi alla tua organizzazione Okta all'indirizzo [https://login.okta.com/come](https://login.okta.com/) utente con privilegi amministrativi.
Nella console dell'amministratore, nell'area **Generale**, scegli **Modifica** nelle impostazioni **SAML**.
1. Scegli **Next (Successivo)**.
1. Imposta **lo stato di inoltro predefinito** sull'endpoint dell' OpenSearch interfaccia utente, utilizzando il formato:
`https://region.console.aws.amazon.com/aos/home?region=region#opensearch/applications/application-id/redirectToDashboardURL`.
Di seguito è riportato un esempio:
`https://us-east-2.console.aws.amazon.com/aos/home?region=us-east-2#opensearch/applications/abc123def4567EXAMPLE/redirectToDashboardURL`
1. In **Attribute Statements (opzionale)**, aggiungi le seguenti proprietà:
1. **Fornisci il ruolo IAM e il provider di identità in formato separato da virgole utilizzando l'attributo Role.** Utilizzerai lo stesso ruolo IAM e provider di identità in una fase successiva durante la configurazione. AWS
1. Imposta **user.login** per. **RoleSessionName** Viene utilizzato come identificatore per le credenziali temporanee emesse quando si assume il ruolo.
Per riferimento:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/application-enable-SAML-identity-federation.html)
1. Dopo aver aggiunto le proprietà dell'attributo, scegliete **Avanti**, quindi **Fine.**
Gli attributi devono avere un formato simile a quelli mostrati nell'immagine seguente. Il valore **Default Relay State** è l'URL per definire la pagina di destinazione per gli utenti finali dell'account o dell'organizzazione dopo aver completato la convalida del Single Sign-On di Okta. Puoi impostarlo su qualsiasi pagina dell' OpenSearch interfaccia utente e quindi fornire quell'URL agli utenti finali previsti.
![\[L'area «SAML 2.0" riporta l'URL dello stato di inoltro e l'URL dei metadati predefiniti per un'applicazione.\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/images/ui-saml-2.0-area-okta.png)
## Passaggio 2: configura la configurazione per Okta AWS
Completa le seguenti attività per configurare la AWS configurazione per Okta.
**Attività 1: raccogliere informazioni su Okta**
Per questo passaggio, dovrai raccogliere le tue informazioni su Okta in modo da poterle configurare in seguito. AWS
1. Accedi alla tua organizzazione Okta all'indirizzo [https://login.okta.com/come](https://login.okta.com/) utente con privilegi amministrativi.
1. **Nella scheda Accedi**, nell'angolo in basso a destra della pagina, scegli **Visualizza le istruzioni di configurazione SAML.**
1. Prendi nota del valore dell'URL **Single Sign-on di Identity Provider**. È possibile utilizzare questo URL per la connessione a qualsiasi client SQL di terze parti come [SQL](https://www.sql-workbench.eu/) Workbench/J.
1. Utilizza i metadati del provider di identità nel blocco 4, quindi salva il file di metadati in formato.xml (ad esempio,). `metadata.xml`
**Attività 2: creare il provider IAM**
Per creare il tuo provider IAM, completa i seguenti passaggi:
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, in **Gestione degli accessi**, scegli **Provider di identità**.
1. Scegli **Aggiungi provider**.
1. Per il **tipo di provider**, seleziona **SAML.**
1. Per **Nome del provider**, inserisci un nome.
1. Per il **documento di metadati**, scegli **Scegli file** e carica il file di metadati (.xml) che hai scaricato in precedenza.
1. Scegli **Aggiungi provider**.
**Attività 3: creare un ruolo IAM**
Per creare il tuo AWS Identity and Access Management ruolo, completa i seguenti passaggi:
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel pannello di navigazione, in **Gestione degli accessi**, scegli **Ruoli**.
1. Scegli **Crea ruolo**.
1. Per il **tipo di entità affidabile**, seleziona la **federazione SAML 2.0**.
1. Per un **provider basato su SAML 2.0, scegli il provider** di identità che hai creato in precedenza.
1. Seleziona **Consenti accesso programmatico** e. Console di gestione AWS
1. Scegli **Next (Successivo)**.
1. Nell'elenco delle **politiche di autorizzazione**, seleziona le caselle di controllo relative alle politiche che concedono le autorizzazioni OpenSearch del servizio, AWS ad esempio le politiche gestite. **AmazonOpenSearchServiceFullAccess**
1. Scegli **Next (Successivo)**.
1. Nell'area **Revisione**, per **Nome ruolo**, inserisci il nome del tuo ruolo, ad esempio. **oktarole**
1. (Facoltativo) In **Descrizione**, inserisci una breve descrizione dello scopo del ruolo.
1. Scegli **Crea ruolo**.
1. Passa al ruolo che hai appena creato, scegli la scheda **Relazioni di fiducia**, quindi scegli **Modifica politica di fiducia**.
1. Nel riquadro **Modifica dichiarazione**, in **Aggiungi azioni per STS**, seleziona la casella per **TagSession**.
1. Scegli **Aggiorna policy**.
## Fase 3: Creare la policy di accesso ad Amazon OpenSearch Service in IAM
Scopri come configurare i tuoi ruoli IAM per il controllo degli OpenSearch accessi. Con i ruoli IAM, puoi implementare un controllo granulare degli accessi per consentire ai gruppi di utenti Okta di accedere alle risorse. OpenSearch Questo argomento illustra la configurazione basata sui ruoli IAM utilizzando due gruppi di esempio.
------
#### [ Sample group: Alice ]
Richiesta:
```
GET _plugins/_security/api/roles/alice-group
```
Risultato:
```
{
"alice-group": {
"reserved": false,
"hidden": false,
"cluster_permissions": [
"unlimited"
],
"index_permissions": [
{
"index_patterns": [
"alice*"
],
"dls": "",
"fls": [],
"masked_fields": [],
"allowed_actions": [
"indices_all"
]
}
],
"tenant_permissions": [
{
"tenant_patterns": [
"global_tenant"
],
"allowed_actions": [
"kibana_all_write"
]
}
],
"static": false
}
}
```
------
#### [ Sample group: Bob ]
Richiesta:
```
GET _plugins/_security/api/roles/bob-group
```
Risultato:
```
{
"bob-group": {
"reserved": false,
"hidden": false,
"cluster_permissions": [
"unlimited"
],
"index_permissions": [
{
"index_patterns": [
"bob*"
],
"dls": "",
"fls": [],
"masked_fields": [],
"allowed_actions": [
"indices_all"
]
}
],
"tenant_permissions": [
{
"tenant_patterns": [
"global_tenant"
],
"allowed_actions": [
"kibana_all_write"
]
}
],
"static": false
}
}
```
------
Puoi mappare i ruoli del dominio Amazon OpenSearch Service ai ruoli IAM utilizzando la mappatura dei ruoli di backend, come dimostrato nell'esempio seguente:
```
{
"bob-group": {
"hosts": [],
"users": [],
"reserved": false,
"hidden": false,
"backend_roles": [
"arn:aws:iam::111222333444:role/bob-group"
],
"and_backend_roles": []
},
"alice-group": {
"hosts": [],
"users": [],
"reserved": false,
"hidden": false,
"backend_roles": [
"arn:aws:iam::111222333444:role/alice-group"
],
"and_backend_roles": []
}
}
```
## Passaggio 4: verifica l'esperienza Single Sign-On avviata dal provider di identità con SAML
Apri l'URL per **Default Relay** State per aprire la pagina di autenticazione Okta. Inserisci le credenziali di un utente finale. Verrai reindirizzato automaticamente all'interfaccia utente. OpenSearch
Puoi verificare le tue credenziali correnti scegliendo l'icona utente nella parte inferiore del pannello di navigazione, come illustrato nell'immagine seguente:
![\[Scegliendo l'icona utente nella pagina «Impostazioni e configurazione» di Okta vengono visualizzate le credenziali dell'utente corrente.\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/images/ui-okta-user-icon.png)
Puoi anche verificare le autorizzazioni di controllo degli accessi dettagliate per l'utente accedendo agli Strumenti per sviluppatori nella parte inferiore del pannello di navigazione ed eseguendo query nella console. Di seguito sono riportati alcuni esempi di interrogazioni.
------
#### [ Example 1: Displays information about the current user ]
Richiesta:
```
GET _plugins/_security/api/account
```
Risultato:
```
{
"user_name": "arn:aws:iam::XXXXXXXXXXXX:role/bob-group",
"is_reserved": false,
"is_hidden": false,
"is_internal_user": false,
"user_requested_tenant": null,
"backend_roles": [
"arn:aws:iam::XXXXXXXXXXXX:role/bob-group"
],
"custom_attribute_names": [],
"tenants": {
"global_tenant": true,
"arn:aws:iam::XXXXXXXXXXXX:role/bob-group": true
},
"roles": [
"bob-group"
]
}
```
------
#### [ Example 2: Displays actions permitted for a user ]
Richiesta:
```
GET bob-test/_search
```
Risultato:
```
{
"took": 390,
"timed_out": false,
"_shards": {
"total": 5,
"successful": 5,
"skipped": 0,
"failed": 0
},
"hits": {
"total": {
"value": 1,
"relation": "eq"
},
"max_score": 1,
"hits": [
{
"_index": "bob-test",
"_id": "ui01N5UBCIHpjO8Jlvfy",
"_score": 1,
"_source": {
"title": "Your Name",
"year": "2016"
}
}
]
}
}
```
------
#### [ Example 3: Displays actions not permitted for a user ]
Richiesta:
```
GET alice-test
```
Risultato:
```
{
"error": {
"root_cause": [
{
"type": "security_exception",
"reason": "no permissions for [indices:admin/get] and User [name=arn:aws:iam::111222333444:role/bob-group, backend_roles=[arn:aws:iam::111222333444:role/bob-group], requestedTenant=null]"
}
],
"type": "security_exception",
"reason": "no permissions for [indices:admin/get] and User [name=arn:aws:iam::111222333444:role/bob-group, backend_roles=[arn:aws:iam::111222333444:role/bob-group], requestedTenant=null]"
},
"status": 403
}
```
------
## Passaggio 5: configura il controllo granulare degli accessi basato sugli attributi SAML
Con Amazon OpenSearch Service, puoi utilizzare il controllo granulare degli accessi con SAML per mappare utenti e gruppi dal tuo provider di identità a utenti e ruoli di controllo degli accessi OpenSearch granulari in modo dinamico. Puoi assegnare questi ruoli a OpenSearch domini specifici e raccolte serverless e definire autorizzazioni a livello di indice e sicurezza a livello di documento.
**Nota**
Per ulteriori informazioni sul controllo granulare degli accessi, consulta. [Controllo granulare degli accessi in Amazon Service OpenSearch](fgac.md)
**Topics**
+ [Attributi SAML per un controllo granulare degli accessi](#saml-fgac-key-attributes)
+ [Attività 1: configura Okta per un controllo granulare degli accessi](#configure-okta-fgac)
+ [Attività 2: configurare SAML nel dominio OpenSearch](#configure-opensearch-domain-fgac)
+ [Attività 3: configurare SAML nelle raccolte OpenSearch Serverless](#saml-configure-collections)
### Attributi SAML per un controllo granulare degli accessi
**Soggetto chiave**
Si associa a un attributo utente univoco, ad esempio e-mail o nome utente, che identifica l'utente per l'autenticazione.
**RuolesKey**
Si associa agli attributi di gruppo o ruolo nel tuo IdP che determinano i ruoli o le autorizzazioni per l'autorizzazione.
### Attività 1: configura Okta per un controllo granulare degli accessi
**Per configurare Okta per un controllo granulare degli accessi**
1. **Aggiungi un nuovo attributo per l' OpenSearch utente principale nella sezione Attribute Statements:**
+ Valore: `UserName`
+ Valore: `${user-email}`
Questo attributo viene utilizzato come **chiave Subject** nella configurazione OpenSearch granulare del controllo degli accessi per l'autenticazione.
1. Aggiungi un attributo di gruppo per i ruoli nella sezione **Group Attribute Statement**:
+ Valore: `groups`
+ Filtro: `OpenSearch_xxx`
Questo attributo viene utilizzato come **chiave Role per mappare i gruppi a ruoli** di controllo degli accessi OpenSearch dettagliati per l'autorizzazione.
### Attività 2: configurare SAML nel dominio OpenSearch
**Per configurare SAML nel dominio OpenSearch**
1. Nella console di AWS gestione, identifica il dominio di OpenSearch servizio per il quale desideri abilitare il controllo di accesso granulare per gli utenti dell'interfaccia utente. OpenSearch
1. Vai alla pagina dei dettagli del dominio specifico.
1. Seleziona la scheda **Configurazione di sicurezza** e fai clic su **Modifica**.
1. Espandi **SAML tramite IAM Federate**.
1. Inserisci `subjectKey` e `roleKey` che hai definito in Okta.
1. Seleziona **Salva modifiche**.
Puoi anche configurare un controllo granulare degli accessi utilizzando. AWS CLI
```
aws opensearch create-domain \
--domain-name testDomain \
--engine-version OpenSearch_1.3 \
--cluster-config InstanceType=r5.xlarge.search,InstanceCount=1,DedicatedMasterEnabled=false,ZoneAwarenessEnabled=false,WarmEnabled=false \
--access-policies '{"Version": "2012-10-17", "Statement":[{"Effect":"Allow","Principal":{"AWS":"*"},"Action":"es:*","Resource":"arn:aws:es:us-east-1:12345678901:domain/neosaml10/*"}]}' \
--domain-endpoint-options '{"EnforceHTTPS":true,"TLSSecurityPolicy":"Policy-Min-TLS-1-2-2019-07"}' \
--node-to-node-encryption-options '{"Enabled":true}' \
--encryption-at-rest-options '{"Enabled":true}' \
--advanced-security-options '{"Enabled":true,"InternalUserDatabaseEnabled":true,"MasterUserOptions":{"MasterUserName":"********","MasterUserPassword":"********"}, "IAMFederationOptions":{"Enabled": true,"SubjectKey":"TestSubjectKey","RolesKey":"TestRolesKey"}}' \
--ebs-options "EBSEnabled=true,VolumeType=gp2,VolumeSize=300" \
--no-verify-ssl \
--endpoint-url https://es.us-east-1.amazonaws.com \
--region us-east-1
```
Per aggiornare un dominio esistente:
```
aws opensearch update-domain-config \
--domain-name testDomain \
--advanced-security-options '{"Enabled":true,"InternalUserDatabaseEnabled":true,"MasterUserOptions":{"MasterUserName":"********","MasterUserPassword":"********"}, "IAMFederationOptions":{"Enabled": true,"SubjectKey":"TestSubjectKey","RolesKey":"TestRolesKey"}}' \
--ebs-options "EBSEnabled=true,VolumeType=gp2,VolumeSize=300" \
--no-verify-ssl \
--endpoint-url https://es.us-east-1.amazonaws.com \
--region us-east-1
```
### Attività 3: configurare SAML nelle raccolte OpenSearch Serverless
**Per configurare il controllo granulare degli accessi basato su SAML in Serverless OpenSearch**
1. Apri Console di gestione AWS e accedi al OpenSearch servizio Amazon.
1. Nel pannello di navigazione, in **Serverless**, scegli **Sicurezza**, quindi scegli **Autenticazione**.
1. Nella sezione **IAM Federation**, seleziona **Modifica**.
Puoi controllare il controllo granulare degli accessi basato sugli attributi SAML utilizzando questa configurazione. IAM Federation è disabilitata per impostazione predefinita.
1. Seleziona **Abilita IAM Federation**.
1. Inserisci i `roleKey` valori `subjectKey` and che hai definito in Okta.
Per ulteriori informazioni, consulta [Attributi SAML per un controllo granulare degli accessi](#saml-fgac-key-attributes).
1. Seleziona **Salva**.
1. Nel riquadro di navigazione sotto **Serverless**, scegli Politica di **accesso ai dati**.
1. Aggiorna una politica esistente o creane una nuova.
1. Espandi una regola, scegli **Aggiungi principi**, quindi seleziona **Utenti e gruppi della Federazione IAM**.
1. **Aggiungi i principali richiesti e scegli Salva.**
1. Scegliere **Concedi**.
1. In base a questa regola, procedi come segue:
+ Seleziona le autorizzazioni che desideri definire per i principali selezionati.
+ Specificate le raccolte a cui desiderate applicare le autorizzazioni.
+ Facoltativamente, definisci le autorizzazioni a livello di indice.
**Nota**
È possibile creare più regole per assegnare autorizzazioni diverse a diversi gruppi di responsabili.
1. Al termine, scegli **Save** (Salva).
1. Scegli **Create** (Crea).
In alternativa, puoi utilizzare la CLI per creare le configurazioni di sicurezza per le raccolte, come indicato di seguito:
```
aws opensearchserverless create-security-config --region "region" --type iamfederation --name "configuration_name" --description "description" --iam-federation-options '{"groupAttribute":"GroupKey","userAttribute":"UserKey"}'
```
# Gestione delle associazioni delle fonti di dati e delle autorizzazioni di accesso al Virtual Private Cloud
Utilizza le procedure in questa sezione per gestire le associazioni delle fonti di dati e configurare le autorizzazioni di accesso necessarie per un cloud privato virtuale (VPC).
**Topics**
+ [Associazione di una fonte di dati a un'applicazione UI OpenSearch](#application-data-source-association)
+ [Gestione dell'accesso ai domini in un VPC](#application-manage-vpc-access)
+ [Configurazione dell'accesso alle raccolte OpenSearch Serverless in un VPC](#application-configure-vpc-access-serverless-connections)
## Associazione di una fonte di dati a un'applicazione UI OpenSearch
Dopo aver creato un'applicazione OpenSearch UI, puoi utilizzare la console o associarla AWS CLI a una o più fonti di dati. Dopodiché, gli utenti finali possono recuperare i dati da queste fonti di dati per effettuare ricerche, lavorare con i dashboard e così via.
### Associa un'origine dati a un'applicazione OpenSearch UI (console)
**Per associare un'origine dati a un'applicazione OpenSearch UI utilizzando la console**
1. Accedi alla console di Amazon OpenSearch Service da [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home).
1. Scegli **OpenSearch UI (dashboard)**, quindi scegli il nome di un'applicazione OpenSearch UI.
1. Nell'area **Origini dati associate**, scegli **Gestisci fonti di dati**.
1. Scegli tra i OpenSearch domini e le raccolte che desideri associare all'applicazione.
**Suggerimento**
Se non riesci a trovare le fonti di dati che stai cercando, contatta i tuoi amministratori per concederti le autorizzazioni necessarie. Per ulteriori informazioni, consulta [Autorizzazioni per creare un'applicazione che utilizza l'autenticazione IAM Identity Center (opzionale)](application-getting-started.md#prerequisite-permissions-idc).
1. Scegli **Avanti**, quindi scegli **Salva**.
Dopo aver associato un'origine dati all'applicazione, il pulsante **Avvia applicazione** viene abilitato nella pagina dei dettagli dell'applicazione. Puoi scegliere **Launch Application** per aprire la OpenSearch pagina **Benvenuto**, in cui puoi creare e gestire aree di lavoro.
Per informazioni sull'utilizzo delle aree di lavoro, consulta. [Utilizzo delle aree di lavoro OpenSearch di Amazon Service](application-workspaces.md)
## Gestione dell'accesso ai domini in un VPC
Se all'applicazione era associato un OpenSearch dominio in un VPC, un amministratore VPC deve autorizzare l'accesso tra l'interfaccia utente OpenSearch e il VPC utilizzando la console o. AWS CLI
### Gestione dell'accesso ai domini in un VPC (console)
**Per configurare l'accesso a un dominio VPC utilizzando: Console di gestione AWS**
1. Accedi alla console di Amazon OpenSearch Service da [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home).
1. Nel riquadro di navigazione a sinistra, scegli **Domini**, quindi scegli il nome del dominio VPC.
oppure
Scegli **Crea dominio**, quindi configura i dettagli per il dominio.
1. **Scegli la scheda **Endpoint VPC**, quindi scegli Autorizza principale.**
1. Nella finestra di dialogo **Autorizza i principali**, seleziona **Autorizza i principali da altri AWS servizi**, quindi scegli **OpenSearch le applicazioni** (Dashboard) dall'elenco.
1. Seleziona **Authorize** (Autorizza).
### Gestione dell'accesso ai domini in un AWS CLI VPC ()
**Per autorizzare un dominio VPC utilizzando AWS CLI**
Per autorizzare il dominio VPC utilizzando, eseguire AWS CLI il comando seguente. Sostituisci *placeholder values* con le informazioni appropriate.
```
aws opensearch authorize-vpc-endpoint-access \
--domain-name domain-name \
--service application.opensearchservice.amazonaws.com \
--region region-id
```
**Per revocare un'associazione di dominio VPC utilizzando la console**
Quando un'associazione non è più necessaria, il proprietario del dominio VPC può revocare l'accesso utilizzando la procedura seguente.
1. Accedi alla console di Amazon OpenSearch Service da [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home).
1. Nel riquadro di navigazione a sinistra, scegli **Domini**, quindi scegli il nome del dominio VPC.
1. Scegli la scheda **Endpoint VPC**, quindi seleziona il pulsante per la riga **OpenSearch Applicazioni (Dashboard)**.
1. Scegli **Revoca accesso**.
**Per revocare un'associazione di dominio VPC utilizzando AWS CLI**
Per revocare un'associazione di dominio VPC con l'applicazione OpenSearch UI, esegui il comando seguente. Sostituisci *placeholder values* con le informazioni appropriate.
```
aws opensearch revoke-vpc-endpoint-access \
--domain-name domain-name \
--service application.opensearchservice.amazonaws.com \
--region region-id
```
## Configurazione dell'accesso alle raccolte OpenSearch Serverless in un VPC
Se all'applicazione è stata associata una raccolta Amazon OpenSearch Serverless in un VPC, un amministratore VPC può autorizzare l'accesso creando una nuova policy di rete e allegandola alla raccolta.
### Configurazione dell'accesso alle raccolte OpenSearch Serverless in un VPC (console)
**Per configurare l'accesso alle raccolte OpenSearch Serverless in un VPC utilizzando la console**
1. Accedi alla console di Amazon OpenSearch Service da [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home).
1. Nella barra di navigazione a sinistra, scegli **Politiche di rete**, scegli il nome della politica di rete, quindi scegli **Modifica**.
oppure
Scegli **Crea politica di rete**, quindi configura i dettagli della politica.
1. Nell'area **Tipo di accesso**, scegli **Privato (consigliato)**, quindi seleziona **Accesso privato al AWS servizio**.
1. Nel campo di ricerca, scegli **Servizio**, quindi scegli`application.opensearchservice.amazonaws.com`.
1. Nell'area **Tipo di risorsa**, seleziona la casella **Abilita l'accesso all' OpenSearch endpoint**.
1. Per **Cerca raccolte, o inserisci termini di prefisso specifici**, nel campo di ricerca, seleziona **Nome raccolta**, quindi inserisci o seleziona il nome delle raccolte da associare alla politica di rete.
1. Scegli **Crea** per una nuova politica di rete o **Aggiorna** per una politica di rete esistente.
### Configurazione dell'accesso alle raccolte OpenSearch Serverless in un VPC ()AWS CLI
**Per configurare l'accesso alle raccolte OpenSearch Serverless in un VPC utilizzando AWS CLI**
1. Crea un file.json simile al seguente. Sostituisci *placeholder values* con le informazioni appropriate.
```
{
"Description" : "policy-description",
"Rules": [{
"ResourceType" : "collection",
"Resource" : ["collection/collection_name"]
}],
"SourceServices" : [
"application.opensearchservice.amazonaws.com"
],
"AllowFromPublic" : false
}
```
1. Crea o aggiorna una policy di rete per una raccolta in un VPC per lavorare con le applicazioni OpenSearch dell'interfaccia utente.
------
#### [ Create a network policy ]
Eseguire il seguente comando seguente. Sostituisci *placeholder values* con le informazioni appropriate.
```
aws opensearchserverless create-security-policy \
--type network \
--region region \
--endpoint-url endpoint-url \
--name network-policy-name \
--policy file:/path_to_network_policy_json_file
```
Questo comando restituisce informazioni simili alle seguenti:
```
{
"securityPolicyDetail": {
"createdDate": ******,
"lastModifiedDate": ******,
"name": "network-policy-name",
"policy": [
{
"SourceVPCEs": [],
"AllowFromPublic": false,
"Description": "",
"Rules": [
{
"Resource": [
"collection/network-policy-name"
],
"ResourceType": "collection"
}
],
"SourceServices": [
"application.opensearchservice.amazonaws.com"
]
}
],
"policyVersion": "******",
"type": "network"
}
}
```
------
#### [ Update a network policy ]
Eseguire il seguente comando seguente. Sostituisci *placeholder values* con le informazioni appropriate.
```
aws opensearchserverless update-security-policy \
--type network \
--region region \
--endpoint-url endpoint-url \
--name network-policy-name \
--policy-version "policy_version_from_output_of_network_policy_creation" \
--policy file:/path_to_network_policy_json_file
```
Questo comando restituisce informazioni simili alle seguenti:
```
{
"securityPolicyDetail": {
"createdDate": ******,
"lastModifiedDate": ******,
"name": "network-policy-name",
"policy": [
{
"SourceVPCEs": [],
"AllowFromPublic": false,
"Description": "",
"Rules": [
{
"Resource": [
"collection/network-policy-name"
],
"ResourceType": "collection"
}
],
"SourceServices": [
"application.opensearchservice.amazonaws.com"
]
}
],
"policyVersion": "******",
"type": "network"
}
}
```
------
# Utilizzo delle aree di lavoro OpenSearch di Amazon Service
Amazon OpenSearch Service supporta la creazione di più aree di lavoro specifiche per ogni caso d'uso. Ogni area di lavoro offre un'esperienza curata per casi d'uso comuni come Observability, Security Analytics e Search. Workspace supporta anche la gestione dei collaboratori, in modo da poter condividere l'area di lavoro solo con i collaboratori previsti e gestire le autorizzazioni per ciascuno di essi.
## OpenSearch Creazione di aree di lavoro per applicazioni UI
Dopo aver creato e associato un'applicazione OpenSearch UI alle fonti di dati e aver configurato le autorizzazioni utente per l'applicazione, puoi avviare l'applicazione OpenSearch UI per creare aree di lavoro.
Per iniziare a creare un'area di lavoro, potete selezionare il pulsante **Avvia applicazione** nella pagina dei dettagli dell'applicazione o utilizzare l'URL dell'applicazione OpenSearch UI per aprire la home page dell'applicazione OpenSearch UI in una nuova finestra del browser.
L'applicazione OpenSearch UI offre opzioni per la creazione di aree di lavoro ed elenca tutte le aree di lavoro esistenti nella home page, classificate per caso d'uso.
![\[L'area «I miei spazi di lavoro» nella console può essere utilizzata per creare cinque diversi tipi di aree di lavoro: Observability, Security analytics, Search, Essentials e Analytics. Puoi anche visualizzare tutte le aree di lavoro esistenti nell'area «I miei spazi di lavoro».\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/images/workspaces.png)
Per ulteriori informazioni sui tipi di aree di lavoro supportati, consulta. [Tipi di aree di lavoro](#application-workspaces-types)
## Privacy dello spazio di lavoro e collaboratori
Puoi definire un'impostazione di privacy per un'area di lavoro come livello di autorizzazione predefinito per tutti gli utenti. **Puoi farlo durante la creazione di un'area di lavoro o modificare un'area di lavoro esistente (nella scheda Collaboratori dell'area di lavoro).** Esistono tre opzioni di privacy tra cui scegliere:
+ **Privato per i collaboratori**: solo i collaboratori che aggiungi esplicitamente all'area di lavoro possono accedere all'area di lavoro. Puoi definire i livelli di autorizzazione per ogni collaboratore.
+ ****Tutti possono visualizzare****: chiunque abbia accesso all'applicazione OpenSearch UI può accedere all'area di lavoro e visualizzarne le risorse, ma non può apportare modifiche all'area di lavoro.
+ ****Chiunque può modificare****: chiunque abbia accesso all'applicazione OpenSearch UI può accedere all'area di lavoro, visualizzare le risorse al suo interno e apportare modifiche alle risorse nell'area di lavoro.
Nella scheda **Collaboratori** dello spazio di lavoro, puoi aggiungere utenti o ruoli IAM e AWS IAM Identity Center utenti come collaboratori in uno spazio di lavoro. I collaboratori possono scegliere tra tre livelli di autorizzazioni:
+ **Sola lettura**: il collaboratore può solo visualizzare le risorse nell'area di lavoro. Questa impostazione viene sostituita se l'area di lavoro è configurata per utilizzare l'impostazione sulla privacy **Chiunque può** modificare.
+ **Lettura e scrittura**: il collaboratore può visualizzare e modificare le risorse nell'area di lavoro. Se l'area di lavoro è configurata per utilizzare l'impostazione sulla privacy **Chiunque può visualizzare**, il collaboratore può comunque apportare modifiche.
+ **Amministratore**: il collaboratore può aggiornare le impostazioni ed eliminare l'area di lavoro. Il collaboratore può anche modificare le impostazioni sulla privacy dell'area di lavoro e gestire i collaboratori. L'utente che crea l'area di lavoro viene automaticamente assegnato come amministratore dell'area di lavoro.
## Tipi di aree di lavoro
Amazon OpenSearch Service offre cinque tipi di spazio di lavoro, ognuno con caratteristiche diverse per i diversi casi d'uso:
+ L'area **di lavoro Observability** è progettata per ottenere visibilità sullo stato, le prestazioni e l'affidabilità del sistema attraverso il monitoraggio di log, metriche e tracce.
+ L'area di lavoro **Security Analytics** è progettata per rilevare e indagare su potenziali minacce e vulnerabilità alla sicurezza nei sistemi e nei dati.
+ L'area **di lavoro Search** è progettata per trovare ed esplorare rapidamente le informazioni pertinenti tra le fonti di dati dell'organizzazione.
+ L'area di lavoro **Essentials** è progettata per OpenSearch Serverless come fonte di dati e consente di analizzare i dati per ricavare informazioni, identificare modelli e tendenze e prendere rapidamente decisioni basate sui dati. **Puoi trovare ed esplorare le informazioni pertinenti nelle fonti di dati della tua organizzazione in un'area di lavoro Essentials.**
+ L'area di lavoro **Analytics** (tutte le funzionalità) è progettata per casi d'uso multiuso e supporta tutte le funzionalità disponibili nell'interfaccia utente di OpenSearch servizio (dashboard).
# Accesso ai dati tra regioni e account diversi
OpenSearch L'interfaccia utente supporta l'accesso ai dati da OpenSearch domini su diversi server Account AWS. Regione AWS Puoi scegliere tra due approcci a seconda delle tue esigenze. La tabella seguente mette a confronto i due approcci.
**Nota**
Sia l'accesso ai dati tra account che la ricerca tra cluster funzionano solo con i domini. OpenSearch Nessuno dei due approcci supporta OpenSearch le raccolte Serverless.
| Aspetto | Accesso ai dati tra account | Funzionalità di ricerca tra cluster |
| --- | --- | --- |
| Funzionalità | Associa i domini di altri account come fonti di dati dirette nell'interfaccia utente OpenSearch | Interroga i dati su domini connessi utilizzando connessioni di ricerca tra cluster |
| Meccanismo | Accesso diretto: l' OpenSearch interfaccia utente si connette direttamente al dominio di destinazione in un altro account | Accesso indiretto: richiede un dominio locale nello stesso account dell' OpenSearch interfaccia utente per inoltrare le richieste ai domini remoti |
| Supporto multi-account | Sì | Sì |
| Supporto tra regioni | No, i domini di origine e di destinazione devono appartenere allo stesso Regione AWS | Sì, i domini di origine e di destinazione possono trovarsi in diversi Regione AWS |
| Unisci i dati tra i domini | No, ogni dominio viene interrogato in modo indipendente come fonte di dati separata | Sì, una singola query può aggregare i risultati di più domini connessi |
| Metodi di autenticazione | IAM e AWS IAM Identity Center | IAM (con controllo granulare degli accessi) |
| Complessità della configurazione | Inferiore: richiede un ruolo IAM su più account per la convalida | Superiore: richiede connessioni tra cluster, politiche di accesso su entrambi i domini e un controllo granulare degli accessi |
| Visibilità delle fonti di dati nell'interfaccia utente OpenSearch | Ogni dominio tra account viene visualizzato come una fonte di dati separata | Si accede ai domini remoti tramite gli alias di connessione del dominio di origine locale |
| Accesso in scrittura al dominio remoto | Sì, controllato dalla politica di accesso del dominio di destinazione | No: la ricerca tra cluster fornisce l'accesso in sola lettura ai domini remoti |
**Topics**
+ [Accesso ai dati tra account diversi ai domini OpenSearch](application-cross-account-data-access-domains.md)
+ [Funzionalità di ricerca tra cluster](application-cross-cluster-search.md)
# Accesso ai dati tra account diversi ai domini OpenSearch
Puoi configurare le applicazioni OpenSearch dell'interfaccia utente in un account per accedere ai OpenSearch domini di account diversi. Quando OpenSearch crei un'applicazione UI con fonti di dati tra account diversi, fornisci un elemento `iamRoleForDataSourceArn` che rimanda a un ruolo IAM nell'account di destinazione. OpenSearch L'interfaccia utente convalida la richiesta assumendo questo ruolo e chiamando `es:DescribeDomain` per verificare l'accessibilità del dominio. Il ruolo tra account diversi viene utilizzato solo per la convalida del piano di controllo. L'accesso al piano dati è controllato separatamente dalla politica di accesso del dominio di destinazione.
**Codice di esempio**
Gli esempi di codice in questo argomento sono solo a scopo illustrativo. Dimostrano funzionalità di base e potrebbero non includere la gestione degli errori, le migliori pratiche di sicurezza o le funzionalità pronte per la produzione. Prima di utilizzare il codice di esempio in produzione, esaminatelo e modificatelo per soddisfare i vostri requisiti specifici e testatelo accuratamente nel vostro ambiente.
## Concetti chiave
Account di origine
Il Account AWS che ospita la tua applicazione OpenSearch UI.
Account Target
Il Account AWS luogo in cui risiede il OpenSearch dominio.
Ruolo tra account
Un ruolo IAM nell'account di destinazione utilizzato solo per la convalida del piano di controllo. Questo ruolo richiede solo l'`es:DescribeDomain`autorizzazione.
Ruolo applicativo IAM Identity Center
Un ruolo IAM nell'account di origine utilizzato per l'accesso al piano dati degli utenti di IAM Identity Center.
## Prerequisiti
Prima di configurare l'accesso ai dati tra account diversi, assicurati di disporre di quanto segue:
+ AWS CLI installato e configurato
+ Accesso sia ai file di origine che a quelli Account AWS di destinazione
+ Per i flussi di IAM Identity Center: un'istanza AWS IAM Identity Center dell'organizzazione
## Scenari
Scegli lo scenario che corrisponde al tuo metodo di autenticazione e alla configurazione del dominio:
+ [Scenario 1: utente IAM che accede a un dominio pubblico](#cross-account-scenario-1)
+ [Scenario 2: utente di IAM Identity Center che accede a un dominio pubblico](#cross-account-scenario-2)
+ [Scenario 3: utente IAM che accede a un dominio VPC](#cross-account-scenario-3)
+ [Scenario 4: utente IAM Identity Center che accede a un dominio VPC](#cross-account-scenario-4)
## Scenario 1: utente IAM che accede a un dominio pubblico
### Fase 1: Creare il ruolo IAM per più account (account di destinazione)
Crea un ruolo IAM nell'account di destinazione che consenta all'account di origine di assumerlo per la convalida del dominio.
**Per creare il ruolo tra account**
1. Crea una politica di fiducia che consenta all'account di origine di assumere il ruolo:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::source-account-id:root"
},
"Action": "sts:AssumeRole"
}]
}
```
1. Crea il ruolo:
```
aws iam create-role \
--role-name OpenSearchUIAccessRole \
--assume-role-policy-document file://trust-policy.json
```
1. Crea una politica di autorizzazioni con la sola `es:DescribeDomain` azione:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "es:DescribeDomain",
"Resource": "arn:aws:es:region:target-account-id:domain/*"
}]
}
```
1. Allega la politica delle autorizzazioni al ruolo:
```
aws iam put-role-policy \
--role-name OpenSearchUIAccessRole \
--policy-name ValidationOnly \
--policy-document file://permissions-policy.json
```
### Fase 2: Creare il OpenSearch dominio (account di destinazione)
Crea un OpenSearch dominio nell'account di destinazione con il controllo granulare degli accessi e la crittografia abilitati:
```
aws opensearch create-domain \
--domain-name domain-name \
--engine-version OpenSearch_2.19 \
--cluster-config InstanceType=m5.large.search,InstanceCount=1 \
--ebs-options "EBSEnabled=true,VolumeType=gp3,VolumeSize=100" \
--advanced-security-options '{"Enabled":true,"InternalUserDatabaseEnabled":true,"MasterUserOptions":{"MasterUserName":"admin","MasterUserPassword":"master-password"}}' \
--node-to-node-encryption-options '{"Enabled":true}' \
--encryption-at-rest-options '{"Enabled":true}' \
--domain-endpoint-options '{"EnforceHTTPS":true,"TLSSecurityPolicy":"Policy-Min-TLS-1-2-2019-07"}' \
--access-policies '{"Version":"2012-10-17", "Statement":[{"Effect":"Allow","Principal":{"AWS":"*"},"Action":"es:ESHttp*","Resource":"arn:aws:es:region:target-account-id:domain/domain-name/*"}]}' \
--region region
```
Attendi che lo stato del dominio diventi `Active` tale prima di procedere.
### Fase 3: Creare l'applicazione OpenSearch UI (account di origine)
Crea l'applicazione nell'account di origine con l'origine dati tra account:
```
aws opensearch create-application \
--region region \
--name "cross-account-iam-app" \
--data-sources '[{
"dataSourceArn":"arn:aws:es:region:target-account-id:domain/domain-name",
"dataSourceDescription":"Cross-account domain",
"iamRoleForDataSourceArn":"arn:aws:iam::target-account-id:role/OpenSearchUIAccessRole"
}]' \
--app-configs '[{"key":"opensearchDashboards.dashboardAdmin.users","value":"[\"*\"]"}]'
```
### Fase 4: Verifica e accedi
Recupera i dettagli dell'applicazione per ottenere l'URL dell'endpoint:
```
aws opensearch get-application \
--region region \
--id application-id
```
+ Passa all'URL dell'endpoint dell'applicazione dalla risposta.
+ Accedi con le credenziali IAM.
+ L'utente IAM firma le richieste del piano dati con le proprie credenziali.
+ La policy di accesso al dominio di destinazione controlla a quali dati l'utente può accedere.
## Scenario 2: utente di IAM Identity Center che accede a un dominio pubblico
### Fase 1: Creare il ruolo IAM per più account (account di destinazione)
Crea un ruolo IAM nell'account di destinazione che consenta all'account di origine di assumerlo per la convalida del dominio.
**Per creare il ruolo tra account**
1. Crea una politica di fiducia che consenta all'account di origine di assumere il ruolo:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::source-account-id:root"
},
"Action": "sts:AssumeRole"
}]
}
```
1. Crea il ruolo:
```
aws iam create-role \
--role-name OpenSearchUIAccessRole \
--assume-role-policy-document file://trust-policy.json
```
1. Crea una politica di autorizzazioni con la sola `es:DescribeDomain` azione:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "es:DescribeDomain",
"Resource": "arn:aws:es:region:target-account-id:domain/*"
}]
}
```
1. Allega la politica delle autorizzazioni al ruolo:
```
aws iam put-role-policy \
--role-name OpenSearchUIAccessRole \
--policy-name ValidationOnly \
--policy-document file://permissions-policy.json
```
### Fase 2: Creare il OpenSearch dominio (account di destinazione)
Crea un OpenSearch dominio nell'account di destinazione. Utilizza lo stesso comando[Fase 2: Creare il OpenSearch dominio (account di destinazione)](#scenario-1-step-2), ma aggiorna la policy di accesso per consentire il ruolo dell'applicazione IAM Identity Center dall'account di origine:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::source-account-id:role/NeoIdCAppRole"
},
"Action": "es:ESHttp*",
"Resource": "arn:aws:es:region:target-account-id:domain/domain-name/*"
}]
}
```
Attendi che lo stato del dominio diventi tale `Active` prima di procedere.
### Fase 3: Creare il ruolo IAM per l'applicazione IAM Identity Center (account di origine)
Crea un ruolo IAM nell'account di origine che l' OpenSearch interfaccia utente utilizza per l'accesso al piano dati degli utenti di IAM Identity Center.
**Per creare il ruolo applicativo IAM Identity Center**
1. Crea una politica di fiducia:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "application.opensearchservice.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Effect": "Allow",
"Principal": {
"Service": "application.opensearchservice.amazonaws.com"
},
"Action": "sts:SetContext",
"Condition": {
"ForAllValues:ArnEquals": {
"sts:RequestContextProviders": "arn:aws:iam::source-account-id:oidc-provider/portal.sso.region.amazonaws.com/apl/application-id"
}
}
}
]
}
```
1. Crea una politica di autorizzazioni:
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "OpenSearchDomain",
"Effect": "Allow",
"Action": ["es:ESHttp*"],
"Resource": "*"
}]
}
```
1. Crea il ruolo e allega le politiche:
```
aws iam create-role \
--role-name NeoIdCAppRole \
--assume-role-policy-document file://neoidc-trust-policy.json
aws iam put-role-policy \
--role-name NeoIdCAppRole \
--policy-name NeoIdCAppPermissions \
--policy-document file://neoidc-permissions-policy.json
```
### Fase 4: Creare l'applicazione OpenSearch UI con IAM Identity Center (account di origine)
```
aws opensearch create-application \
--region region \
--name "cross-account-idc-app" \
--iam-identity-center-options '{
"enabled":true,
"iamIdentityCenterInstanceArn":"arn:aws:sso:::instance/ssoins-instance-id",
"iamRoleForIdentityCenterApplicationArn":"arn:aws:iam::source-account-id:role/NeoIdCAppRole"
}' \
--data-sources '[{
"dataSourceArn":"arn:aws:es:region:target-account-id:domain/domain-name",
"dataSourceDescription":"Cross-account domain",
"iamRoleForDataSourceArn":"arn:aws:iam::target-account-id:role/OpenSearchUIAccessRole"
}]' \
--app-configs '[{"key":"opensearchDashboards.dashboardAdmin.users","value":"[\"*\"]"}]'
```
### Fase 5: Creare e assegnare utenti e gruppi di IAM Identity Center
**Crea un utente IAM Identity Center**
Eseguire il seguente comando seguente. Sostituisci *placeholder values* con le informazioni appropriate.
```
aws identitystore create-user \
--identity-store-id d-directory-id \
--user-name user-email \
--display-name "display-name" \
--name Formatted=string,FamilyName=last-name,GivenName=first-name \
--emails Value=user-email,Type=work,Primary=true
```
**Crea un gruppo IAM Identity Center e aggiungi l'utente**
Esegui i comandi seguenti:
```
aws identitystore create-group \
--identity-store-id d-directory-id \
--display-name "OpenSearchUsers" \
--description "Users with OpenSearch access"
aws identitystore create-group-membership \
--identity-store-id d-directory-id \
--group-id group-id \
--member-id UserId=user-id
```
**Assegna l'utente o il gruppo all'applicazione**
Esegui il comando seguente:
```
aws sso-admin create-application-assignment \
--application-arn "arn:aws:sso:::source-account-id:application/ssoins-instance-id/apl-application-id" \
--principal-id user-id-or-group-id \
--principal-type USER
```
**Configura la mappatura dei ruoli di backend sul dominio di destinazione**
Mappa il gruppo IAM Identity Center su un ruolo OpenSearch di sicurezza nel dominio di destinazione:
```
curl -XPUT "https://domain-endpoint/_plugins/_security/api/rolesmapping/all_access" \
-u admin:master-password \
-H 'Content-Type: application/json' \
-d '{
"backend_roles": ["group-id"],
"hosts": [],
"users": []
}'
```
### Fase 6: Verifica e accesso
```
aws opensearch get-application \
--region region \
--id application-id
```
+ Vai all'URL dell'endpoint dell'applicazione.
+ Accedi con le credenziali utente di IAM Identity Center.
+ Le richieste di dati degli utenti di IAM Identity Center vengono firmate con il ruolo applicativo IAM Identity Center, non con il ruolo tra account.
+ Le mappature dei ruoli di backend sul dominio controllano le autorizzazioni di accesso ai dati.
## Scenario 3: utente IAM che accede a un dominio VPC
### Fase 1: Creare il ruolo IAM per più account (account di destinazione)
Crea un ruolo IAM nell'account di destinazione che consenta all'account di origine di assumerlo per la convalida del dominio.
**Per creare il ruolo tra account**
1. Crea una politica di fiducia che consenta all'account di origine di assumere il ruolo:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::source-account-id:root"
},
"Action": "sts:AssumeRole"
}]
}
```
1. Crea il ruolo:
```
aws iam create-role \
--role-name OpenSearchUIAccessRole \
--assume-role-policy-document file://trust-policy.json
```
1. Crea una politica di autorizzazioni con la sola `es:DescribeDomain` azione:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "es:DescribeDomain",
"Resource": "arn:aws:es:region:target-account-id:domain/*"
}]
}
```
1. Allega la politica delle autorizzazioni al ruolo:
```
aws iam put-role-policy \
--role-name OpenSearchUIAccessRole \
--policy-name ValidationOnly \
--policy-document file://permissions-policy.json
```
### Fase 2: Configurare il VPC (account di destinazione)
Salta questo passaggio se nell'account di destinazione esiste già un VPC.
```
# Create VPC
aws ec2 create-vpc \
--cidr-block 10.0.0.0/16 \
--region region
# Create subnet
aws ec2 create-subnet \
--vpc-id vpc-id \
--cidr-block 10.0.1.0/24 \
--availability-zone regiona \
--region region
# Create security group
aws ec2 create-security-group \
--group-name opensearch-vpc-sg \
--description "Security group for OpenSearch VPC domain" \
--vpc-id vpc-id \
--region region
# Allow inbound HTTPS
aws ec2 authorize-security-group-ingress \
--group-id security-group-id \
--protocol tcp \
--port 443 \
--cidr 10.0.0.0/16 \
--region region
```
Scopri di più sulla [creazione di domini VPC](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html).
### Fase 3: Creare il dominio VPC (account di destinazione)
```
aws opensearch create-domain \
--domain-name vpc-domain-name \
--engine-version OpenSearch_2.19 \
--cluster-config InstanceType=m5.large.search,InstanceCount=1 \
--ebs-options "EBSEnabled=true,VolumeType=gp3,VolumeSize=100" \
--vpc-options "SubnetIds=subnet-id,SecurityGroupIds=security-group-id" \
--advanced-security-options '{"Enabled":true,"InternalUserDatabaseEnabled":true,"MasterUserOptions":{"MasterUserName":"admin","MasterUserPassword":"master-password"}}' \
--node-to-node-encryption-options '{"Enabled":true}' \
--encryption-at-rest-options '{"Enabled":true}' \
--domain-endpoint-options '{"EnforceHTTPS":true,"TLSSecurityPolicy":"Policy-Min-TLS-1-2-2019-07"}' \
--access-policies '{"Version":"2012-10-17", "Statement":[{"Effect":"Allow","Principal":{"AWS":"*"},"Action":"es:ESHttp*","Resource":"arn:aws:es:region:target-account-id:domain/vpc-domain-name/*"}]}' \
--region region
```
Attendi che lo stato del dominio diventi tale `Active` prima di procedere.
### Passaggio 4: autorizzare l'endpoint VPC per il principale OpenSearch del servizio UI (account di destinazione)
**Importante**
Si tratta di un passaggio fondamentale che riguarda esclusivamente i domini VPC. Il servizio OpenSearch UI deve essere esplicitamente autorizzato ad accedere all'endpoint VPC.
```
# Authorize the service principal
aws opensearch authorize-vpc-endpoint-access \
--domain-name vpc-domain-name \
--service "application.opensearchservice.amazonaws.com" \
--region region
# Verify authorization
aws opensearch list-vpc-endpoint-access \
--domain-name vpc-domain-name \
--region region
```
Risposta prevista:
```
{
"AuthorizedPrincipalList": [
{
"PrincipalType": "AWS_SERVICE",
"Principal": "application.opensearchservice.amazonaws.com"
}
]
}
```
### Fase 5: Creare l'applicazione OpenSearch UI (account di origine)
```
aws opensearch create-application \
--region region \
--name "cross-account-vpc-iam-app" \
--data-sources '[{
"dataSourceArn":"arn:aws:es:region:target-account-id:domain/vpc-domain-name",
"dataSourceDescription":"Cross-account VPC domain",
"iamRoleForDataSourceArn":"arn:aws:iam::target-account-id:role/OpenSearchUIAccessRole"
}]' \
--app-configs '[{"key":"opensearchDashboards.dashboardAdmin.users","value":"[\"*\"]"}]'
```
### Passaggio 6: verifica e accesso
Recupera i dettagli dell'applicazione per ottenere l'URL dell'endpoint:
```
aws opensearch get-application \
--region region \
--id application-id
```
+ Passa all'URL dell'endpoint dell'applicazione dalla risposta.
+ Accedi con le credenziali IAM.
+ L'utente IAM firma le richieste del piano dati con le proprie credenziali.
+ La policy di accesso al dominio di destinazione controlla a quali dati l'utente può accedere.
## Scenario 4: utente IAM Identity Center che accede a un dominio VPC
### Fase 1: Creare il ruolo IAM per più account (account di destinazione)
Crea un ruolo IAM nell'account di destinazione che consenta all'account di origine di assumerlo per la convalida del dominio.
**Per creare il ruolo tra account**
1. Crea una politica di fiducia che consenta all'account di origine di assumere il ruolo:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::source-account-id:root"
},
"Action": "sts:AssumeRole"
}]
}
```
1. Crea il ruolo:
```
aws iam create-role \
--role-name OpenSearchUIAccessRole \
--assume-role-policy-document file://trust-policy.json
```
1. Crea una politica di autorizzazioni con la sola `es:DescribeDomain` azione:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "es:DescribeDomain",
"Resource": "arn:aws:es:region:target-account-id:domain/*"
}]
}
```
1. Allega la politica delle autorizzazioni al ruolo:
```
aws iam put-role-policy \
--role-name OpenSearchUIAccessRole \
--policy-name ValidationOnly \
--policy-document file://permissions-policy.json
```
### Fase 2: Configurare il VPC (account di destinazione)
Salta questo passaggio se nell'account di destinazione esiste già un VPC.
```
# Create VPC
aws ec2 create-vpc \
--cidr-block 10.0.0.0/16 \
--region region
# Create subnet
aws ec2 create-subnet \
--vpc-id vpc-id \
--cidr-block 10.0.1.0/24 \
--availability-zone regiona \
--region region
# Create security group
aws ec2 create-security-group \
--group-name opensearch-vpc-sg \
--description "Security group for OpenSearch VPC domain" \
--vpc-id vpc-id \
--region region
# Allow inbound HTTPS
aws ec2 authorize-security-group-ingress \
--group-id security-group-id \
--protocol tcp \
--port 443 \
--cidr 10.0.0.0/16 \
--region region
```
Scopri di più sulla [creazione di domini VPC](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html).
### Fase 3: Creare il dominio VPC (account di destinazione)
Utilizza lo stesso comando[Fase 3: Creare il dominio VPC (account di destinazione)](#scenario-3-step-3), ma aggiorna la policy di accesso per consentire il ruolo dell'applicazione IAM Identity Center dall'account di origine:
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::source-account-id:role/NeoIdCAppRole"
},
"Action": "es:ESHttp*",
"Resource": "arn:aws:es:region:target-account-id:domain/vpc-domain-name/*"
}]
}
```
Attendi che lo stato del dominio diventi tale `Active` prima di procedere.
### Passaggio 4: autorizzare l'endpoint VPC per il principale OpenSearch del servizio UI (account di destinazione)
**Importante**
Si tratta di un passaggio fondamentale che riguarda esclusivamente i domini VPC. Il servizio OpenSearch UI deve essere esplicitamente autorizzato ad accedere all'endpoint VPC.
```
# Authorize the service principal
aws opensearch authorize-vpc-endpoint-access \
--domain-name vpc-domain-name \
--service "application.opensearchservice.amazonaws.com" \
--region region
# Verify authorization
aws opensearch list-vpc-endpoint-access \
--domain-name vpc-domain-name \
--region region
```
Risposta prevista:
```
{
"AuthorizedPrincipalList": [
{
"PrincipalType": "AWS_SERVICE",
"Principal": "application.opensearchservice.amazonaws.com"
}
]
}
```
### Fase 5: Creare il ruolo IAM per l'applicazione IAM Identity Center (account di origine)
Crea un ruolo IAM nell'account di origine che l' OpenSearch interfaccia utente utilizza per l'accesso al piano dati degli utenti di IAM Identity Center.
**Per creare il ruolo applicativo IAM Identity Center**
1. Crea una politica di fiducia:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "application.opensearchservice.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Effect": "Allow",
"Principal": {
"Service": "application.opensearchservice.amazonaws.com"
},
"Action": "sts:SetContext",
"Condition": {
"ForAllValues:ArnEquals": {
"sts:RequestContextProviders": "arn:aws:iam::source-account-id:oidc-provider/portal.sso.region.amazonaws.com/apl/application-id"
}
}
}
]
}
```
1. Crea una politica di autorizzazioni:
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "OpenSearchDomain",
"Effect": "Allow",
"Action": ["es:ESHttp*"],
"Resource": "*"
}]
}
```
1. Crea il ruolo e allega le politiche:
```
aws iam create-role \
--role-name NeoIdCAppRole \
--assume-role-policy-document file://neoidc-trust-policy.json
aws iam put-role-policy \
--role-name NeoIdCAppRole \
--policy-name NeoIdCAppPermissions \
--policy-document file://neoidc-permissions-policy.json
```
### Fase 6: Creare l'applicazione OpenSearch UI con IAM Identity Center (account di origine)
```
aws opensearch create-application \
--region region \
--name "cross-account-vpc-idc-app" \
--iam-identity-center-options '{
"enabled":true,
"iamIdentityCenterInstanceArn":"arn:aws:sso:::instance/ssoins-instance-id",
"iamRoleForIdentityCenterApplicationArn":"arn:aws:iam::source-account-id:role/NeoIdCAppRole"
}' \
--data-sources '[{
"dataSourceArn":"arn:aws:es:region:target-account-id:domain/vpc-domain-name",
"dataSourceDescription":"Cross-account VPC domain",
"iamRoleForDataSourceArn":"arn:aws:iam::target-account-id:role/OpenSearchUIAccessRole"
}]' \
--app-configs '[{"key":"opensearchDashboards.dashboardAdmin.users","value":"[\"*\"]"}]'
```
### Fase 7: Creare e assegnare utenti e gruppi di IAM Identity Center
**Crea un utente IAM Identity Center**
Eseguire il seguente comando seguente. Sostituisci *placeholder values* con le informazioni appropriate.
```
aws identitystore create-user \
--identity-store-id d-directory-id \
--user-name user-email \
--display-name "display-name" \
--name Formatted=string,FamilyName=last-name,GivenName=first-name \
--emails Value=user-email,Type=work,Primary=true
```
**Crea un gruppo IAM Identity Center e aggiungi l'utente**
Esegui i comandi seguenti:
```
aws identitystore create-group \
--identity-store-id d-directory-id \
--display-name "OpenSearchUsers" \
--description "Users with OpenSearch access"
aws identitystore create-group-membership \
--identity-store-id d-directory-id \
--group-id group-id \
--member-id UserId=user-id
```
**Assegna l'utente o il gruppo all'applicazione**
Esegui il comando seguente:
```
aws sso-admin create-application-assignment \
--application-arn "arn:aws:sso:::source-account-id:application/ssoins-instance-id/apl-application-id" \
--principal-id user-id-or-group-id \
--principal-type USER
```
**Configura la mappatura dei ruoli di backend sul dominio di destinazione**
Mappa il gruppo IAM Identity Center su un ruolo OpenSearch di sicurezza nel dominio di destinazione:
```
curl -XPUT "https://domain-endpoint/_plugins/_security/api/rolesmapping/all_access" \
-u admin:master-password \
-H 'Content-Type: application/json' \
-d '{
"backend_roles": ["group-id"],
"hosts": [],
"users": []
}'
```
### Fase 8: Verifica e accesso
```
aws opensearch get-application \
--region region \
--id application-id
```
+ Vai all'URL dell'endpoint dell'applicazione.
+ Accedi con le credenziali utente di IAM Identity Center.
+ Le richieste di dati degli utenti di IAM Identity Center vengono firmate con il ruolo applicativo IAM Identity Center, non con il ruolo tra account.
+ Le mappature dei ruoli di backend sul dominio controllano le autorizzazioni di accesso ai dati.
## Gestione delle applicazioni
**Aggiorna un'applicazione con fonti di dati tra account diversi**
Eseguire il seguente comando seguente. Sostituisci *placeholder values* con le informazioni appropriate.
```
aws opensearch update-application \
--region region \
--id application-id \
--data-sources '[{
"dataSourceArn":"arn:aws:es:region:target-account-id:domain/domain-1",
"dataSourceDescription":"First cross-account domain",
"iamRoleForDataSourceArn":"arn:aws:iam::target-account-id:role/OpenSearchUIAccessRole"
},{
"dataSourceArn":"arn:aws:es:region:target-account-id:domain/domain-2",
"dataSourceDescription":"Second cross-account domain",
"iamRoleForDataSourceArn":"arn:aws:iam::target-account-id:role/OpenSearchUIAccessRole"
}]'
```
**Importante**
L'operazione di aggiornamento sostituisce l'intero array di fonti di dati. Includi tutte le fonti di dati che desideri conservare.
**Elenca le applicazioni**
Esegui il comando seguente:
```
aws opensearch list-applications \
--region region
```
**Eliminazione di un'applicazione**
Esegui il comando seguente:
```
aws opensearch delete-application \
--region region \
--id application-id
```
**Revoca l'accesso agli endpoint VPC**
Esegui il comando seguente:
```
aws opensearch revoke-vpc-endpoint-access \
--domain-name vpc-domain-name \
--service "application.opensearchservice.amazonaws.com" \
--region region
```
## Riferimento rapido
Le tabelle seguenti riassumono le principali differenze tra i tipi di dominio e i metodi di autenticazione.
**Dominio pubblico rispetto al dominio VPC**
| Aspetto | Dominio pubblico | Dominio VPC |
| --- | --- | --- |
| Autorizzazione degli endpoint VPC | Campo non obbligatorio | Obbligatoria: deve autorizzare application.opensearchservice.amazonaws.com |
| Configurazione della rete | Nessuno | VPC, sottorete, gruppo di sicurezza con HTTPS (443) in ingresso |
| Politica di accesso IAM | Richiesto | Richiesto |
| Ruolo tra account | Obbligatorio per più account | Obbligatorio per più account |
**Utente IAM rispetto all'utente IAM Identity Center**
| Aspetto | Utente IAM | Utente IAM Identity Center |
| --- | --- | --- |
| Credenziali del piano dati | Credenziali IAM proprie dell'utente | Ruolo applicativo IAM Identity Center |
| Controllo accessi | Policy di accesso al dominio | Policy di accesso al dominio e mappatura dei ruoli di backend |
| Configurazione aggiuntiva | Nessuno | Ruolo dell'applicazione IAM Identity Center, user/group creazione, assegnazione delle applicazioni, mappatura dei ruoli di backend |
| OpenSearch Configurazione dell'applicazione UI | Nessuna opzione IAM Identity Center | --iam-identity-center-options obbligatorio |
## Note importanti
+ `iamRoleForDataSourceArn`Deve essere nello stesso account del`dataSourceArn`.
+ `iamRoleForDataSourceArn`È richiesto solo per le fonti di dati tra account diversi. Omettilo per le fonti di dati dello stesso account.
+ Il ruolo tra account diversi richiede solo l'autorizzazione. `es:DescribeDomain` Non viene mai utilizzato per l'accesso al piano dati.
+ Per i domini VPC, è necessario configurare sia la policy IAM che l'autorizzazione degli endpoint VPC.
+ Versioni del motore supportate: OpenSearch 1.3 e successive.
## Risoluzione dei problemi
| Problema | Risoluzione |
| --- | --- |
| La creazione dell'applicazione non riesce con «Impossibile accedere al dominio» | Verifica che il ruolo interaccount disponga dell'es:DescribeDomainautorizzazione e che la politica di attendibilità consenta l'accesso all'account di origine. |
| L'associazione del dominio VPC non riesce | Assicurati che l'endpoint VPC sia autorizzato per. application.opensearchservice.amazonaws.com |
| Accesso al piano dati negato per l'utente IAM | Verifica che la policy di accesso al dominio di destinazione consenta l'utente o il responsabile del ruolo IAM. |
| Accesso al piano dati negato per l'utente IAM Identity Center | Verifica che la mappatura dei ruoli di backend includa l'ID del gruppo IAM Identity Center e che la policy del dominio consenta il ruolo dell'applicazione IAM Identity Center. |
| Errore di mancata corrispondenza dell'account | Assicurati che iamRoleForDataSourceArn si trovi nello stesso account del dominio indataSourceArn. |
# Funzionalità di ricerca tra cluster
Utilizzando la [ricerca tra cluster](cross-cluster-search.md) in Amazon OpenSearch Serverless, puoi eseguire query e aggregazioni su più domini connessi.
La ricerca tra cluster in Amazon OpenSearch Serverless utilizza i concetti di dominio di *origine e dominio* di *destinazione*. Una richiesta di ricerca tra cluster proviene da un dominio di origine. Il dominio di destinazione può appartenere a un dominio diverso Account AWS o Regione AWS (o entrambi) al dominio di origine da cui eseguire la query. Utilizzando la ricerca tra cluster, puoi configurare un dominio di origine da associare all' OpenSearch interfaccia utente nello stesso account e quindi creare connessioni ai domini di destinazione. Di conseguenza, puoi utilizzare l' OpenSearch interfaccia utente con i dati dei domini di destinazione anche se si trovano in un account o in una regione diversi.
Paghi [AWS i costi standard di trasferimento](https://aws.amazon.com/opensearch-service/pricing/) dei dati per i dati trasferiti da e verso il OpenSearch Servizio Amazon. Non ti vengono addebitati costi per i dati trasferiti tra i nodi all'interno OpenSearch del tuo dominio Service. Per ulteriori informazioni sui costi di «ingresso» e «uscita» dei dati, consulta la pagina dei prezzi *On-Demand di Amazon EC2* per il [trasferimento dei dati](https://aws.amazon.com/ec2/pricing/on-demand/#Data_Transfer).
Puoi utilizzare la ricerca tra cluster come meccanismo per associare l' OpenSearch interfaccia utente a cluster in un account o in una regione diversa. Per impostazione predefinita, le richieste tra domini sono crittografate in transito come parte della crittografia. node-to-node
**Nota**
Lo OpenSearch strumento open source documenta anche la ricerca [tra cluster](https://opensearch.org/docs/latest/search-plugins/cross-cluster-search/). Tieni presente che la configurazione dello strumento open source differisce in modo significativo per i cluster open source rispetto ai domini Amazon OpenSearch Serverless gestiti.
In particolare, in Amazon OpenSearch Serverless, si configurano connessioni tra cluster utilizzando le richieste Console di gestione AWS anziché utilizzando. `cURL` Il servizio gestito utilizza AWS Identity and Access Management (IAM) per l'autenticazione tra cluster oltre al controllo granulare degli accessi.
Pertanto, consigliamo di utilizzare il contenuto di questo argomento per configurare la ricerca tra cluster per i domini anziché la documentazione open source. OpenSearch
**Differenze funzionali quando si utilizza la ricerca tra cluster**
Rispetto ai domini normali, i domini di destinazione creati utilizzando la ricerca tra cluster presentano le seguenti differenze e requisiti funzionali:
+ Non è possibile scrivere o eseguire `PUT` comandi nel cluster remoto. L'accesso al cluster remoto è di *sola lettura*.
+ Sia il dominio di origine che quello di destinazione devono essere OpenSearch domini. Non puoi connettere un dominio Elasticsearch o cluster OpenSearch /Elasticsearch autogestiti per l'interfaccia utente. OpenSearch
+ Un dominio può avere un massimo di 20 connessioni ad altri domini. Ciò include sia le connessioni in uscita che quelle in entrata.
+ Il dominio di origine deve trovarsi nella stessa versione o in una versione successiva del dominio OpenSearch di destinazione. Se desideri configurare connessioni bidirezionali tra due domini, i due domini devono avere la stessa versione. Ti consigliamo di aggiornare entrambi i domini alla versione più recente prima di effettuare la connessione. Se devi aggiornare i domini dopo aver configurato la connessione bidirezionale, devi prima eliminare la connessione e poi ricrearla.
+ Non è possibile utilizzare dizionari personalizzati o SQL con i cluster remoti.
+ Non puoi utilizzarlo per CloudFormation connettere domini.
+ Non è possibile utilizzare la ricerca tra cluster su istanze M3 o istanze espandibili (T2 e T3).
+ La ricerca tra cluster non funziona per le raccolte Amazon OpenSearch Serverless.
**Prerequisiti di ricerca tra cluster per l'interfaccia utente OpenSearch**
Prima di configurare la ricerca tra cluster con due OpenSearch domini, assicurati che i domini soddisfino i seguenti requisiti:
+ Il controllo granulare degli accessi è abilitato per entrambi i domini
+ Node-to-node la crittografia è abilitata per entrambi i domini
**Topics**
+ [Configurazione delle autorizzazioni di accesso per l'accesso ai dati tra aree geografiche e tra account con la ricerca tra cluster](#cross-cluster-search-security)
+ [Creazione di una connessione tra domini](#cross-cluster-search-create-connection)
+ [Test della configurazione di sicurezza per l'accesso ai dati tra regioni e account diversi con la ricerca tra cluster](#cross-cluster-search-security-testing)
+ [Eliminazione di una connessione](#cross-cluster-search-deleting-connection)
## Configurazione delle autorizzazioni di accesso per l'accesso ai dati tra aree geografiche e tra account con la ricerca tra cluster
Quando invii una richiesta di ricerca tra cluster al dominio di origine, il dominio valuta tale richiesta in base alla propria politica di accesso al dominio. La ricerca tra cluster richiede un controllo granulare degli accessi. Di seguito è riportato un esempio con una politica di accesso aperto sul dominio di origine.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"*"
]
},
"Action": [
"es:ESHttp*"
],
"Resource": "arn:aws:es:us-east-1:111222333444:domain/src-domain/*"
}
]
}
```
------
**Nota**
Se includi indici remoti nel percorso, devi codificare in formato URL l'URI nell'ARN del dominio.
Ad esempio, utilizzate il seguente formato ARN:
`:arn:aws:es:us-east-1:111222333444:domain/my-domain/local_index,dst%3Aremote_index`
Non utilizzare il seguente formato ARN:
`arn:aws:es:us-east-1:111222333444:domain/my-domain/local_index,dst:remote_index.`
Se si sceglie di utilizzare una politica di accesso restrittiva oltre al controllo granulare degli accessi, la politica deve almeno consentire l'accesso a. `es:ESHttpGet` Di seguito è riportato un esempio:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111222333444:user/john-doe"
]
},
"Action": "es:ESHttpGet",
"Resource": "arn:aws:es:us-east-1:111122223333:domain/my-domain/*"
}
]
}
```
------
Il [controllo granulare degli accessi](fgac.md) sul dominio di origine valuta la richiesta per determinare se è firmata con credenziali di base IAM o HTTP valide. In caso affermativo, il controllo granulare degli accessi valuta successivamente se l'utente è autorizzato a eseguire la ricerca e accedere ai dati.
Di seguito sono riportati i requisiti di autorizzazione per le ricerche:
+ Se la richiesta cerca solo dati nel dominio di destinazione (ad esempio`dest-alias:dest-index/_search)`, le autorizzazioni sono richieste solo nel dominio di destinazione).
+ Se la richiesta cerca dati su entrambi i domini (ad esempio`source-index,dest-alias:dest-index/_search)`, le autorizzazioni sono necessarie su entrambi i domini).
+ Per utilizzare un controllo granulare degli accessi, `indices:admin/shards/search_shards` è necessaria l'autorizzazione in aggiunta alle autorizzazioni standard di lettura o ricerca per gli indici pertinenti.
Il dominio di origine invia la richiesta al dominio di destinazione. Il dominio di destinazione valuta la richiesta in base alla policy di accesso al dominio. Per supportare tutte le funzionalità OpenSearch dell'interfaccia utente, come l'indicizzazione dei documenti e l'esecuzione di ricerche standard, è necessario impostare le autorizzazioni complete. Di seguito è riportato un esempio della nostra politica consigliata sul dominio di destinazione:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"*"
]
},
"Action": [
"es:ESHttp*"
],
"Resource": "arn:aws:es:us-east-2:111222333444:domain/my-destination-domain/*"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "es:ESCrossClusterGet",
"Resource": "arn:aws:es:us-east-2:111222333444:domain/"
}
]
}
```
------
Se desideri eseguire solo ricerche di base, il requisito minimo richiesto dalla policy è l'`es:ESCrossClusterGet`autorizzazione da applicare al dominio di destinazione senza il supporto dei caratteri jolly. Ad esempio, nella politica precedente, è necessario specificare il nome di dominio con e senza. */my-destination-domain* */my-destination-domain/\$1*
In questo caso, il dominio di destinazione esegue la ricerca e restituisce i risultati al dominio di origine. Il dominio di origine combina i propri risultati (se presenti) con i risultati del dominio di destinazione e li restituisce all'utente.
## Creazione di una connessione tra domini
Una connessione di ricerca tra cluster è unidirezionale dal dominio di origine al dominio di destinazione. Ciò significa che i domini di destinazione (in un account o in una regione diversi) non possono interrogare il dominio di origine, che è locale all'interfaccia utente. OpenSearch Il dominio di origine crea una connessione *in uscita* al dominio di destinazione. Il dominio di destinazione riceve una richiesta di connessione *in entrata* dal dominio di origine.
![\[Questa immagine mostra che una connessione di ricerca tra cluster è unidirezionale dal dominio di origine al dominio di destinazione.\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/images/ui-oubound-inbound-connections.png)
**Per creare una connessione tra domini**
1. Accedi alla console di Amazon OpenSearch Service da [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home).
1. Nella barra di navigazione a sinistra, scegli **Domini**.
1. Scegli il nome di un dominio da utilizzare come dominio di origine, quindi scegli la scheda **Connessioni**.
1. Nell'area **Connessioni in uscita**, scegli **Richiesta**.
1. Per **Alias di connessione**, specifica un nome per la connessione. L'alias di connessione viene utilizzato nell' OpenSearch interfaccia utente per selezionare i domini di destinazione.
1. Per la **modalità di connessione**, scegli **Direct** per le ricerche o la replica tra cluster.
1. **Per specificare che la connessione deve ignorare i cluster non disponibili durante una ricerca, seleziona la casella Ignora i cluster non disponibili.** La scelta di questa opzione garantisce che le query tra cluster restituiscano risultati parziali indipendentemente dagli errori su uno o più cluster remoti.
1. Per **Cluster di destinazione**, scegli tra **Connetti a un cluster in questo Account AWS** e **Connetti a un cluster in un altro Account AWS**.
1. Per l'**ARN del dominio remoto**, inserisci l'Amazon Resource Name (ARN) per il cluster. L'ARN del dominio può essere posizionato nell'area **Informazioni generali** della pagina di dettaglio del dominio.
Il dominio deve soddisfare i seguenti requisiti:
+ L'ARN deve essere nel formato. `arn:partition:es:regionaccount-id:type/domain-id` Esempio:
`arn:aws:es:us-east-2:111222333444:domain/my-domain`
+ Il dominio deve essere configurato per utilizzare la OpenSearch versione 1.0 (o successiva) o la versione 6.7 di Elasticsearch (o successiva).
+ Il controllo granulare degli accessi deve essere abilitato sul dominio.
+ Il dominio deve essere in esecuzione. OpenSearch
1. Scegli **Richiedi**.
La ricerca tra cluster convalida innanzitutto la richiesta di connessione per assicurare che i prerequisiti siano soddisfatti. Se i domini sono incompatibili, la richiesta di connessione entra nello `Validation failed` stato.
Se la richiesta di connessione viene convalidata correttamente, viene inviata al dominio di destinazione, dove deve essere approvata. Fino a quando non viene concessa questa approvazione, la connessione rimane in uno `Pending acceptance` stato. Quando la richiesta di connessione viene accettata nel dominio di destinazione, lo stato cambia in `Active` e il dominio di destinazione diventa disponibile per le query.
La pagina del dominio mostra i dettagli generali dello stato del dominio e dello stato dell'istanza del dominio di destinazione. Solo i proprietari dei domini dispongono della flessibilità necessaria per creare, visualizzare, rimuovere e monitorare le connessioni da o verso i propri domini.
Una volta stabilita la connessione, tutto il traffico che scorre tra i nodi dei domini connessi viene crittografato. Quando connetti un dominio VPC a un dominio non VPC e il dominio non VPC è un endpoint pubblico in grado di ricevere traffico da Internet, il traffico intercluster tra i domini è ancora crittografato e sicuro.
## Test della configurazione di sicurezza per l'accesso ai dati tra regioni e account diversi con la ricerca tra cluster
Dopo aver impostato le autorizzazioni di accesso per l'accesso ai dati tra aree geografiche e tra account con la ricerca tra cluster, ti consigliamo di testare la configurazione utilizzando una piattaforma di terze parti per lo sviluppo collaborativo di [https://www.postman.com/](https://www.postman.com/)API.
**Per impostare la configurazione di sicurezza utilizzando Postman**
1. Nel dominio di destinazione, indicizza un documento. Di seguito è riportato un esempio di richiesta:
```
POST https://dst-domain.us-east-1.es.amazonaws.com/books/_doc/1
{
"Dracula": "Bram Stoker"
}
```
1. Per eseguire una query su questo indice dal dominio di origine, includere l'alias di connessione del dominio di destinazione all'interno della query. È possibile trovare l'alias di connessione nella scheda Connessioni nel pannello di controllo del dominio. Di seguito sono riportati un esempio di richiesta e una risposta troncata:
```
GET https://src-domain.us-east-1.es.amazonaws.com/connection_alias:books/_search
{
...
"hits": [
{
"_index": "source-destination:books",
"_type": "_doc",
"_id": "1",
"_score": 1,
"_source": {
"Dracula": "Bram Stoker"
}
}
]
}
```
1. (Facoltativo) È possibile creare una configurazione che includa più domini in un'unica ricerca. Ad esempio, supponiamo di aver impostato quanto segue:
Una connessione tra `domain-a` a`domain-b`, con un alias di connessione denominato `cluster_b`
Una connessione tra `domain-a` a`domain-c`, con un alias di connessione denominato `cluster_c`
In questo caso, le ricerche includono il contenuto `domain-a``domain-b`, e. `domain-c` Di seguito sono riportati alcuni esempi di richiesta e risposta:
Richiesta
```
GET https://src-domain.us-east-1.es.amazonaws.com/local_index,cluster_b:b_index,cluster_c:c_index/_search
{
"query": {
"match": {
"user": "domino"
}
}
}
```
Risposta:
```
{
"took": 150,
"timed_out": false,
"_shards": {
"total": 3,
"successful": 3,
"failed": 0,
"skipped": 0
},
"_clusters": {
"total": 3,
"successful": 3,
"skipped": 0
},
"hits": {
"total": 3,
"max_score": 1,
"hits": [
{
"_index": "local_index",
"_type": "_doc",
"_id": "0",
"_score": 1,
"_source": {
"user": "domino",
"message": "This is message 1",
"likes": 0
}
},
{
"_index": "cluster_b:b_index",
"_type": "_doc",
"_id": "0",
"_score": 2,
"_source": {
"user": "domino",
"message": "This is message 2",
"likes": 0
}
},
{
"_index": "cluster_c:c_index",
"_type": "_doc",
"_id": "0",
"_score": 3,
"_source": {
"user": "domino",
"message": "This is message 3",
"likes": 0
}
}
]
}
}
```
Se hai scelto di non ignorare i cluster non disponibili nella configurazione della connessione, tutti i cluster di destinazione che cerchi devono essere disponibili affinché la richiesta di ricerca venga eseguita correttamente. In caso contrario, l'intera richiesta avrà esito negativo: anche se uno dei domini non è disponibile non verrà restituito alcun risultato della ricerca.
## Eliminazione di una connessione
L'eliminazione di una connessione interrompe tutte le operazioni di ricerca tra cluster nel dominio di destinazione.
È possibile eseguire la procedura seguente sul dominio di origine o di destinazione per rimuovere la connessione. Dopo aver rimosso la connessione, questa rimane visibile con uno stato `Deleted` di 15 giorni.
Non è possibile eliminare un dominio con connessioni tra cluster attive. Per eliminare un dominio, rimuovere innanzitutto tutte le connessioni in ingresso e in uscita da tale dominio. Questo per essere certi di considerare gli utenti del dominio tra cluster prima di eliminare il dominio.
**Come eliminare una connessione**
1. Accedi alla console di Amazon OpenSearch Service da [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home).
1. Nella barra di navigazione a sinistra, scegli **Domini**.
1. Scegli il nome di un dominio da eliminare, quindi scegli la scheda **Connessioni**.
1. Seleziona il nome di una connessione da eliminare.
1. Scegli **Elimina**, quindi conferma l'eliminazione.
# Gestione dell'accesso all' OpenSearch interfaccia utente da un endpoint VPC
Puoi creare una connessione privata tra il tuo VPC e l' OpenSearch interfaccia utente utilizzando. AWS PrivateLink Utilizzando questa connessione, puoi accedere alle applicazioni OpenSearch dell'interfaccia utente come se si trovassero nello stesso VPC. In questo modo, non è necessario configurare un gateway Internet, un dispositivo NAT, una connessione VPN o AWS Direct Connect stabilire la connessione. Le istanze nel tuo VPC non necessitano di indirizzi IP pubblici per accedere all' OpenSearch interfaccia utente.
Per stabilire questa connessione privata, devi prima creare un'interfaccia endpoint alimentata da. AWS PrivateLink Un'interfaccia di rete endpoint viene creata automaticamente in ogni sottorete specificata per l'endpoint di interfaccia. Si tratta di interfacce di rete gestite dai richiedenti che fungono da punto di ingresso per il traffico destinato alle applicazioni dell'interfaccia utente. OpenSearch
## Creazione di una connessione privata tra un VPC e un'interfaccia utente OpenSearch
Puoi creare una connessione privata per accedere all' OpenSearch interfaccia utente da un VPC utilizzando o. Console di gestione AWS AWS CLI
### Creazione di una connessione privata tra un VPC e un' OpenSearch interfaccia utente (console)
**Per creare una connessione privata tra un VPC e l' OpenSearch interfaccia utente utilizzando la console**
1. Accedi alla console di Amazon OpenSearch Service da [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home).
1. Nella barra di navigazione a sinistra, in **Serverless**, scegli Endpoint **VPC**.
1. Scegli **Create VPC endpoint** (Crea endpoint VPC).
1. In **Nome**, inserisci un nome per l'endpoint.
1. Per **VPC**, seleziona il VPC da cui accederai alle OpenSearch applicazioni dell'interfaccia utente.
1. Per le **sottoreti**, seleziona una sottorete da cui accedere alle applicazioni dell'interfaccia utente. OpenSearch
**Nota**
L'indirizzo IP e il tipo DNS di un endpoint si basano sul tipo di sottorete:
Dual-stack: se tutte le sottoreti hanno entrambi gli intervalli di indirizzi. IPv4 IPv6
IPv6: Se tutte le sottoreti sono solo sottoreti. IPv6
IPv4: Se tutte le sottoreti hanno intervalli di indirizzi. IPv4
1. Per i **gruppi di sicurezza**, selezionare uno o più gruppi di sicurezza da associare alle interfacce di rete degli endpoint.
**Nota**
In questo passaggio, stai limitando le porte, i protocolli e le fonti per il traffico in entrata che stai autorizzando verso il tuo endpoint. Assicurati che le regole del gruppo di sicurezza consentano alle risorse che utilizzeranno l'endpoint VPC di comunicare con le applicazioni OpenSearch dell'interfaccia utente di comunicare anche con l'interfaccia di rete dell'endpoint.
1. 8. Seleziona **Crea endpoint**.
### Creazione di una connessione privata tra un VPC e l' OpenSearch interfaccia utente ()AWS CLI
**Per creare una connessione privata tra un VPC e l' OpenSearch interfaccia utente utilizzando AWS CLI**
Eseguire il seguente comando seguente. Sostituisci *placeholder values* con le informazioni appropriate.
```
aws opensearchserverless create-vpc-endpoint \
--region region \
--endpoint endpoint \
--name vpc_endpoint_name \
--vpc-id vpc_id \
--subnet-ids subnet_ids
```
## Aggiornamento della policy degli endpoint VPC per consentire l'accesso all'applicazione UI OpenSearch
Dopo aver creato la connessione privata, aggiorna la policy degli endpoint VPC per consentire l'accesso all'applicazione OpenSearch UI nella policy degli endpoint VPC specificando l'ID dell'applicazione.
*Per informazioni sull'aggiornamento di una policy per gli endpoint VPC, consulta Aggiornare [una policy per gli endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#update-vpc-endpoint-policy) nella Guida.AWS PrivateLink *
Assicurati che la policy degli endpoint VPC includa la seguente dichiarazione. Sostituisci *placeholder value* con le informazioni appropriate.
```
{
"Statement": [{
"Action": ["opensearch:*"],
"Effect": "Allow",
"Principal": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"opensearch:ApplicationId": ["opensearch-ui-application-id"]
}
}
}]
}
```
## Revoca dell'accesso all' OpenSearch interfaccia utente in una policy di endpoint VPC
OpenSearch L'interfaccia utente richiede un'autorizzazione esplicita nella policy degli endpoint VPC per consentire agli utenti di accedere all'applicazione dal VPC. Se non desideri più che gli utenti accedano all' OpenSearch interfaccia utente dal VPC, puoi rimuovere l'autorizzazione nella policy degli endpoint. Successivamente, gli utenti visualizzano un messaggio di `403 forbidden` errore quando tentano di accedere all'interfaccia utente. OpenSearch
*Per informazioni sull'aggiornamento di una policy per gli endpoint VPC, consulta Aggiornare [una policy per gli endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#update-vpc-endpoint-policy) nella Guida.AWS PrivateLink *
Di seguito è riportato un esempio di policy degli endpoint VPC che nega l'accesso alle applicazioni dell'interfaccia utente dal VPC:
```
{
"Statement": [{
"Action": ["opensearch:*"],
"Effect": "Allow",
"Principal": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"opensearch:ApplicationId": [""]
}
}
}]
}
```
# Migrazione degli oggetti salvati dalle dashboard all'interfaccia utente OpenSearch OpenSearch
Se disponi di dashboard, visualizzazioni, modelli di indice e altri oggetti salvati nelle OpenSearch dashboard, puoi migrarli e riutilizzarli nell'interfaccia utente. OpenSearch
Vantaggi della migrazione all'interfaccia utente: OpenSearch
+ **Alta disponibilità**: l' OpenSearch interfaccia utente è ospitata nel dominio Cloud AWS e rimane disponibile durante gli aggiornamenti e la manutenzione del dominio, mentre OpenSearch le dashboard sono ospitate all'interno del dominio e non saranno temporaneamente disponibili.
+ **Fonte di dati multipla**: l' OpenSearchinterfaccia utente può fornire un unico pannello di controllo consolidato su più fonti di dati, inclusi OpenSearch domini, raccolte serverless e connessioni dati con Amazon S3 e Amazon CloudWatch; mentre ogni OpenSearch dashboard può funzionare solo con un dominio o una raccolta.
+ Nell'interfaccia utente sono disponibili funzionalità aggiuntive come AI Assistant e Workspaces. OpenSearch Per saperne di più:[Utilizzo OpenSearch dell'interfaccia utente in Amazon OpenSearch Service](application.md).
**Topics**
+ [Panoramica sulla migrazione](#application-migrate-saved-objects-overview)
+ [Prerequisiti](#application-migrate-saved-objects-prerequisites)
+ [Fase 1: Esportazione degli oggetti salvati dai pannelli di controllo OpenSearch](#application-migrate-saved-objects-export)
+ [Passaggio 2: Importa gli oggetti salvati nell'interfaccia utente OpenSearch](#application-migrate-saved-objects-import)
## Panoramica sulla migrazione
Il processo di migrazione prevede i seguenti passaggi di alto livello:
1. **Esporta oggetti salvati dalle OpenSearch dashboard**: utilizza l'interfaccia utente di gestione degli oggetti salvati di OpenSearch Dashboards o l'API di esportazione per scaricare dashboard, visualizzazioni, modelli di indice e altri oggetti come file JSON (NDJSON) delimitato da nuove righe.
1. **Crea un'applicazione OpenSearch UI e un'area di lavoro**: se non l'hai già fatto, crea un'applicazione UI e un'area di lavoro per ricevere gli oggetti importati. OpenSearch
1. **Registra l'origine dati nell' OpenSearchinterfaccia utente**: associa il tuo OpenSearch dominio all'applicazione OpenSearch UI e registralo come fonte di dati all'interno dell'area di lavoro. I modelli di indice negli oggetti importati fanno riferimento a questa fonte di dati.
1. **Importa oggetti salvati nell' OpenSearch interfaccia utente**: utilizza l' OpenSearch interfaccia utente di gestione degli oggetti salvati dell'interfaccia utente o l'API di importazione per caricare il file NDJSON nell'area di lavoro di destinazione.
1. **Convalida gli oggetti importati**: apri i dashboard e le visualizzazioni nell' OpenSearch interfaccia utente per verificare che vengano visualizzati correttamente e che i dati provengano dal dominio o dalla raccolta associati.
## Prerequisiti
Prima della migrazione, verifica i seguenti prerequisiti:
+ Disponi delle autorizzazioni IAM necessarie per chiamare Amazon OpenSearch Service e OpenSearch APIs. Per ulteriori informazioni, consulta [Autorizzazioni richieste per la creazione di applicazioni Amazon OpenSearch Service](application-getting-started.md#application-prerequisite-permissions).
+ Puoi accedere al dominio o alla raccolta e alle OpenSearch dashboard che desideri migrare.
+ Hai creato un'applicazione OpenSearch UI. Per informazioni sulla creazione di un'applicazione e di un'area di lavoro, consulta[Guida introduttiva all'interfaccia OpenSearch utente in Amazon OpenSearch Service](application-getting-started.md).
+ Hai associato lo stesso dominio o la stessa raccolta all'applicazione OpenSearch UI. Per informazioni sull'associazione delle fonti di dati, consulta[Gestione delle associazioni delle fonti di dati e delle autorizzazioni di accesso al Virtual Private Cloud](application-data-sources-and-vpc.md).
**Nota**
OpenSearch L'interfaccia utente supporta solo OpenSearch la versione 1.3 e successive. Verifica che OpenSearch sul tuo dominio sia in esecuzione la versione 1.3 o successiva prima di tentare di migrare gli oggetti salvati.
## Fase 1: Esportazione degli oggetti salvati dai pannelli di controllo OpenSearch
Esporta gli oggetti salvati dalle OpenSearch dashboard utilizzando l'interfaccia utente di gestione o l'API di esportazione. L'esportazione produce un file JSON (NDJSON) delimitato da nuove righe che contiene tutti i tipi di oggetti salvati selezionati e le relative dipendenze.
**Topics**
+ [OpenSearch Esportazione manuale su dashboard](#application-migrate-export-console)
+ [Esportazione tramite API](#application-migrate-export-api)
### OpenSearch Esportazione manuale su dashboard
**Per esportare oggetti salvati utilizzando l'interfaccia utente di OpenSearch gestione delle dashboard**
1. Apri l'istanza OpenSearch Dashboards.
1. Nel pannello di navigazione a sinistra, scegli **Gestione**.
1. In **Gestione dashboard**, scegli **Oggetti salvati**.
1. Seleziona gli oggetti salvati che desideri esportare. Per esportare tutti gli oggetti di un tipo specifico, filtra per tipo utilizzando la barra di ricerca. Per esportare tutti gli oggetti, selezionate la casella di controllo nell'intestazione della tabella.
1. Scegli **Export** (Esporta).
1. Nella finestra di dialogo **Esporta oggetti salvati**, assicuratevi che sia selezionata l'opzione **Includi oggetti correlati**. Questa opzione include tutti gli oggetti da cui dipendono gli oggetti salvati selezionati, come i modelli di indice a cui fanno riferimento le visualizzazioni. Deselezionate questa opzione solo se intendete gestire le dipendenze manualmente.
1. Scegliete **Esporta** per scaricare il `.ndjson` file sul computer locale.
**Suggerimento**
Quando scegli **Includi oggetti correlati**, il file NDJSON esportato contiene tutti gli oggetti salvati necessari per il rendering delle dashboard e delle visualizzazioni selezionate, inclusi i modelli di indice, le visualizzazioni e gli oggetti di ricerca dipendenti. Ciò semplifica la fase di importazione ed evita errori di riferimento mancanti.
### Esportazione tramite API
Puoi utilizzare l'API di esportazione degli oggetti salvati di OpenSearch Dashboards per esportare a livello di codice gli oggetti salvati. Ciò è utile per automatizzare le migrazioni o integrare la fase di esportazione in una pipeline. CI/CD
**Nota**
Se il tuo OpenSearch dominio ha abilitato il [controllo granulare degli accessi](fgac.md), devi fornire le credenziali di autenticazione con la richiesta di esportazione. Utilizza l'autenticazione di base HTTP aggiungendo il `-u` contrassegno con nome utente e password. Per ulteriori informazioni sulle opzioni di autenticazione, consulta [Controllo granulare degli accessi in Amazon Service OpenSearch](fgac.md).
L'esempio seguente esporta tutti i dashboard con i relativi oggetti. Sostituisci *placeholder values* con le informazioni appropriate.
```
curl -X POST \
"https://dashboards-endpoint/_dashboards/api/saved_objects/_export" \
-u 'master-username:master-password' \
-H "Content-Type: application/json" \
-H "osd-xsrf: true" \
-d '{
"type": ["dashboard", "visualization", "index-pattern", "search"],
"includeReferencesDeep": true,
"excludeExportDetails": false
}' \
-o saved-objects-export.ndjson
```
Se nel tuo dominio non è abilitato il controllo granulare degli accessi, puoi omettere il flag. `-u`
Per esportare oggetti salvati specifici in base all'ID, utilizza il `objects` parametro anziché: `type`
```
curl -X POST \
"https://dashboards-endpoint/_dashboards/api/saved_objects/_export" \
-u 'master-username:master-password' \
-H "Content-Type: application/json" \
-H "osd-xsrf: true" \
-d '{
"objects": [
{"type": "dashboard", "id": "dashboard-id"},
{"type": "visualization", "id": "visualization-id"}
],
"includeReferencesDeep": true
}' \
-o saved-objects-export.ndjson
```
**Nota**
Per trovare oggetti salvati IDs, puoi utilizzare l'API Saved Objects per elencare tutti gli oggetti di un tipo specifico. L'esempio seguente elenca tutti i dashboard:
```
curl -X GET \
"https://dashboards-endpoint/_dashboards/api/saved_objects/_find?type=dashboard" \
-u 'master-username:master-password'
```
La risposta include l'ID per ogni oggetto salvato. Puoi anche trovare l'ID nell'URL del browser quando visualizzi l'oggetto nelle OpenSearch dashboard.
## Passaggio 2: Importa gli oggetti salvati nell'interfaccia utente OpenSearch
Dopo aver esportato gli oggetti salvati, puoi importare il file NDJSON nell' OpenSearch interfaccia utente manualmente o tramite API.
**Topics**
+ [Importazione manuale nell'interfaccia utente OpenSearch](#application-migrate-import-console)
+ [Importazione tramite API](#application-migrate-import-api)
### Importazione manuale nell'interfaccia utente OpenSearch
**Per importare oggetti salvati utilizzando l' OpenSearch interfaccia utente di gestione dell'interfaccia utente**
1. Apri l'applicazione OpenSearch UI e accedi all'area di lavoro di destinazione.
1. Nell'area di lavoro, scegli **Risorse** dalla barra di navigazione in alto o vai alla pagina delle risorse dell'area di lavoro.
1. Scegliete **Importa** per aprire la finestra di dialogo **Importa risorse**.
1. Scegliete **Seleziona file** e selezionate il `.ndjson` file esportato dai OpenSearch pannelli di controllo.
1. Per la **gestione dei conflitti**, scegli una delle seguenti opzioni:
+ **Crea nuove risorse con risorse uniche IDs** (impostazione predefinita): genera nuove risorse IDs per tutti gli oggetti importati, evitando conflitti con le risorse esistenti.
+ **Verifica la presenza di risorse esistenti**: verifica la presenza di conflitti con gli oggetti esistenti. Se selezionata, scegliete una delle seguenti opzioni secondarie:
+ **Sovrascrivi automaticamente i conflitti**: le risorse esistenti con lo stesso ID vengono sostituite automaticamente.
+ **Richiedi un'azione in caso di conflitto**: ti viene richiesto di risolvere ogni conflitto singolarmente.
1. Scegli **Importa**.
1. Consulta il riepilogo delle importazioni.
### Importazione tramite API
Per importare oggetti salvati utilizzando l'API con autenticazione AWS Signature Version 4, devi prima ottenere l'ID della fonte di dati, quindi utilizzarlo nella richiesta di importazione. Sostituisci *placeholder values* con le informazioni appropriate.
Passaggio 1: ottieni l'ID della fonte di dati per il tuo spazio di lavoro:
```
curl -X GET \
"https://opensearch-ui-endpoint/w/workspace-id/api/saved_objects/_find?type=data-source" \
--aws-sigv4 "aws:amz:region:opensearch" \
--user "$AWS_ACCESS_KEY_ID:$AWS_SECRET_ACCESS_KEY" \
-H "x-amz-security-token: $AWS_SESSION_TOKEN" \
-H "osd-xsrf: true"
```
**Nota**
La risposta include l'ID della fonte di dati. Puoi anche trovare l'ID dell'origine dati nell'URL del browser quando visualizzi l'origine dati nell' OpenSearch interfaccia utente.
Passaggio 2: Importa gli oggetti salvati utilizzando l'ID dell'origine dati dal passaggio 1:
```
curl -X POST \
"https://opensearch-ui-endpoint/w/workspace-id/api/saved_objects/_import?overwrite=true&dataSourceId=data-source-id" \
--aws-sigv4 "aws:amz:region:opensearch" \
--user "$AWS_ACCESS_KEY_ID:$AWS_SECRET_ACCESS_KEY" \
-H "x-amz-security-token: $AWS_SESSION_TOKEN" \
-H "osd-xsrf: true" \
-F "file=@saved-objects-export.ndjson"
```
**Nota**
Questi esempi utilizzano l'`--aws-sigv4`opzione integrata di curl (disponibile in curl 7.75 o versioni successive) per firmare le richieste. Imposta AWS le tue credenziali come variabili di ambiente prima di eseguire i comandi:`AWS_ACCESS_KEY_ID`,`AWS_SECRET_ACCESS_KEY`, e `AWS_SESSION_TOKEN` (se usi credenziali temporanee).
# OpenSearch Endpoint e quote dell'interfaccia utente
Per connettersi a livello di codice a un AWS servizio, si utilizza un endpoint. Le quote di servizio, a cui si fa riferimento anche come limiti, rappresentano il numero massimo di risorse di servizio o operazioni per l'account AWS .
Amazon OpenSearch UI è l'interfaccia OpenSearch utente di nuova generazione per le OpenSearch dashboard. Fornisce endpoint per accedere alle dashboard OpenSearch . Utilizza questo argomento per trovare gli endpoint e le quote di servizio per l'interfaccia utente. OpenSearch
Per ulteriori informazioni su altri OpenSearch servizi, consulta [Service Endpoints](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html) and Quotas.
## OpenSearch Endpoint dell'interfaccia utente
OpenSearch L'interfaccia utente è disponibile nelle seguenti regioni:
| Nome Regione | Regione | Endpoint | Protocollo |
| --- | --- | --- | --- |
| Asia Pacifico (Mumbai) | ap-south-1 | opensearch.ap-south-1.amazonaws.com es.ap-south-1.amazonaws.com | HTTPS HTTPS |
| Europa (Parigi) | eu-west-3 | opensearch.eu-west-3.amazonaws.com es.eu-west-3.amazonaws.com | HTTPS HTTPS |
| Stati Uniti orientali (Ohio) | us-east-2 | opensearch.us-east-2.amazonaws.com es.us-east-2.amazonaws.com | HTTPS HTTPS |
| Europa (Irlanda) | eu-west-1 | opensearch.eu-west-1.amazonaws.com es.eu-west-1.amazonaws.com | HTTPS HTTPS |
| Europa (Francoforte) | eu-central-1 | opensearch.eu-central-1.amazonaws.com es.eu-central-1.amazonaws.com | HTTPS HTTPS |
| Sud America (San Paolo) | sa-east-1 | opensearch.sa-east-1.amazonaws.com es.sa-east-1.amazonaws.com | HTTPS HTTPS |
| Stati Uniti orientali (Virginia settentrionale) | us-east-1 | opensearch.us-east-1.amazonaws.com es.us-east-1.amazonaws.com | HTTPS HTTPS |
| Europe (London) | eu-west-2 | opensearch.eu-west-2.amazonaws.com es.eu-west-2.amazonaws.com | HTTPS HTTPS |
| Asia Pacifico (Tokyo) | ap-northeast-1 | opensearch.ap-northeast-1.amazonaws.com es.ap-northeast-1.amazonaws.com | HTTPS HTTPS |
| Stati Uniti occidentali (Oregon) | us-west-2 | opensearch.us-west-2.amazonaws.com es.us-west-2.amazonaws.com | HTTPS HTTPS |
| Asia Pacifico (Singapore) | ap-southeast-1 | opensearch.ap-southeast-1.amazonaws.com es.ap-southeast-1.amazonaws.com | HTTPS HTTPS |
| Asia Pacifico (Sydney) | ap-southeast-2 | opensearch.ap-southeast-2.amazonaws.com es.ap-southeast-2.amazonaws.com | HTTPS HTTPS |
| Canada (Centrale) | ca-central-1 | opensearch.ca-central-1.amazonaws.com es.ca-central-1.amazonaws.com | HTTPS HTTPS |
| Europa (Stoccolma) | eu-north-1 | opensearch.eu-north-1.amazonaws.com es.eu-north-1.amazonaws.com | HTTPS HTTPS |
| Asia Pacific (Hong Kong) | ap-east-1 | opensearch.ap-east-1.amazonaws.com es.ap-east-1.amazonaws.com | HTTPS HTTPS |
| Asia Pacific (Seoul) | ap-northeast-2 | opensearch.ap-northeast-2.amazonaws.com es.ap-northeast-2.amazonaws.com | HTTPS HTTPS |
| Asia Pacifico (Osaka-Locale) | ap-northeast-3 | opensearch.ap-northeast-3.amazonaws.com es.ap-northeast-3.amazonaws.com | HTTPS HTTPS |
| Asia Pacifico (Hyderabad) | ap-south-2 | opensearch.ap-south-2.amazonaws.com es.ap-south-2.amazonaws.com | HTTPS HTTPS |
| Europa (Spagna) | eu-south-2 | opensearch.eu-south-2.amazonaws.com es.eu-south-2.amazonaws.com | HTTPS HTTPS |
| Stati Uniti occidentali (California settentrionale) | us-west-1 | opensearch.us-west-1.amazonaws.com es.us-west-1.amazonaws.com | HTTPS HTTPS |
| Europa (Zurigo) | eu-central-2 | opensearch.eu-central-2.amazonaws.com es.eu-central-2.amazonaws.com | HTTPS HTTPS |
| Europe (Milan) | eu-south-1 | opensearch.eu-south-1.amazonaws.com es.eu-south-1.amazonaws.com | HTTPS HTTPS |
## OpenSearch quote di servizio UI
Il tuo AWS account ha le seguenti quote relative alle risorse OpenSearch dell'interfaccia utente.
| Nome | Predefinita | Adattabile | Note |
| --- | --- | --- | --- |
| OpenSearch Applicazioni dell'interfaccia utente per account per regione | 30 | Sì | Il numero massimo di applicazioni OpenSearch UI che puoi creare per account per regione. Puoi aumentare il limite a 50 utilizzando la quota di servizio e farlo approvare automaticamente. Per richiedere un limite più alto, invia un ticket di assistenza. |