本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 OpenSearch 权限
配置为 QuickSight 连接到 OpenSearch 服务后,可能需要在中启用权限 OpenSearch。对于设置过程的这一部分,您可以使用每个 OpenSearch 域的 OpenSearch 控制面板链接。使用以下列表来帮助确定您需要的权限:
-
对于使用精细访问控制的域,以角色的形式配置权限。此过程类似于在中使用范围缩小策略。 QuickSight
-
对于您为其创建角色的每个域,添加角色映射。
有关更多信息,请参阅下面的。
如果您的 OpenSearch 域启用了精细访问控制,则需要配置一些权限,以便可以从中访问该域。 QuickSight对于要使用的每个域,执行以下步骤。
以下过程使用 OpenSearch 仪表板,这是一种可与之配合使用的开源工具 OpenSearch。您可以在 OpenSearch 服务控制台的域控制面板上找到仪表板的链接。
向域添加权限以允许从中进行访问 QuickSight
-
打开您要 OpenSearch 使用的域名的控制面 OpenSearch 板。URL 为
opensearch-domain-endpoint/dashboards/ -
在导航窗格中,选择安全性。
如果您未看到导航窗格,请使用左上角的菜单图标将其打开。要保持菜单处于打开状态,请选择左下角的悬浮导航。
-
依次选择角色和创建角色。
-
将角色命名为
quicksight_role。您可以选择其他名称,但我们推荐使用这个名称,因为我们在文档中使用的就是这个名称,因此更容易予以支持。
-
在集群权限下,添加以下权限:
-
cluster:monitor/main -
cluster:monitor/health -
cluster:monitor/state -
indices:data/read/scroll -
indices:data/read/scroll/clear,
-
-
在索引权限下,将
*指定为索引模式。 -
对于索引权限,请添加以下权限:
-
indices:admin/get -
indices:admin/mappings/get -
indices:admin/mappings/fields/get* -
indices:data/read/search* -
indices:monitor/settings/get
-
-
选择创建。
-
对您计划使用的每个 OpenSearch 域名重复此过程。
使用以下过程,为在上一个过程中添加的权限添加角色映射。您可能会发现,在单个流程中添加权限和角色映射会更有效率。为清楚起见,这些说明是分开的。
为您添加的 IAM 角色创建角色映射
-
打开您要 OpenSearch 使用的域名的控制面 OpenSearch 板。URL 为
opensearch-domain-endpoint/dashboards/ -
在导航窗格中,选择安全性。
-
从列表中搜索并打开
quicksight_role。 -
在映射的用户选项卡上,选择管理映射。
-
在后端角色部分,输入 AWS由托管的 IAM 角色的 ARN。 QuickSight以下为示例。
arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0 -
选择映射。
-
对要使用的每个 OpenSearch 域重复此过程。
