Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Analice con Amazon OpenSearch Service
CloudWatch Logs se integra Amazon OpenSearch Service para permitirle crear paneles de control automáticos seleccionados que muestran las métricas clave que OpenSearch Service obtiene a partir de los registros vendidos desde los servicios. AWS Están disponibles los siguientes paneles:
+ Un **panel de registros de flujos de Amazon VPC** captura los datos de flujo de red para Amazon VPC. Ayuda a analizar el tráfico de la red, detectar patrones inusuales y supervisar el uso de los recursos. Entre las métricas clave que se muestran se incluyen las siguientes:
+ Flujos totales y aceptación y rechazo de estos flujos
+ Patrones de tráfico a lo largo del tiempo
+ Un diagrama de Sankey que ilustra el flujo de datos entre el origen y el destino IPs (los más consultados)
+ Arriba IPs por bytes y paquetes transferidos
**nota**
Actualmente, solo se admite el formato de campos de la versión 2 de VPC.
+ Un **panel de AWS WAF registros** proporciona información sobre el tráfico web que monitorea AWS WAF. Este panel le ayuda a identificar los patrones de tráfico, las solicitudes bloqueadas y las posibles amenazas procedentes de regiones o regiones específicas IPs. Entre las métricas clave que se muestran se incluyen las siguientes:
+ Total de solicitudes, incluidas las denominadas “ALLOW” y “BLOCK”.
+ Historial de solicitudes a lo largo del tiempo, que muestra las solicitudes permitidas y bloqueadas.
+ Desglose de las solicitudes por nombre de ACL web, solicitudes bloqueadas por regla de finalización y fuente. IPs
+ Una distribución geográfica de los orígenes de las solicitudes.
+ Principales reglas de cliente IPs y de terminación por número de solicitudes.
+ Un panel **CloudTrail de registros** proporciona una descripción general de la actividad de las API en su AWS entorno mediante el uso de CloudTrail registros. Resulta útil para supervisar la actividad de las API, auditar las acciones e identificar posibles problemas de seguridad o conformidad. Entre las métricas clave que se muestran se incluyen las siguientes:
+ Recuento total de eventos e historial de eventos a lo largo del tiempo
+ Un desglose de los eventos por cuenta IDs, categorías y regiones.
+ Principales APIs, servicios y fuentes que IPs intervienen en la generación de eventos.
+ Una tabla de los principales usuarios que generan eventos, en la que se detalla la información de las cuentas de usuario y el recuento de eventos.
+ Un panel de control de **AWS Network Firewall** proporciona una mayor visibilidad del tráfico de la red y ofrece información valiosa para la supervisión y el análisis de la seguridad. Este panel ofrece una visión completa de varias métricas y patrones de la red, para identificar rápido los posibles problemas de seguridad y optimizar las configuraciones de red. Entre las métricas clave que se muestran se incluyen las siguientes:
+ Principales hablantes y protocolos
+ Información sobre los puntos PrivateLink finales
+ Tráfico de indicación de nombre de servidor TLS permitido y bloqueado
Las métricas que se muestran en estos paneles seleccionados se derivan de los análisis de Amazon OpenSearch Service .
Antes de poder ver estos paneles, debe crear un rol de IAM y realizar una integración única de CloudWatch Logs con él. Amazon OpenSearch Service Esta integración única configura los Amazon OpenSearch Service recursos necesarios para crear y renderizar el panel. Se le cobrarán cargos por los OpenSearch servicios utilizados. Para obtener más información, consulta los [ CloudWatch precios de Amazon](https://aws.amazon.com/cloudwatch/pricing/).
Puede crear estos paneles seleccionados solo para los grupos de registro en la clase Estándar.
**importante**
No utilice [transformadores de registro](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatch-Logs-Transformation.html) para ningún grupo de registros para el que desee crear paneles de registros ofrecidos. La transformación de los eventos de registro provocará que los paneles tengan datos vacíos.
**Topics**
+ [
# Paso 1: Crear la integración con OpenSearch Service
](OpenSearch-Dashboards-Integrate.md)
+ [
# Paso 2: Creación de paneles de control de registros de venta
](OpenSearch-Dashboards-Create.md)
+ [
# Visualice, edite o elimine los paneles de registros ofrecidos
](OpenSearch-Dashboards-Manage.md)
+ [
# Políticas de IAM para usuarios
](OpenSearch-Dashboards-UserRoles.md)
+ [
# Permisos que necesita la integración
](OpenSearch-Dashboards-CreateRole.md)
# Paso 1: Crear la integración con OpenSearch Service
El primer paso es crear la integración con el OpenSearch Servicio, lo que solo debe hacer una vez. La creación de la integración dará lugar a los siguientes recursos en su cuenta.
+ **[Una colección de series OpenSearch Service temporales](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-collections.html)** sin alta disponibilidad.
Una colección es un conjunto de *índices* de OpenSearch servicios que funcionan juntos para soportar una carga de trabajo.
+ **Dos políticas de seguridad** para la colección. Uno define el tipo de cifrado, que puede ser con una AWS KMS clave administrada por el cliente o con una clave propiedad del servicio. La otra política define el acceso a la red, lo que permite a la aplicación del OpenSearch servicio acceder a la colección. Para obtener más información, consulta [Cifrado de datos en reposo para Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html).
+ **[Una política de acceso a los datos del OpenSearch servicio](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html)** que define quién puede acceder a los datos de la recopilación.
+ **[Una fuente de datos de consulta directa del OpenSearch servicio](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/direct-query-s3.html)** con CloudWatch los registros definidos como fuente.
+ **[Una aplicación OpenSearch de servicio](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/application.html)** con el nombre`aws-analytics`. La aplicación se configurará para permitir la creación de un espacio de trabajo. Si ya existe una aplicación denominada `aws-analytics`, se actualizará para añadir esta colección como origen de datos.
+ **[Un espacio OpenSearch de trabajo de servicio](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/application.html)** que alojará los paneles y permitirá a todas las personas a las que se haya concedido el acceso leer desde el espacio de trabajo.
**Topics**
+ [
## Permisos necesarios
](#OpenSearch-Dashboards-Perms)
+ [
## Crear la integración
](#OpenSearch-Dashboards-Procedure)
## Permisos necesarios
Para crear la integración, debe iniciar sesión en una cuenta que tenga la política de IAM **CloudWatchOpenSearchDashboardsFullAccess**gestionada o permisos equivalentes, como se muestra aquí. También debe tener estos permisos para eliminar la integración, crear, editar y eliminar paneles, y para actualizar el panel de forma manual.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "CloudWatchOpenSearchDashboardsIntegration",
"Effect": "Allow",
"Action": [
"logs:ListIntegrations",
"logs:GetIntegration",
"logs:DeleteIntegration",
"logs:PutIntegration",
"logs:DescribeLogGroups",
"opensearch:ApplicationAccessAll",
"iam:ListRoles",
"iam:ListUsers"
],
"Resource": "*"
},
{
"Sid": "CloudWatchLogsOpensearchReadAPIs",
"Effect": "Allow",
"Action": [
"aoss:BatchGetCollection",
"aoss:BatchGetLifecyclePolicy",
"es:ListApplications"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsOpensearchCreateServiceLinkedAccess",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "opensearchservice.amazonaws.com",
"aws:CalledViaFirst": "logs.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsObservabilityCreateServiceLinkedAccess",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/observability.aoss.amazonaws.com/AWSServiceRoleForAmazonOpenSearchServerless",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "observability.aoss.amazonaws.com",
"aws:CalledViaFirst": "logs.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsCollectionRequestAccess",
"Effect": "Allow",
"Action": [
"aoss:CreateCollection"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:RequestTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "CloudWatchOpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsApplicationRequestAccess",
"Effect": "Allow",
"Action": [
"es:CreateApplication"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:RequestTag/OpenSearchIntegration": [
"Dashboards"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "OpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsCollectionResourceAccess",
"Effect": "Allow",
"Action": [
"aoss:DeleteCollection"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:ResourceTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
}
}
},
{
"Sid": "CloudWatchLogsApplicationResourceAccess",
"Effect": "Allow",
"Action": [
"es:UpdateApplication",
"es:GetApplication"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:ResourceTag/OpenSearchIntegration": [
"Dashboards"
]
}
}
},
{
"Sid": "CloudWatchLogsCollectionPolicyAccess",
"Effect": "Allow",
"Action": [
"aoss:CreateSecurityPolicy",
"aoss:CreateAccessPolicy",
"aoss:DeleteAccessPolicy",
"aoss:DeleteSecurityPolicy",
"aoss:GetAccessPolicy",
"aoss:GetSecurityPolicy"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aoss:collection": "cloudwatch-logs-*",
"aws:CalledViaFirst": "logs.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsAPIAccessAll",
"Effect": "Allow",
"Action": [
"aoss:APIAccessAll"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aoss:collection": "cloudwatch-logs-*"
}
}
},
{
"Sid": "CloudWatchLogsIndexPolicyAccess",
"Effect": "Allow",
"Action": [
"aoss:CreateAccessPolicy",
"aoss:DeleteAccessPolicy",
"aoss:GetAccessPolicy",
"aoss:CreateLifecyclePolicy",
"aoss:DeleteLifecyclePolicy"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aoss:index": "cloudwatch-logs-*",
"aws:CalledViaFirst": "logs.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsDQSRequestQueryAccess",
"Effect": "Allow",
"Action": [
"es:AddDirectQueryDataSource"
],
"Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:RequestTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "CloudWatchOpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsStartDirectQueryAccess",
"Effect": "Allow",
"Action": [
"opensearch:StartDirectQuery",
"opensearch:GetDirectQuery"
],
"Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*"
},
{
"Sid": "CloudWatchLogsDQSResourceQueryAccess",
"Effect": "Allow",
"Action": [
"es:GetDirectQueryDataSource",
"es:DeleteDirectQueryDataSource"
],
"Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:ResourceTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
}
}
},
{
"Sid": "CloudWatchLogsPassRoleAccess",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:PassedToService": "directquery.opensearchservice.amazonaws.com",
"aws:CalledViaFirst": "logs.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsAossTagsAccess",
"Effect": "Allow",
"Action": [
"aoss:TagResource"
],
"Resource": "arn:aws:aoss:*:*:collection/*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:ResourceTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "CloudWatchOpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsEsApplicationTagsAccess",
"Effect": "Allow",
"Action": [
"es:AddTags"
],
"Resource": "arn:aws:opensearch:*:*:application/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/OpenSearchIntegration": [
"Dashboards"
],
"aws:CalledViaFirst": "logs.amazonaws.com"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "OpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsEsDataSourceTagsAccess",
"Effect": "Allow",
"Action": [
"es:AddTags"
],
"Resource": "arn:aws:opensearch:*:*:datasource/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
],
"aws:CalledViaFirst": "logs.amazonaws.com"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "CloudWatchOpenSearchIntegration"
}
}
}
]
}
```
------
## Crear la integración
Siga estos pasos para crear la integración.
**Para integrar CloudWatch Logs con Amazon OpenSearch Service**
1. Abra la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. En el panel de navegación izquierdo, elija **Logs Insights** y, a continuación, elija la OpenSearch pestaña **Analizar con**.
1. Seleccione **Crear integración**.
1. En **Nombre de la integración**, introduzca un nombre para la integración.
1. **(Opcional) Para cifrar los datos escritos en OpenSearch Service Serverless, introduzca el ARN de la AWS KMS clave que quiere usar en el ARN de la clave de KMS.** Para obtener más información, consulta [Encryption at rest](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-encryption.html) en la Guía para desarrolladores de Amazon OpenSearch Service.
1. Para la **retención de datos**, introduzca el tiempo que desea que se conserven los índices de datos del OpenSearch Servicio. Esto también define el periodo máximo durante el cual se pueden ver los datos en los paneles. Si se elige un período de retención de datos más prolongado, se incurrirá en costos adicionales de búsqueda e indexación. Para obtener más información, consulte los precios [OpenSearch de Service Serverless](https://aws.amazon.com/opensearch-service/pricing/).
El período máximo de retención es de 30 días.
La duración de la retención de los datos también se utilizará para crear la política del ciclo de vida de la recopilación de OpenSearch servicios.
1. En el caso de la **función de IAM para escribir en la OpenSearch colección**, cree una nueva función de IAM o seleccione una función de IAM existente para utilizarla para escribir en la OpenSearch colección de servicios.
Crear un nuevo rol es el método más sencillo y el rol se creará con los permisos necesarios.
**nota**
Si se crea un rol, se tendrán permisos para leer todos los grupos de registros de la cuenta.
Si se desea seleccionar un rol existente, se deben tener los permisos que aparecen en [Permisos que necesita la integración](OpenSearch-Dashboards-CreateRole.md). Como alternativa, se puede elegir **Usar un rol existente** y, a continuación, en la sección **Verificar los permisos de acceso del rol seleccionado**, se puede elegir **Crear rol**. De esta forma, se pueden utilizar los permisos que figuran en [Permisos que necesita la integración](OpenSearch-Dashboards-CreateRole.md) como una plantilla y modificarlos. Por ejemplo, si se desea especificar un control más preciso de los grupos de registros.
1. En el caso de los **roles y los usuarios de IAM que pueden ver los paneles**, seleccione cómo quiere conceder el acceso a los roles de IAM y a los usuarios de IAM el acceso al panel de registros ofrecidos:
+ Para limitar el acceso al panel de control solo a algunos usuarios, seleccione **Seleccionar los roles de IAM y los usuarios que puedan ver los paneles** y, a continuación, en el cuadro de texto, busque y seleccione los roles de IAM y los usuarios de IAM a los que quiere conceder acceso.
+ Para conceder acceso al panel a todos los usuarios, seleccione **Permitir que todos los roles y usuarios de esta cuenta vean los paneles**.
**importante**
Al seleccionar roles o usuarios, o elegir a todos los usuarios, solo se añaden a la [política de acceso a los datos necesaria para acceder a](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html) la colección de OpenSearch servicios que almacena los datos del panel de control. **Para que puedan ver los paneles de control de los registros ofrecidos, también se debe conceder a esos roles y usuarios la política de IAM [CloudWatchOpenSearchDashboardAccess](iam-identity-based-access-control-cwl.md#managed-policies-cwl-CloudWatchOpenSearchDashboardAccess) administrada.**
1. Seleccione **Creación de integración**.
La creación de la integración tardará unos minutos.
# Paso 2: Creación de paneles de control de registros de venta
Una vez creada la integración, se pueden crear paneles de control. Los paneles están disponibles para los logs CloudTrail , logs y logs de flujo de Amazon VPC. AWS WAF
**Para crear un panel de registro vendido con las métricas derivadas por el servicio OpenSearch**
1. Abra la CloudWatch consola en. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)
1. En el panel de navegación izquierdo, elija **Logs Insights** y, a continuación, elija la OpenSearch pestaña **Analizar con**.
1. Elija **Crear panel**.
1. Elija el tipo de registros para los que desea crear el panel de control AWS WAF, los registros de flujo de Amazon VPC o. CloudTrail AWS Network Firewall
1. Introduzca un nombre para el panel y, opcionalmente, una descripción.
1. En cuanto a la **frecuencia de sincronización de datos**, introduzca la frecuencia con la que desea que OpenSearch Service consulte CloudWatch para que las métricas y los índices creados en el OpenSearch Servicio se puedan sincronizar y actualizar con los nuevos datos. OpenSearch El servicio crea métricas e índices en sus registros para representar el panel.
Elegir un tiempo más corto mantiene los datos más actualizados e implica costos más altos.
1. Seleccione los grupos de registros de los que desea recopilar datos para este panel. Asegúrese de seleccionar grupos de registros que coincidan con el tipo de panel que va a crear.
Puede utilizar el botón **Examinar grupos de registros** y la opción **Ver muestras de registro de los grupos de registros seleccionados** al seleccionar estas opciones, para asegurarse de que obtiene los grupos de registros que desea.
1. Elija **Crear panel**.
Al principio, el panel aparece sin datos. Transcurridos unos minutos, los datos aparecerán en el panel. Cuando los datos aparezcan por primera vez, corresponderán a los últimos 15 minutos de entradas de registro.
# Visualice, edite o elimine los paneles de registros ofrecidos
## Vea los paneles de registros vendidos en CloudWatch Logs o Service OpenSearch
Para poder ver los paneles, debe iniciar sesión con un director de IAM que tenga la política de IAM. **CloudWatchOpenSearchDashboardAccess**
**Visualización de los paneles de registro ofrecidos**
1. Abra la consola en CloudWatch . [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)
1. En el panel de navegación izquierdo, elija **Logs Insights** y, a continuación, elija la OpenSearch pestaña **Analizar con**.
1. Seleccione el panel de control en el cuadro de **OpenSearch cuadros de mando**.
1. (Opcional) En la esquina superior derecha, selecciona **Ver en OpenSearch**.
Se abre la consola de OpenSearch servicio y allí aparece el mismo panel de control. En la consola de OpenSearch servicio, puede realizar cambios en el panel y sus widgets, y estos cambios también estarán visibles cuando visualice el panel en CloudWatch los registros.
## Concesión de acceso a otros roles de IAM o usuarios de IAM para ver el panel
Para conceder acceso a otras entidades principales de IAM una vez creada la integración, siga estos pasos.
**Concesión de acceso a roles de IAM o usuarios de IAM adicionales al panel de registros ofrecidos**
1. Edite la política de acceso a los datos de la colección para añadir estos roles o usuarios. Para obtener más información, consulte [Control de acceso a datos para Amazon OpenSearch Service Serverless](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html) en la Guía para desarrolladores OpenSearch de servicios.
1. **CloudWatchOpenSearchDashboardAccess**Concédelo a estos usuarios. Para obtener más información acerca del contenido de esta política, consulte [CloudWatchOpenSearchDashboardAccess](iam-identity-based-access-control-cwl.md#managed-policies-cwl-CloudWatchOpenSearchDashboardAccess).
## Edición de la configuración del panel
Se pueden editar el nombre, la descripción y la frecuencia de sincronización de los paneles de registro cifrados existentes.
**Edición de un panel de control de registros ofrecido**
1. Abra la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. En el panel de navegación izquierdo, elija **Logs Insights** y, a continuación, elija la OpenSearch pestaña **Analizar con**.
1. Seleccione el panel de control en el cuadro de **OpenSearch cuadros de mando**.
1. Seleccione **Acciones** y **Cambiar los detalles del panel**.
1. Realice los cambios y, a continuación, elija **Confirmar cambios**.
## Eliminación de un panel de registro ofrecido
Puede eliminar un panel de registro ofrecido. Si lo hace, se eliminarán todos el panel, las métricas y los índices creados en la colección de OpenSearch servicios.
**nota**
Después de eliminar un panel de registro ofrecido, espere al menos seis horas antes de intentar volver a crear ese mismo panel. Si no se espera, el panel que se ha vuelto a crear no funcionará correctamente.
**Eliminación de un panel de registro ofrecido**
1. Abre la CloudWatch consola en. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)
1. En el panel de navegación izquierdo, elija **Logs Insights** y, a continuación, elija la OpenSearch pestaña **Analizar con**.
1. Seleccione el panel de control en el cuadro de **OpenSearch cuadros de mando**.
1. Elija **Acciones**, **Eliminar**.
1. Confirme su decisión mediante el ingreso de **delete**, y, a continuación, seleccione **Eliminar**.
## Elimine toda la integración del panel de registro vendido con el servicio OpenSearch
Puede eliminar toda la OpenSearch integración. Si lo hace, se eliminarán todos los paneles de registros ofrecidos y los datos que se mostraban en ellos.
**importante**
Para evitar costes continuos, recomendamos encarecidamente la eliminación manual de los siguientes recursos antes de eliminar la integración. Al eliminar la integración, estos recursos no se eliminan automáticamente y, una vez eliminada la integración, no se los podrá acceder para eliminarlos. Para buscar los nombres de los recursos que se van a eliminar, consulte el siguiente procedimiento.
[La fuente de datos](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/direct-query-s3-managing-data-sources.html#direct-query-s3-delete)
[La colección](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-manage.html#serverless-delete.html)
[La política de acceso a los datos](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html#serverless-data-access-delete)
[La política de cifrado](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-encryption.html#serverless-encryption-delete)
[La política de red](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-network.html#serverless-network-delete)
[La política del ciclo de vida](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-lifecycle.html#serverless-lifecycle-delete)
**Para eliminar toda la integración del panel de control de Vended Log con Service OpenSearch**
1. Abre la CloudWatch consola en. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)
1. En el panel de navegación izquierdo, elija **Configuración**.
1. Elija la pestaña **Logs (Registros)**.
1. En la sección de **OpenSearch integración**, selecciona **Eliminar integración**.
La siguiente pantalla muestra los nombres de los recursos del OpenSearch servicio que debe eliminar antes de eliminar la integración.
1. Confirme su decisión mediante el ingreso de **delete**, y, a continuación, seleccione **Eliminación de la integración**.
# Políticas de IAM para usuarios
CloudWatch Logs ha creado dos políticas de IAM **CloudWatchOpenSearchDashboardsFullAccess**y **CloudWatchOpenSearchDashboardAccess**. En la siguiente tabla se enumeran las acciones que permite cada una de estas políticas.
| Action | Política de IAM | Se necesitan permisos adicionales |
| --- | --- | --- |
| Creación de integración | **CloudWatchOpenSearchDashboardsFullAccess** | |
| Eliminación de integración | **CloudWatchOpenSearchDashboardsFullAccess** | |
| Creación de panel | **CloudWatchOpenSearchDashboardsFullAccess** | |
| Edición de panel | **CloudWatchOpenSearchDashboardsFullAccess** | |
| Eliminación de panel | **CloudWatchOpenSearchDashboardsFullAccess** | |
| Actualización del panel de control con **Sincronizar ahora** | **CloudWatchOpenSearchDashboardsFullAccess** | |
| Visualización de la integración en **Configuración** | **CloudWatchOpenSearchDashboardAccess** o **CloudWatchOpenSearchDashboardsFullAccess** |
| Visualización del panel | **CloudWatchOpenSearchDashboardAccess** o **CloudWatchOpenSearchDashboardsFullAccess** | Especifique el rol o el usuario al crear la integración, o edite la política de acceso a los datos de la colección para agregar estos roles o usuarios. Para obtener más información, consulte [Control de acceso a datos para Amazon OpenSearch Service Serverless](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html) en la Guía para desarrolladores OpenSearch de servicios. |
| Vea el panel de control en la consola OpenSearch de servicio | **CloudWatchOpenSearchDashboardAccess** o **CloudWatchOpenSearchDashboardsFullAccess** | Especifique el rol o el usuario al crear la integración, o edite la política de acceso a los datos de la colección para agregar estos roles o usuarios. Para obtener más información, consulte [Control de acceso a datos para Amazon OpenSearch Service Serverless](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html) en la Guía para desarrolladores OpenSearch de servicios. |
# Permisos que necesita la integración
Si crea un rol de IAM para que lo utilice la integración, en lugar de permitir que CloudWatch Logs cree el rol, debe incluir la siguiente política de permisos y confianza. Para obtener más información sobre cómo crear un rol de IAM, consulte [Crear un rol para delegar permisos a un AWS servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CloudWatchLogsAccess",
"Effect": "Allow",
"Action": [
"logs:StartQuery",
"logs:GetLogGroupFields",
"logs:GetQueryResults"
],
"Resource": [
"*"
]
},
{
"Sid": "CloudWatchLogsDescribeLogGroupsAccess",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups"
],
"Resource": "*"
},
{
"Sid": "AmazonOpenSearchCollectionAccess",
"Effect": "Allow",
"Action": [
"aoss:APIAccessAll"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aoss:collection": "cloudwatch-logs-*"
}
}
}
]
}
```
------
**nota**
El rol anterior otorga acceso a la lectura de todos los grupos de registros de la cuenta, lo que permite crear paneles para cualquier cuenta de registro, incluidos los grupos de registros entre cuentas. Si desea restringir el acceso a grupos de registros específicos y crear paneles solo para esos grupos de registros, se puede actualizar la primera declaración de esa política de la siguiente manera:
```
{
"Sid": "CloudWatchLogsAccess",
"Effect": "Allow",
"Action": [
"logs:StartQuery",
"logs:GetLogGroupFields",
"logs:GetQueryResults"
],
"Resource": [
"arn:aws:logs:us-east-1:123456789012:log-group:myLogGroup:*",
"arn:aws:logs:us-east-1:123456789012:log-group:myLogGroup"
]
}
```