本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 Amazon OpenSearch 服务进行分析
CloudWatch 日志与集成 Amazon OpenSearch Service ,使您能够创建自动策划的仪表板,这些仪表板显示 Service 从 OpenSearch 服务出售的日志中获得的关键指标。 AWS 以下控制面板可用:
+ **Amazon VPC 流日志控制面板**捕获 Amazon VPC 的网络流量数据。它帮助您分析网络流量、检测异常模式和监控资源使用情况。显示的关键指标包括:
+ 总流量以及这些流量的接受和拒绝情况
+ 一段时间内的流量模式
+ 一张 Sankey 图,说明了源和目标之间的数据流 IPs (最受欢迎的谈话者)
+ IPs 按字节数和传输的数据包排在首位
**注意**
目前仅支持 VPC 版本 2 字段格式。
+ **AWS WAF 日志仪表板**提供对所监视的 Web 流量的见解 AWS WAF。此仪表板可帮助您识别流量模式、被阻止的请求以及来自特定区域的潜在威胁,或者 IPs。显示的关键指标包括:
+ 总请求数,包括“允许”和“阻止”计数。
+ 一段时间内的请求历史记录,显示允许和阻止的请求。
+ 按 Web ACL 名称划分的请求、按终止规则划分的已阻止请求和来源。 IPs
+ 请求源的地理分布。
+ 按请求数排列的顶级客户端 IPs 和终止规则。
+ **CloudTrail 日志**控制面板使用 CloudTrail 日志概述您 AWS 环境中的 API 活动。它可用于监控 API 活动、审计操作以及识别潜在的安全或合规性问题。显示的关键指标包括:
+ 一段时间内的事件总数和事件历史记录
+ 按账户 IDs、类别和地区划分的事件明细。
+ 生成事件 IPs 所涉及的顶部 APIs、服务和来源。
+ 生成事件的热门用户的表,详细说明用户账户信息和事件计数。
+ **AWS Network Firewall** 控制面板可增强网络流量的可见性,为安全监控和分析提供宝贵的见解。此控制面板提供各种网络指标和模式的全面视图,以便快速识别潜在安全问题并优化网络配置。显示的关键指标包括:
+ 主要贡献者和协议
+ 对 PrivateLink 端点的洞察
+ 允许和阻止的 TLS 服务器名称指示流量
这些精选控制面板中显示的指标均来自 Amazon OpenSearch Service 分析。
在查看这些控制面板之前,您必须创建一个 IAM 角色并执行一次性的 CloudWatch Logs 集成 Amazon OpenSearch Service。这种一次性集成可配置创建和呈现仪表板所需的 Amazon OpenSearch Service 资源。您将因所使用的 OpenSearch 服务而产生费用。有关更多信息,请参阅 [Amazon CloudWatch 定价](https://aws.amazon.com/cloudwatch/pricing/)。
您只能为标准日志类中的日志组创建这些精选控制面板。
**重要**
不要对任何需要创建公开发布的日志控制面板的日志组使用[日志转换器](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatch-Logs-Transformation.html)。转换日志事件将导致控制面板的数据为空。
**Topics**
+ [步骤 1:创建与 OpenSearch 服务的集成](OpenSearch-Dashboards-Integrate.md)
+ [步骤 2:创建公开发布的日志控制面板](OpenSearch-Dashboards-Create.md)
+ [查看、编辑或删除公开发布的日志控制面板](OpenSearch-Dashboards-Manage.md)
+ [针对用户的 IAM 策略](OpenSearch-Dashboards-UserRoles.md)
+ [集成所需的权限](OpenSearch-Dashboards-CreateRole.md)
# 步骤 1:创建与 OpenSearch 服务的集成
第一步是创建与 S OpenSearch ervice 的集成,您只需执行一次即可。创建集成将在您的账户中创建以下资源。
+ 没有高可用@@ **[性的 OpenSearch Service 时间序列集合](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-collections.html)**。
集合是一组 OpenSearch 服务*索引*,它们协同工作以支持工作负载。
+ 集合的**两个安全策略**。一种定义了加密类型,即使用客户管理的 AWS KMS 密钥或服务拥有的密钥。另一个策略定义了网络访问权限,允许 OpenSearch 服务应用程序访问集合。有关更多信息,请参阅 [Amazon OpenSearch 服务的静态数据加密](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html)。
+ **[一种 OpenSearch 服务数据访问策略](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html)**,用于定义谁可以访问集合中的数据。
+ **[一种 OpenSearch 服务直接查询数据源,其源](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/direct-query-s3.html)**定义为 CloudWatch 日志。
+ 名@@ **[为的 OpenSearch 服务应用程序](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/application.html)**`aws-analytics`。该应用程序将配置为允许创建工作区。如果名为 `aws-analytics` 的应用程序已存在,则会对其进行更新,以添加此集合作为数据来源。
+ **[一个 OpenSearch 服务工作区](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/application.html)**,用于托管仪表板,并允许所有被授予访问权限的人从工作区读取。
**Topics**
+ [所需的权限](#OpenSearch-Dashboards-Perms)
+ [创建集成](#OpenSearch-Dashboards-Procedure)
## 所需的权限
要创建集成,您必须登录具有**CloudWatchOpenSearchDashboardsFullAccess**托管 IAM 策略或等效权限的账户,如下所示。您还必须拥有这些权限才能删除集成、创建、编辑和删除控制面板以及手动刷新控制面板。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "CloudWatchOpenSearchDashboardsIntegration",
"Effect": "Allow",
"Action": [
"logs:ListIntegrations",
"logs:GetIntegration",
"logs:DeleteIntegration",
"logs:PutIntegration",
"logs:DescribeLogGroups",
"opensearch:ApplicationAccessAll",
"iam:ListRoles",
"iam:ListUsers"
],
"Resource": "*"
},
{
"Sid": "CloudWatchLogsOpensearchReadAPIs",
"Effect": "Allow",
"Action": [
"aoss:BatchGetCollection",
"aoss:BatchGetLifecyclePolicy",
"es:ListApplications"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsOpensearchCreateServiceLinkedAccess",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "opensearchservice.amazonaws.com",
"aws:CalledViaFirst": "logs.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsObservabilityCreateServiceLinkedAccess",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/observability.aoss.amazonaws.com/AWSServiceRoleForAmazonOpenSearchServerless",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "observability.aoss.amazonaws.com",
"aws:CalledViaFirst": "logs.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsCollectionRequestAccess",
"Effect": "Allow",
"Action": [
"aoss:CreateCollection"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:RequestTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "CloudWatchOpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsApplicationRequestAccess",
"Effect": "Allow",
"Action": [
"es:CreateApplication"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:RequestTag/OpenSearchIntegration": [
"Dashboards"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "OpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsCollectionResourceAccess",
"Effect": "Allow",
"Action": [
"aoss:DeleteCollection"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:ResourceTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
}
}
},
{
"Sid": "CloudWatchLogsApplicationResourceAccess",
"Effect": "Allow",
"Action": [
"es:UpdateApplication",
"es:GetApplication"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:ResourceTag/OpenSearchIntegration": [
"Dashboards"
]
}
}
},
{
"Sid": "CloudWatchLogsCollectionPolicyAccess",
"Effect": "Allow",
"Action": [
"aoss:CreateSecurityPolicy",
"aoss:CreateAccessPolicy",
"aoss:DeleteAccessPolicy",
"aoss:DeleteSecurityPolicy",
"aoss:GetAccessPolicy",
"aoss:GetSecurityPolicy"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aoss:collection": "cloudwatch-logs-*",
"aws:CalledViaFirst": "logs.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsAPIAccessAll",
"Effect": "Allow",
"Action": [
"aoss:APIAccessAll"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aoss:collection": "cloudwatch-logs-*"
}
}
},
{
"Sid": "CloudWatchLogsIndexPolicyAccess",
"Effect": "Allow",
"Action": [
"aoss:CreateAccessPolicy",
"aoss:DeleteAccessPolicy",
"aoss:GetAccessPolicy",
"aoss:CreateLifecyclePolicy",
"aoss:DeleteLifecyclePolicy"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aoss:index": "cloudwatch-logs-*",
"aws:CalledViaFirst": "logs.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsDQSRequestQueryAccess",
"Effect": "Allow",
"Action": [
"es:AddDirectQueryDataSource"
],
"Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:RequestTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "CloudWatchOpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsStartDirectQueryAccess",
"Effect": "Allow",
"Action": [
"opensearch:StartDirectQuery",
"opensearch:GetDirectQuery"
],
"Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*"
},
{
"Sid": "CloudWatchLogsDQSResourceQueryAccess",
"Effect": "Allow",
"Action": [
"es:GetDirectQueryDataSource",
"es:DeleteDirectQueryDataSource"
],
"Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:ResourceTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
}
}
},
{
"Sid": "CloudWatchLogsPassRoleAccess",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:PassedToService": "directquery.opensearchservice.amazonaws.com",
"aws:CalledViaFirst": "logs.amazonaws.com"
}
}
},
{
"Sid": "CloudWatchLogsAossTagsAccess",
"Effect": "Allow",
"Action": [
"aoss:TagResource"
],
"Resource": "arn:aws:aoss:*:*:collection/*",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "logs.amazonaws.com",
"aws:ResourceTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "CloudWatchOpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsEsApplicationTagsAccess",
"Effect": "Allow",
"Action": [
"es:AddTags"
],
"Resource": "arn:aws:opensearch:*:*:application/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/OpenSearchIntegration": [
"Dashboards"
],
"aws:CalledViaFirst": "logs.amazonaws.com"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "OpenSearchIntegration"
}
}
},
{
"Sid": "CloudWatchLogsEsDataSourceTagsAccess",
"Effect": "Allow",
"Action": [
"es:AddTags"
],
"Resource": "arn:aws:opensearch:*:*:datasource/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/CloudWatchOpenSearchIntegration": [
"Dashboards"
],
"aws:CalledViaFirst": "logs.amazonaws.com"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "CloudWatchOpenSearchIntegration"
}
}
}
]
}
```
------
## 创建集成
请按照以下步骤创建集成。
**将 CloudWatch 日志与集成 Amazon OpenSearch Service**
1. 打开 CloudWatch 控制台,网址为[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)。
1. 在左侧导航窗格中,选择 **Logs Insights**,然后选择**分析方式 OpenSearch**选项卡。
1. 选择**创建集成**。
1. 在**集成名称**中,输入集成的名称。
1. (可选)要加密写入无服务器 OpenSearch 服务的数据,请在 KMS 密钥 ARN **中**输入要使用的密钥的 ARN。 AWS KMS 有关更多信息,请参阅《Amazon OpenSearch 服务开发者指南》中的[静态加密](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-encryption.html)。
1. 对于**数据保留**,请输入您希望保留 OpenSearch 服务数据索引的时间长度。这同时也定义了您可以在控制面板中查看数据的最长时间段。选择较长的数据留存期将产生额外的搜索和索引费用。有关更多信息,请参阅[无服务器OpenSearch 服务定价](https://aws.amazon.com/opensearch-service/pricing/)。
最长保留期为 30 天。
数据保留期限还将用于创建 OpenSearch 服务收集生命周期策略。
1. 对于用于**写入 OpenSearch 集合的** IAM 角色,请创建一个新的 IAM 角色或选择用于写入 OpenSearch 服务集合的现有 IAM 角色。
创建新角色是最简单的方法,将创建拥有必要权限的角色。
**注意**
如果您创建了一个角色,该角色将拥有读取账户中所有日志组的权限。
如果您想要选择一个现有角色,则该角色应具备[集成所需的权限](OpenSearch-Dashboards-CreateRole.md)中列出的权限。或者,您可以选择**使用现有角色**,然后在**验证所选角色的访问权限**部分中选择**创建角色**。这样,您可以将[集成所需的权限](OpenSearch-Dashboards-CreateRole.md)中列出的权限用作模板并进行修改。例如,如果您想对日志组进行更精细的控制。
1. 对于**可以查看控制面板的 IAM 角色和用户**,您可以选择如何向 IAM 角色和 IAM 用户授予访问公开发布的日志控制面板的权限:
+ 要将控制面板访问权限限制为仅限部分用户,请选择**选择可以查看控制面板的 IAM 角色和用户**,然后在文本框中搜索并选择要授予访问权限的 IAM 角色和 IAM 用户。
+ 要授予所有用户访问控制面板的权限,请选择**允许此账户中的所有角色和用户查看控制面板**。
**重要**
选择角色或用户,或者选择所有用户,只会将他们添加到[访问存储仪表板数据的 OpenSearch 服务集合所需的数据访问策略](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html)中。**要让他们能够查看公开发布的日志控制面板,您还必须授予这些角色和用户 [CloudWatchOpenSearchDashboardAccess](iam-identity-based-access-control-cwl.md#managed-policies-cwl-CloudWatchOpenSearchDashboardAccess) 托管 IAM 策略。**
1. 选择**创建集成**
创建集成需要几分钟时间。
# 步骤 2:创建公开发布的日志控制面板
创建集成后,您可以创建控制面板。控制面板可用于 Amazon VPC 流 CloudTrail 日志、日志和 AWS WAF 日志。
**使用服务派生的指标创建附带的日志仪表板 OpenSearch**
1. 打开 CloudWatch 控制台,网址为[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)。
1. 在左侧导航窗格中,选择 **Logs Insights**,然后选择**分析方式 OpenSearch**选项卡。
1. 请选择**创建控制面板**。
1. 选择要为哪种类型的日志创建控制面板 AWS WAF、Amazon VPC 流日志或 AWS Network Firewall。 CloudTrail
1. 输入控制面板名称,并选择性地输入描述。
1. 在**数据同步频率**中,输入您希望 Ser OpenSearch vice 查询的频率, CloudWatch 以便能够使用新数据同步和更新在 Ser OpenSearch vice 中创建的指标和索引。 OpenSearch 服务会在您的日志上创建指标和索引,用于呈现仪表板。
选择较短的时间可以使数据保持最新状态,但会产生更高的成本。
1. 为此控制面板选择要从中收集数据的日志组。请务必选择与您正在创建的控制面板类型匹配的日志组。
在进行这些选择时,您可以使用**浏览日志组**按钮和**查看选定日志组中的日志示例**选项,以确保您获得所需的日志组。
1. 请选择**创建控制面板**。
控制面板最初显示时没有任何数据。几分钟后,数据才会出现在控制面板中。首次显示数据时,将显示最近 15 分钟的日志条目。
# 查看、编辑或删除公开发布的日志控制面板
## 在 “日志” 或 OpenSearch “服务” 中查看已售 CloudWatch 日志仪表板
要查看控制面板,您必须登录具有 IAM 策略的 IA **CloudWatchOpenSearchDashboardAccess**M 委托人。
**查看公开发布的日志控制面板**
1. 打开 CloudWatch 控制台,网址为[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)。
1. 在左侧导航窗格中,选择 **Logs Insights**,然后选择**分析方式 OpenSearch**选项卡。
1. 在仪表板框中选择**OpenSearch 仪表板**。
1. (可选)在右上角选择**查看方式 OpenSearch**。
OpenSearch 服务控制台打开,您将在那里看到相同的仪表板。在 OpenSearch 服务控制台中,您可以对仪表板及其微件进行更改,当您在 CloudWatch 日志中查看仪表板时,这些更改也将可见。
## 向其他 IAM 角色或 IAM 用户授予控制面板查看权限
要在创建集成后向其他 IAM 主体授予访问权限,请执行下面的步骤。
**向其他 IAM 角色或用户授予公开发布的日志控制面板访问权限**
1. 编辑集合的数据访问策略以添加这些角色或用户。有关更多信息,请参阅《[ OpenSearch OpenSearch 服务开发者指南》中的 Amazon Service Serverless 数据访问控制](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html)。
1. **CloudWatchOpenSearchDashboardAccess**向这些用户授予。有关该策略内容的更多信息,请参阅 [CloudWatchOpenSearchDashboardAccess](iam-identity-based-access-control-cwl.md#managed-policies-cwl-CloudWatchOpenSearchDashboardAccess)。
## 编辑控制面板配置
您可以编辑现有公开发布的日志控制面板的名称、描述和同步频率。
**编辑公开发布的日志控制面板**
1. 打开 CloudWatch 控制台,网址为[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)。
1. 在左侧导航窗格中,选择 **Logs Insights**,然后选择**分析方式 OpenSearch**选项卡。
1. 在仪表板框中选择**OpenSearch 仪表板**。
1. 选择**操作**、**更改控制面板详细信息**。
1. 进行更改,然后选择**确认更改**。
## 删除公开发布的日志控制面板
您可以删除公开发布的日志控制面板。如果这样做,则在 OpenSearch 服务集合中创建的仪表板、指标和索引都将被删除。
**注意**
删除公开发布的日志控制面板后,请至少等待六个小时,然后再尝试重新创建相同的控制面板。如果您不等待,重新创建的控制面板将无法正常工作。
**删除公开发布的日志控制面板**
1. 打开 CloudWatch 控制台,网址为[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)。
1. 在左侧导航窗格中,选择 **Logs Insights**,然后选择**分析方式 OpenSearch**选项卡。
1. 在仪表板框中选择**OpenSearch 仪表板**。
1. 依次选择**操作**和**删除**。
1. 输入 **delete** 确认您的决定,然后选择**删除**。
## 删除所有出售的日志仪表板与 OpenSearch 服务的集成
您可以删除整个 OpenSearch 集成。如果这样做,则所有公开发布的日志控制面板及其中显示的数据都将被删除。
**重要**
为避免持续产生费用,我们强烈建议您在删除集成之前手动删除以下资源。删除集成不会自动删除这些资源,并且删除集成后,您将无法访问这些资源来将其删除。要查找要删除的资源的名称,请参阅以下过程。
[数据源](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/direct-query-s3-managing-data-sources.html#direct-query-s3-delete)
[集合](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-manage.html#serverless-delete.html)
[数据访问策略](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html#serverless-data-access-delete)
[加密策略](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-encryption.html#serverless-encryption-delete)
[网络策略](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-network.html#serverless-network-delete)
[生命周期策略](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-lifecycle.html#serverless-lifecycle-delete)
**要删除整个 vendated 日志仪表板与 OpenSearch 服务的集成**
1. 打开 CloudWatch 控制台,网址为[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)。
1. 在左侧导航窗格中,选择**设置**。
1. 选择**日志**选项卡。
1. 在**OpenSearch 集成**部分中,选择**删除集成**。
下一个屏幕显示在删除集成之前应删除的 OpenSearch 服务资源的名称。
1. 输入 **delete** 确认您的决定,然后选择**删除集成**。
# 针对用户的 IAM 策略
CloudWatch 日志创建了两个 IAM 策略,**CloudWatchOpenSearchDashboardsFullAccess**和**CloudWatchOpenSearchDashboardAccess**。下表列出了这些策略中的每个策略启用的操作。
| Action | IAM 策略 | 需要额外权限 |
| --- | --- | --- |
| 创建集成 | **CloudWatchOpenSearchDashboardsFullAccess** | |
| 删除集成 | **CloudWatchOpenSearchDashboardsFullAccess** | |
| 创建控制面板 | **CloudWatchOpenSearchDashboardsFullAccess** | |
| 编辑控制面板 | **CloudWatchOpenSearchDashboardsFullAccess** | |
| 删除控制面板 | **CloudWatchOpenSearchDashboardsFullAccess** | |
| 使用**立即同步**刷新控制面板 | **CloudWatchOpenSearchDashboardsFullAccess** | |
| 在**设置**中查看集成 | **CloudWatchOpenSearchDashboardAccess** 或 **CloudWatchOpenSearchDashboardsFullAccess** |
| 查看控制面板 | **CloudWatchOpenSearchDashboardAccess** 或 **CloudWatchOpenSearchDashboardsFullAccess** | 创建集成时指定角色或用户,或者编辑集合的数据访问策略以添加这些角色或用户。有关更多信息,请参阅《[ OpenSearch OpenSearch 服务开发者指南》中的 Amazon Service Serverless 数据访问控制](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html)。 |
| 在 OpenSearch 服务控制台中查看仪表板 | **CloudWatchOpenSearchDashboardAccess** 或 **CloudWatchOpenSearchDashboardsFullAccess** | 创建集成时指定角色或用户,或者编辑集合的数据访问策略以添加这些角色或用户。有关更多信息,请参阅《[ OpenSearch OpenSearch 服务开发者指南》中的 Amazon Service Serverless 数据访问控制](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html)。 |
# 集成所需的权限
如果您创建 IAM 角色供集成使用,则该角色必须包含以下权限和信任策略,而不是允许 L CloudWatch ogs 创建角色。有关如何创建 IAM 角色的更多信息,请参阅[创建角色以向 AWS 服务委派权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CloudWatchLogsAccess",
"Effect": "Allow",
"Action": [
"logs:StartQuery",
"logs:GetLogGroupFields",
"logs:GetQueryResults"
],
"Resource": [
"*"
]
},
{
"Sid": "CloudWatchLogsDescribeLogGroupsAccess",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups"
],
"Resource": "*"
},
{
"Sid": "AmazonOpenSearchCollectionAccess",
"Effect": "Allow",
"Action": [
"aoss:APIAccessAll"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aoss:collection": "cloudwatch-logs-*"
}
}
}
]
}
```
------
**注意**
之前的角色授予读取账户中所有日志组的权限,使您能够为任何日志账户(包括跨账户日志组)创建控制面板。如果您希望限制对特定日志组的访问,并仅为这些日志组创建控制面板,则可以将该策略中的第一条语句更新为以下内容:
```
{
"Sid": "CloudWatchLogsAccess",
"Effect": "Allow",
"Action": [
"logs:StartQuery",
"logs:GetLogGroupFields",
"logs:GetQueryResults"
],
"Resource": [
"arn:aws:logs:us-east-1:123456789012:log-group:myLogGroup:*",
"arn:aws:logs:us-east-1:123456789012:log-group:myLogGroup"
]
}
```