本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 建立 Amazon Managed Service for Prometheus 資料來源
若要建立 Amazon Managed Service for Prometheus 資料來源,您需要作用中的工作區和 IAM 角色,授予 OpenSearch Service 查詢指標的必要許可。
## 先決條件
連接資料來源之前,請確定您有下列項目:
+ **Prometheus 工作區** – 作用中的 Amazon Managed Service for Prometheus 工作區。請記下您的工作區 ID AWS 區域 及其所在位置。
+ **IAM 角色** – 具有信任政策的角色,允許`directquery.opensearchservice.amazonaws.com`服務主體擔任該 AWS Identity and Access Management 角色。
## 連接資料來源
滿足先決條件後,您可以使用 OpenSearch Service 主控台連接資料來源。
**設定 Amazon Managed Service for Prometheus 資料來源**
1. 在 [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/) 瀏覽至 Amazon OpenSearch Service 主控台。
1. 在左側導覽窗格中,前往**中央管理**並選擇**已連線的資料來源**。
1. 選擇**連接新資料來源**。
1. 選擇 **Amazon Managed Service for Prometheus** 作為資料來源類型。
1. 選擇**下一步**。
1. 在**資料連線詳細資訊**下,輸入名稱和選用描述。
1. 在 **IAM 角色**下,選擇如何管理存取:
+ 若要自動為此資料來源建立角色:
1. 選取**建立新角色**。
1. 輸入 IAM 角色的名稱。
1. 選取一或多個工作區,以定義可查詢哪些資料。
+ 若要使用您自己管理的現有角色:
1. 選取**使用現有角色**。
1. 從下拉式功能表中選取現有角色。
**注意**
使用您自己的角色時,請從 IAM 主控台連接必要的政策,以確保它具有所有必要的許可。如需詳細資訊,請參閱[手動建立 IAM 角色的必要許可](#direct-query-prometheus-manual-role-permissions)。
1. (選用) 在**存取政策**下,設定資料來源的存取政策。存取政策控制是否接受或拒絕對 OpenSearch Service 直接查詢資料來源的請求。如果您未設定存取政策,則只有資料來源擁有者可以存取。您可以設定存取政策以啟用跨帳戶存取,允許其他 中的主體 AWS 帳戶 存取資料來源。
您可以使用視覺化編輯器或提供 JSON 政策文件來建立存取政策。使用視覺化編輯器,您可以透過指定委託人 AWS 帳戶 ID、帳戶 ARN、IAM 使用者 ARN、IAM 角色 ARN、來源 IP 地址或 CIDR 區塊來允許或拒絕存取。視覺化編輯器最多支援 10 個元素。若要定義超過 10 個元素的政策,請使用 JSON 編輯器。
您也可以選擇**匯入政策**,從另一個資料來源匯入現有的存取政策。
1. (選用) 在**標籤**下,將標籤新增至資料來源。
1. 選擇**下一步**。
1. 在**設定 OpenSearch** 下,選擇如何設定 OpenSearch UI:
1. 如果您的帳戶中沒有 OpenSearch UI 應用程式,請建立新的 OpenSearch 應用程式。如果現有的 OpenSearch 應用程式存在,請選取它。
1. 如果您建立新的應用程式,請建立新的可觀測性工作區。如果您選取現有的應用程式,請建立新的可觀測性工作區或選取現有的工作區。Amazon Managed Service for Prometheus 僅適用於可觀測性工作區。
1. 選擇**下一步**。
1. 檢閱您的選擇,如果您需要進行任何變更,請選擇**編輯**。
1. 選擇**連線**以設定資料來源。建立資料來源時,請保留在此頁面上。準備就緒後,系統會帶您前往資料來源詳細資訊頁面。
### 後續步驟
**造訪 OpenSearch UI**
建立資料來源之後,OpenSearch Service 會為您提供 OpenSearch UI 應用程式 URL。您可以使用此功能來設定可存取 OpenSearch UI 的人員,並使用 Discover Metrics with PromQL 來分析 Amazon Managed Service for Prometheus 資料。
### 其他資源
#### 手動建立 IAM 角色的必要許可
建立資料來源時,您可以選擇 IAM 角色來管理對資料的存取。您有兩種選擇:
+ 自動建立新的 IAM 角色
+ 使用您手動建立的現有 IAM 角色
如果您使用手動建立的角色,則需要將正確的許可連接到角色。許可必須允許存取特定資料來源,並允許 OpenSearch Service 擔任該角色。這是必要的,以便 OpenSearch Service 可以安全地存取您的資料並與之互動。
下列範例政策示範建立和管理資料來源所需的最低權限許可。如果您有更廣泛的許可,例如 `aps:*`或 `AdministratorAccess`政策,這些許可會包含範例政策中最低權限的許可。
在下列範例政策中,將*預留位置*文字取代為您自己的資訊。
**範例 IAM 政策**
將下列許可連接至您的 IAM 角色,以允許 OpenSearch Service 擷取指標中繼資料並執行查詢:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AmazonOpenSearchDirectQueryPrometheusAccess",
"Effect": "Allow",
"Action": [
"aps:DeleteAlertManagerSilence",
"aps:GetAlertManagerSilence",
"aps:GetAlertManagerStatus",
"aps:GetLabels",
"aps:GetMetricMetadata",
"aps:GetSeries",
"aps:ListAlertManagerAlertGroups",
"aps:ListAlertManagerAlerts",
"aps:ListAlertManagerReceivers",
"aps:ListAlertManagerSilences",
"aps:ListAlerts",
"aps:QueryMetrics",
"aps:PutAlertManagerSilences",
"aps:DescribeAlertManagerDefinition",
"aps:CreateRuleGroupsNamespace",
"aps:DeleteRuleGroupsNamespace",
"aps:ListRuleGroupsNamespaces",
"aps:DescribeRuleGroupsNamespace",
"aps:PutRuleGroupsNamespace"
],
"Resource": "arn:aws:aps:region:account-id:workspace/workspace-id",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"directquery.opensearchservice.amazonaws.com"
]
}
}
},
{
"Sid": "AmazonOpenSearchDirectQueryPrometheusListAccess",
"Effect": "Allow",
"Action": [
"aps:ListWorkspaces"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"directquery.opensearchservice.amazonaws.com"
]
}
}
}
]
}
```
**信任政策範例**
將下列信任政策連接至您的 IAM 角色:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "TrustPolicyForAmazonOpenSearchDirectQueryService",
"Effect": "Allow",
"Principal": {
"Service": "directquery.opensearchservice.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnEquals": {
"aws:SourceArn": "arn:aws:opensearch:region:account-id:datasource/data-source-name"
},
"StringEquals": {
"aws:SourceAccount": "account-id"
}
}
}
]
}
```