Uso de roles vinculados a servicios para crear dominios y fuentes de datos de consultas directas VPC - OpenSearch Servicio Amazon
Función heredada de ElasticsearchPermisosCreación del rol vinculado a servicio Edición del rol vinculado al servicio Eliminación del rol vinculado a un servicio

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de roles vinculados a servicios para crear dominios y fuentes de datos de consultas directas VPC

Amazon OpenSearch Service usa AWS Identity and Access Management (IAM) roles vinculados al servicio. Un rol vinculado al servicio es un tipo único de IAM rol que está vinculado directamente al Servicio. OpenSearch Los roles vinculados al servicio están predefinidos por el OpenSearch Servicio e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.

OpenSearch El servicio usa el rol vinculado al servicio denominado AWSServiceRoleForAmazonOpenSearchService, que proporciona los permisos mínimos de Amazon EC2 y Elastic Load Balancing necesarios para que el rol permita el VPCacceso a un dominio o a una fuente de datos de consulta directa.

Función heredada de Elasticsearch

Amazon OpenSearch Service utiliza un rol vinculado a un servicio denominado. AWSServiceRoleForAmazonOpenSearchService Es posible que tus cuentas también contengan un rol antiguo vinculado a un servicio llamadoAWSServiceRoleForAmazonElasticsearchService, que funciona con los puntos de enlace obsoletos de Elasticsearch. API

Si el rol heredado de Elasticsearch no existe en tu cuenta, OpenSearch Service crea automáticamente un nuevo rol vinculado al servicio la primera OpenSearch vez que crees un dominio. OpenSearch En caso contrario, la cuenta seguirá utilizando el rol de Elasticsearch. Para que esta creación automática se realice correctamente, es necesario disponer de permisos para la acción iam:CreateServiceLinkedRole.

Permisos

El rol vinculado al servicio AWSServiceRoleForAmazonOpenSearchService depende de los siguientes servicios para asumir el rol:

  • opensearchservice.amazonaws.com

La política de permisos de roles denominada AmazonOpenSearchServiceRolePolicypermite a OpenSearch Service completar las siguientes acciones en los recursos especificados:

  • Acción: acm:DescribeCertificate en *

  • Acción: cloudwatch:PutMetricData en *

  • Acción: ec2:CreateNetworkInterface en *

  • Acción: ec2:DeleteNetworkInterface en *

  • Acción: ec2:DescribeNetworkInterfaces en *

  • Acción: ec2:ModifyNetworkInterfaceAttribute en *

  • Acción: ec2:DescribeSecurityGroups en *

  • Acción: ec2:DescribeSubnets en *

  • Acción: ec2:DescribeVpcs en *

  • Acción: ec2:CreateTags en todas las interfaces y puntos VPC finales de red

  • Acción: ec2:DescribeTags en *

  • Acción: ec2:CreateVpcEndpoint en todos los grupos de seguridadVPCs, subredes y tablas de enrutamiento, así como en todos los VPC puntos finales cuando la solicitud contiene la etiqueta OpenSearchManaged=true

  • Acción: ec2:ModifyVpcEndpoint en todos los grupos de seguridadVPCs, subredes y tablas de enrutamiento, así como en todos los VPC puntos finales cuando la solicitud contiene la etiqueta OpenSearchManaged=true

  • Acción: ec2:DeleteVpcEndpoints en todos los extremos cuando la solicitud contiene la etiqueta OpenSearchManaged=true

  • Acción: ec2:AssignIpv6Addresses en *

  • Acción: ec2:UnAssignIpv6Addresses en *

  • Acción: elasticloadbalancing:AddListenerCertificates en *

  • Acción: elasticloadbalancing:RemoveListenerCertificates en *

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o función) crear, editar o eliminar la descripción de una función vinculada a un servicio. Para obtener más información, consulte los permisos de funciones vinculadas a un servicio en la Guía del usuario. IAM

Creación del rol vinculado a servicio

No necesita crear manualmente un rol vinculado a servicios. Al crear un dominio VPC habilitado o una fuente de datos de consulta directa mediante el AWS Management Console, el OpenSearch Servicio crea el rol vinculado al servicio automáticamente. Para que esta creación automática se realice correctamente, es necesario disponer de permisos para la acción iam:CreateServiceLinkedRole.

También puede utilizar la IAM consola, el o el IAM API para crear un IAM CLI rol vinculado a un servicio de forma manual. Para obtener más información, consulte Crear un rol vinculado a servicios en la Guía del usuario de IAM.

Edición del rol vinculado al servicio

OpenSearch El servicio no le permite editar el rol vinculado al AWSServiceRoleForAmazonOpenSearchService servicio. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción de la función utilizando IAM. Para obtener más información, consulte Edición de un rol vinculado a un servicio en la Guía del usuario. IAM

Eliminación del rol vinculado a un servicio

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma, no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar el rol vinculado a servicios antes de eliminarlo manualmente.

Limpieza del rol vinculado al servicio de

Antes de poder utilizar IAM para eliminar un rol vinculado a un servicio, primero debe confirmar que dicho rol no tiene sesiones activas y eliminar los recursos que utiliza.

Para comprobar si el rol vinculado a un servicio tiene una sesión activa en la consola de IAM

  1. Inicie sesión en AWS Management Console y abra la IAM consola en. https://console.aws.amazon.com/iam/

  2. En el panel de navegación de la consola de IAM, elija Roles (Funciones). A continuación, seleccione el nombre (no la casilla de verificación) del rol de AWSServiceRoleForAmazonOpenSearchService.

  3. En la página Resumen del rol seleccionado, seleccione la pestaña Asesor de acceso.

  4. En la pestaña Asesor de acceso, revise la actividad reciente del rol vinculado a servicios.

    nota

    Si no está seguro de si el OpenSearch Servicio está utilizando el AWSServiceRoleForAmazonOpenSearchService rol, puede intentar eliminarlo. Si el servicio utiliza el rol, este no podrá eliminarse y se podrán ver los recursos que lo utilizan. Si el rol se está utilizando, debe esperar que la sesión finalice para poder eliminarlo, o para eliminar los recursos que lo utilizan. No se puede revocar la sesión de un rol vinculado a servicios.

Eliminar manualmente un rol vinculado a servicios

Elimine los roles vinculados al servicio de la IAM consolaAPI, o. AWS CLI Para obtener instrucciones, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario. IAM