Uso de roles vinculados a servicios para crear canalizaciones de ingestión OpenSearch - OpenSearch Servicio Amazon
PermisosCrear el rol vinculado al servicio para Ingestion OpenSearch Edición del rol vinculado al servicio para Ingestion OpenSearch Eliminar el rol vinculado al servicio para Ingestion OpenSearch

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de roles vinculados a servicios para crear canalizaciones de ingestión OpenSearch

Amazon OpenSearch Ingestion utiliza funciones vinculadas a servicios AWS Identity and Access Management (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Ingestion. OpenSearch Los roles vinculados al servicio están predefinidos por OpenSearch Ingestion e incluyen todos los permisos que el servicio requiere para llamar a otros servicios en tu nombre. AWS

OpenSearch La ingestión usa el rol vinculado al servicio denominado AWSServiceRoleForAmazonOpenSearchIngestionService, excepto cuando se usa una VPC autogestionada, en cuyo caso usa el rol vinculado al servicio denominado. AWSServiceRoleForOpensearchIngestionSelfManagedVpce La política adjunta proporciona los permisos necesarios para que el rol cree una nube privada virtual (VPC) entre su cuenta e OpenSearch Ingestion y publique CloudWatch métricas en su cuenta.

Permisos

El rol vinculado al servicio AWSServiceRoleForAmazonOpenSearchIngestionService depende de los siguientes servicios para asumir el rol:

  • osis.amazon.com

La política de permisos de roles denominada AmazonOpenSearchIngestionServiceRolePolicy permite a OpenSearch Ingestion realizar las siguientes acciones en los recursos especificados:

  • Acción: ec2:DescribeSubnets en *

  • Acción: ec2:DescribeSecurityGroups en *

  • Acción: ec2:DeleteVpcEndpoints en *

  • Acción: ec2:CreateVpcEndpoint en *

  • Acción: ec2:DescribeVpcEndpoints en *

  • Acción: ec2:CreateTags en arn:aws:ec2:*:*:network-interface/*

  • Acción: cloudwatch:PutMetricData en cloudwatch:namespace": "AWS/OSIS"

El rol vinculado al servicio AWSServiceRoleForOpensearchIngestionSelfManagedVpce depende de los siguientes servicios para asumir el rol:

  • self-managed-vpce.osis.amazon.com

La política de permisos de roles denominada OpenSearchIngestionSelfManagedVpcePolicy permite a OpenSearch Ingestion completar las siguientes acciones en los recursos especificados:

  • Acción: ec2:DescribeSubnets en *

  • Acción: ec2:DescribeSecurityGroups en *

  • Acción: ec2:DescribeVpcEndpoints en *

  • Acción: cloudwatch:PutMetricData en cloudwatch:namespace": "AWS/OSIS"

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Crear el rol vinculado al servicio para Ingestion OpenSearch

No necesita crear manualmente un rol vinculado a servicios. Al crear una canalización OpenSearch de Ingestión en la AWS Management Console, la o la AWS API AWS CLI, OpenSearch Ingestión crea automáticamente la función vinculada al servicio.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando creas una canalización de Ingestión, OpenSearch OpenSearch Ingestión vuelve a crear el rol vinculado al servicio para ti.

Edición del rol vinculado al servicio para Ingestion OpenSearch

OpenSearch La ingestión no permite editar el rol vinculado al servicio. AWSServiceRoleForAmazonOpenSearchIngestionService Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminar el rol vinculado al servicio para Ingestion OpenSearch

Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar los recursos del rol vinculado al servicio antes de eliminarlo manualmente.

Saneamiento de un rol vinculado a servicios

Antes de que pueda utilizar IAM para eliminar un rol vinculado a servicios, primero debe eliminar los recursos que utiliza el rol.

nota

Si OpenSearch Ingestion utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.

Para eliminar los recursos OpenSearch de ingestión utilizados por el AWSServiceRoleForAmazonOpenSearchIngestionService rol o AWSServiceRoleForOpensearchIngestionSelfManagedVpce

  1. Ve a la consola OpenSearch de Amazon Service y selecciona Ingestión.

  2. Elimine todas las canalizaciones. Para ver instrucciones, consulte Eliminar canalizaciones de Amazon OpenSearch Ingestion.

Elimine el rol vinculado al servicio para Ingestion OpenSearch

Puede usar la consola de OpenSearch ingestión para eliminar un rol vinculado a un servicio.

Para eliminar un rol vinculado a un servicio (consola)

  1. Vaya a la consola de IAM.

  2. Elija Roles y busque el AWSServiceRoleForAmazonOpenSearchIngestionServicerol o. AWSServiceRoleForOpensearchIngestionSelfManagedVpce

  3. Seleccione el rol y elija Eliminar.