Uso de roles vinculados a servicios para crear canalizaciones de ingestión OpenSearch - OpenSearch Servicio Amazon
PermisosCrear el rol vinculado al servicio para Ingestion OpenSearch Edición del rol vinculado al servicio para Ingestion OpenSearch Eliminar el rol vinculado al servicio para Ingestion OpenSearch

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de roles vinculados a servicios para crear canalizaciones de ingestión OpenSearch

Amazon OpenSearch Ingestion usa AWS Identity and Access Management (IAM) roles vinculados a servicios. Un rol vinculado a un servicio es un tipo de IAM rol único que está vinculado directamente a Ingestion. OpenSearch Los roles vinculados al servicio están predefinidos por OpenSearch Ingestion e incluyen todos los permisos que el servicio requiere para llamar a otros servicios en tu nombre. AWS

OpenSearch Ingestion utiliza la función vinculada al servicio denominada AWSServiceRoleForAmazonOpenSearchIngestionService, excepto cuando se utiliza una función autogestionadaVPC, en cuyo caso se utiliza la función vinculada al servicio denominada. AWSServiceRoleForOpensearchIngestionSelfManagedVpce La política adjunta proporciona los permisos necesarios para que el rol cree una nube privada virtual (VPC) entre su cuenta e OpenSearch Ingestion y publique las métricas en su cuenta. CloudWatch

Permisos

El rol vinculado al servicio AWSServiceRoleForAmazonOpenSearchIngestionService depende de los siguientes servicios para asumir el rol:

  • osis.amazon.com

La política de permisos de roles denominada AmazonOpenSearchIngestionServiceRolePolicy permite a OpenSearch Ingestion realizar las siguientes acciones en los recursos especificados:

  • Acción: ec2:DescribeSubnets en *

  • Acción: ec2:DescribeSecurityGroups en *

  • Acción: ec2:DeleteVpcEndpoints en *

  • Acción: ec2:CreateVpcEndpoint en *

  • Acción: ec2:DescribeVpcEndpoints en *

  • Acción: ec2:CreateTags en arn:aws:ec2:*:*:network-interface/*

  • Acción: cloudwatch:PutMetricData en cloudwatch:namespace": "AWS/OSIS"

El rol vinculado al servicio AWSServiceRoleForOpensearchIngestionSelfManagedVpce depende de los siguientes servicios para asumir el rol:

  • self-managed-vpce.osis.amazon.com

La política de permisos de roles denominada OpenSearchIngestionSelfManagedVpcePolicy permite a OpenSearch Ingestion completar las siguientes acciones en los recursos especificados:

  • Acción: ec2:DescribeSubnets en *

  • Acción: ec2:DescribeSecurityGroups en *

  • Acción: ec2:DescribeVpcEndpoints en *

  • Acción: cloudwatch:PutMetricData en cloudwatch:namespace": "AWS/OSIS"

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o función) crear, editar o eliminar la descripción de una función vinculada a un servicio. Para obtener más información, consulte los permisos de roles vinculados a un servicio en la Guía del IAM usuario.

Crear el rol vinculado al servicio para Ingestion OpenSearch

No necesita crear manualmente un rol vinculado a servicios. Al crear una canalización OpenSearch de ingestión en la AWS Management Console, la o la AWS CLI AWS API, OpenSearch Ingestión crea automáticamente la función vinculada al servicio.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear una canalización de Ingestión, OpenSearch OpenSearch Ingestión vuelve a crear el rol vinculado al servicio para usted.

Edición del rol vinculado al servicio para Ingestion OpenSearch

OpenSearch La ingestión no permite editar el rol vinculado al servicio. AWSServiceRoleForAmazonOpenSearchIngestionService Después de crear un rol vinculado a un servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al mismo. Sin embargo, puede editar la descripción de la función utilizando IAM. Para obtener más información, consulte Edición de un rol vinculado a un servicio en la Guía del usuario. IAM

Eliminar el rol vinculado al servicio para Ingestion OpenSearch

Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar los recursos del rol vinculado al servicio antes de eliminarlo manualmente.

Saneamiento de un rol vinculado a servicios

Para poder utilizar IAM para eliminar una función vinculada al servicio, primero debe eliminar los recursos que utiliza la función.

nota

Si OpenSearch Ingestion utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.

Para eliminar los recursos OpenSearch de ingestión utilizados por el AWSServiceRoleForAmazonOpenSearchIngestionService rol o AWSServiceRoleForOpensearchIngestionSelfManagedVpce

  1. Ve a la consola OpenSearch de Amazon Service y selecciona Ingestión.

  2. Elimine todas las canalizaciones. Para obtener instrucciones, consulte Eliminación de canalizaciones de Amazon OpenSearch Ingestion.

Elimine el rol vinculado al servicio para Ingestion OpenSearch

Puede usar la consola de OpenSearch ingestión para eliminar un rol vinculado a un servicio.

Para eliminar un rol vinculado a un servicio (consola)

  1. Vaya a la consola de IAM.

  2. Elija Roles y busque el AWSServiceRoleForAmazonOpenSearchIngestionServicerol o. AWSServiceRoleForOpensearchIngestionSelfManagedVpce

  3. Seleccione el rol y elija Eliminar.