Utilisation de rôles liés à un service pour créer des VPC domaines et interroger directement les sources de données - Amazon OpenSearch Service
Rôle Elasticsearch héritéAutorisationsCréation du rôle lié à un service Modifier le rôle lié à un service Suppression du rôle lié à un service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de rôles liés à un service pour créer des VPC domaines et interroger directement les sources de données

Amazon OpenSearch Service utilise AWS Identity and Access Management (IAM) des rôles liés à un service. Un rôle lié à un service est un type unique de IAM rôle directement lié au service. OpenSearch Les rôles liés au service sont prédéfinis par le OpenSearch service et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.

OpenSearch Le service utilise le rôle lié au service nommé AWSServiceRoleForAmazonOpenSearchService, qui fournit les autorisations Amazon EC2 et Elastic Load Balancing minimales nécessaires pour que le rôle autorise l'VPCaccès à un domaine ou à une source de données de requête directe.

Rôle Elasticsearch hérité

Amazon OpenSearch Service utilise un rôle lié à un service appelé. AWSServiceRoleForAmazonOpenSearchService Vos comptes peuvent également contenir un ancien rôle lié à un service appeléAWSServiceRoleForAmazonElasticsearchService, qui fonctionne avec les points de terminaison Elasticsearch obsolètes. API

Si l'ancien rôle Elasticsearch n'existe pas dans votre compte, OpenSearch Service crée automatiquement un nouveau rôle OpenSearch lié au service la première fois que vous créez un domaine. OpenSearch Dans le cas contraire, votre compte continue d'utiliser le rôle Elasticsearch. Pour que cette création automatique aboutisse, vous devez avoir les autorisations permettant d'effectuer l'action iam:CreateServiceLinkedRole.

Autorisations

Le rôle lié à un service AWSServiceRoleForAmazonOpenSearchService approuve les services suivants pour endosser le rôle :

  • opensearchservice.amazonaws.com

La politique d'autorisations de rôle nommée AmazonOpenSearchServiceRolePolicypermet au OpenSearch Service d'effectuer les actions suivantes sur les ressources spécifiées :

  • Action : acm:DescribeCertificate sur *

  • Action : cloudwatch:PutMetricData sur *

  • Action : ec2:CreateNetworkInterface sur *

  • Action : ec2:DeleteNetworkInterface sur *

  • Action : ec2:DescribeNetworkInterfaces sur *

  • Action : ec2:ModifyNetworkInterfaceAttribute sur *

  • Action : ec2:DescribeSecurityGroups sur *

  • Action : ec2:DescribeSubnets sur *

  • Action : ec2:DescribeVpcs sur *

  • Action : ec2:CreateTags sur toutes les interfaces réseau et tous les VPC terminaux

  • Action : ec2:DescribeTags sur *

  • Action : ec2:CreateVpcEndpoint sur tous les groupes de sécuritéVPCs, les sous-réseaux et les tables de routage, ainsi que sur tous les VPC points de terminaison lorsque la demande contient le tag OpenSearchManaged=true

  • Action : ec2:ModifyVpcEndpoint sur tous les groupes de sécuritéVPCs, les sous-réseaux et les tables de routage, ainsi que sur tous les VPC points de terminaison lorsque la demande contient le tag OpenSearchManaged=true

  • Action : ec2:DeleteVpcEndpoints sur tous les points de terminaison lorsque la requête contient la balise OpenSearchManaged=true

  • Action : ec2:AssignIpv6Addresses sur *

  • Action : ec2:UnAssignIpv6Addresses sur *

  • Action : elasticloadbalancing:AddListenerCertificates sur *

  • Action : elasticloadbalancing:RemoveListenerCertificates sur *

Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, groupe ou rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d'informations, consultez la section Autorisations relatives aux rôles liés à un service dans le Guide de l'IAMutilisateur.

Création du rôle lié à un service

Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez un domaine VPC activé ou une source de données de requête directe à l'aide du AWS Management Console, le OpenSearch Service crée le rôle lié au service pour vous. Pour que cette création automatique aboutisse, vous devez avoir les autorisations permettant d'effectuer l'action iam:CreateServiceLinkedRole.

Vous pouvez également utiliser la IAM console IAMCLI, le ou le IAM API pour créer manuellement un rôle lié à un service. Pour plus d'informations, consultez Création d'un rôle lié à un service dans le Guide de l'utilisateur IAM.

Modifier le rôle lié à un service

OpenSearch Le service ne vous permet pas de modifier le rôle AWSServiceRoleForAmazonOpenSearchService lié au service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l'aide de IAM. Pour plus d'informations, consultez la section Modification d'un rôle lié à un service dans le Guide de l'IAMutilisateur.

Suppression du rôle lié à un service

Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement. Cependant, vous devez nettoyer votre rôle lié à un service avant de pouvoir le supprimer manuellement.

Nettoyage du rôle lié au service

Avant de pouvoir utiliser IAM pour supprimer un rôle lié à un service, vous devez d'abord vérifier qu'aucune session n'est active pour le rôle et supprimer toutes les ressources utilisées par le rôle.

Pour vérifier si une session est active pour le rôle lié à un service dans la console IAM

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation de la console IAM, choisissez Rôles. Ensuite, sélectionnez le nom (et non la case à cocher) du rôle AWSServiceRoleForAmazonOpenSearchService.

  3. Sur la page Récapitulatif du rôle sélectionné, choisissez l'onglet Access Advisor.

  4. Dans l'onglet Access Advisor, consultez l'activité récente pour le rôle lié à un service.

    Note

    Si vous ne savez pas si OpenSearch Service utilise le AWSServiceRoleForAmazonOpenSearchService rôle, vous pouvez essayer de le supprimer. Si le service utilise le rôle, la suppression échoue et vous pouvez visualiser les ressources utilisant le rôle. Si le rôle est en cours d'utilisation, vous devez attendre la fin de la session avant de pouvoir supprimer le rôle, et/ou supprimer les ressources utilisant le rôle. Vous ne pouvez pas révoquer la session d'un rôle lié à un service.

Suppression manuelle d'un rôle lié à un service

Supprimer les rôles liés à un service de la IAM consoleAPI, ou. AWS CLI Pour obtenir des instructions, consultez la section Suppression d'un rôle lié à un service dans le guide de l'IAMutilisateur.