Utilisation de rôles liés à un service pour créer des pipelines d'ingestion OpenSearch - Amazon OpenSearch Service
AutorisationsCréation du rôle lié à un service pour Ingestion OpenSearch Modification du rôle lié à un service pour Ingestion OpenSearch Suppression du rôle lié à un service pour Ingestion OpenSearch

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de rôles liés à un service pour créer des pipelines d'ingestion OpenSearch

Amazon OpenSearch Ingestion utilise des AWS Identity and Access Management rôles liés à un service (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à Ingestion. OpenSearch Les rôles liés au service sont prédéfinis par OpenSearch Ingestion et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.

OpenSearch L'ingestion utilise le rôle lié au service nommé AWSServiceRoleForAmazonOpenSearchIngestionService, sauf lorsque vous utilisez un VPC autogéré, auquel cas elle utilise le rôle lié au service nommé. AWSServiceRoleForOpensearchIngestionSelfManagedVpce La politique ci-jointe fournit les autorisations nécessaires au rôle pour créer un cloud privé virtuel (VPC) entre votre compte et OpenSearch Ingestion, et pour publier CloudWatch des métriques sur votre compte.

Autorisations

Le rôle lié à un service AWSServiceRoleForAmazonOpenSearchIngestionService approuve les services suivants pour endosser le rôle :

  • osis.amazon.com

La politique d'autorisation de rôle nommée AmazonOpenSearchIngestionServiceRolePolicy permet OpenSearch à Ingestion d'effectuer les actions suivantes sur les ressources spécifiées :

  • Action : ec2:DescribeSubnets sur *

  • Action : ec2:DescribeSecurityGroups sur *

  • Action : ec2:DeleteVpcEndpoints sur *

  • Action : ec2:CreateVpcEndpoint sur *

  • Action : ec2:DescribeVpcEndpoints sur *

  • Action : ec2:CreateTags sur arn:aws:ec2:*:*:network-interface/*

  • Action : cloudwatch:PutMetricData sur cloudwatch:namespace": "AWS/OSIS"

Le rôle lié à un service AWSServiceRoleForOpensearchIngestionSelfManagedVpce approuve les services suivants pour endosser le rôle :

  • self-managed-vpce.osis.amazon.com

La politique d'autorisation de rôle nommée OpenSearchIngestionSelfManagedVpcePolicy permet OpenSearch à Ingestion d'effectuer les actions suivantes sur les ressources spécifiées :

  • Action : ec2:DescribeSubnets sur *

  • Action : ec2:DescribeSecurityGroups sur *

  • Action : ec2:DescribeVpcEndpoints sur *

  • Action : cloudwatch:PutMetricData sur cloudwatch:namespace": "AWS/OSIS"

Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez Autorisations de rôles liés à un service dans le Guide de l’utilisateur IAM.

Création du rôle lié à un service pour Ingestion OpenSearch

Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez un pipeline d' OpenSearch ingestion dans l'API AWS Management Console AWS CLI, le ou l' AWS API, OpenSearch Ingestion crée le rôle lié au service pour vous.

Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez un pipeline d' OpenSearch OpenSearch ingestion, Ingestion crée à nouveau le rôle lié au service pour vous.

Modification du rôle lié à un service pour Ingestion OpenSearch

OpenSearch L'ingestion ne vous permet pas de modifier le rôle AWSServiceRoleForAmazonOpenSearchIngestionService lié au service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez Modification d’un rôle lié à un service dans le guide de l’utilisateur IAM.

Suppression du rôle lié à un service pour Ingestion OpenSearch

Si vous n’avez plus besoin d’utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.

Nettoyer un rôle lié à un service

Avant de pouvoir utiliser IAM pour supprimer un rôle lié à un service, vous devez supprimer toutes les ressources utilisées par le rôle.

Note

Si OpenSearch Ingestion utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.

Pour supprimer les ressources OpenSearch d'ingestion utilisées par le AWSServiceRoleForOpensearchIngestionSelfManagedVpce rôle AWSServiceRoleForAmazonOpenSearchIngestionService or

  1. Accédez à la console Amazon OpenSearch Service et choisissez Ingestion.

  2. Supprimez tous les pipelines. Pour obtenir des instructions, veuillez consulter Supprimer les pipelines OpenSearch d'ingestion Amazon.

Supprimer le rôle lié au service pour Ingestion OpenSearch

Vous pouvez utiliser la console OpenSearch d'ingestion pour supprimer un rôle lié à un service.

Pour supprimer un rôle lié à un service (console)

  1. Accédez à la Console IAM.

  2. Choisissez Rôles et recherchez le AWSServiceRoleForOpensearchIngestionSelfManagedVpcerôle AWSServiceRoleForAmazonOpenSearchIngestionServiceou.

  3. Sélectionnez le rôle, puis cliquez sur Supprimer.