Usando funções vinculadas a serviços para criar OpenSearch coleções sem servidor - OpenSearch Serviço Amazon
Permissões de função vinculadas a serviços para Serverless OpenSearch Criando a função vinculada ao serviço para Serverless OpenSearch Editando a função vinculada ao serviço para Serverless OpenSearch Excluindo a função vinculada ao serviço para Serverless OpenSearch Regiões suportadas para funções vinculadas a serviços OpenSearch sem servidor

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando funções vinculadas a serviços para criar OpenSearch coleções sem servidor

OpenSearch O Serverless usa funções vinculadas a serviços AWS Identity and Access Management (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente ao OpenSearch Serviço. As funções vinculadas ao serviço são predefinidas pelo OpenSearch Serviço e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.

OpenSearch O Serverless usa a função vinculada ao serviço chamada AWSServiceRoleForAmazonOpenSearchServerless, que fornece as permissões necessárias para que a função publique métricas relacionadas à tecnologia sem servidor CloudWatch em sua conta. A política de permissões de função associada à AWSServiceRoleForAmazonOpenSearchServerless é nomeadaAmazonOpenSearchServerlessServiceRolePolicy. Para obter mais informações sobre a política, consulte o Guia AmazonOpenSearchServerlessServiceRolePolicyde referência de políticas AWS gerenciadas.

Permissões de função vinculadas a serviços para Serverless OpenSearch

OpenSearch O Serverless usa a função vinculada ao serviço chamada AWSServiceRoleForAmazonOpenSearchServerless, que permite que o OpenSearch Serverless chame serviços em seu nome. AWS

A função AWSServiceRoleForAmazonOpenSearchServerless vinculada ao serviço confia nos seguintes serviços para assumir a função:

  • observability.aoss.amazonaws.com

A política de permissões de função nomeada AmazonOpenSearchServerlessServiceRolePolicy permite que o OpenSearch Serverless conclua as seguintes ações nos recursos especificados:

  • Ação: cloudwatch:PutMetricData em todos os AWS recursos

nota

A política inclui a chave de condição{"StringEquals": {"cloudwatch:namespace": "AWS/AOSS"}}, o que significa que a função vinculada ao serviço só pode enviar dados métricos para o AWS/AOSS CloudWatch namespace.

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada a serviço. Para obter mais informações, consulte Permissões de função vinculada a serviços no Guia do Usuário do IAM.

Criando a função vinculada ao serviço para Serverless OpenSearch

Não é necessário criar manualmente uma função vinculada ao serviço. Quando você cria uma coleção OpenSearch Serverless na, na ou na AWS API AWS Management Console AWS CLI, a OpenSearch Serverless cria a função vinculada ao serviço para você.

nota

Na primeira vez que você criar uma coleção, deverá receber a atribuição de iam:CreateServiceLinkedRole em uma política baseada em identidade.

Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você poderá usar esse mesmo processo para recriar a função em sua conta. Quando você cria uma coleção OpenSearch Serverless, OpenSearch Serverless cria a função vinculada ao serviço para você novamente.

Você também pode usar o console do IAM para criar uma função vinculada ao serviço com o caso de uso do Amazon OpenSearch Serverless. Na AWS CLI ou na AWS API, crie uma função vinculada ao serviço com o nome do observability.aoss.amazonaws.com serviço:

aws iam create-service-linked-role --aws-service-name "observability.aoss.amazonaws.com"

Para obter mais informações, consulte Criar uma função vinculada ao serviço no Manual do usuário do IAM. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.

Editando a função vinculada ao serviço para Serverless OpenSearch

OpenSearch O Serverless não permite que você edite a função vinculada ao AWSServiceRoleForAmazonOpenSearchServerless serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para ter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.

Excluindo a função vinculada ao serviço para Serverless OpenSearch

Se você não precisar mais usar um atributo ou serviço que exija uma função vinculada a um serviço, recomendamos que você exclua essa função. Isso evita que você tenha uma entidade não utilizada que não seja ativamente monitorada ou mantida. No entanto, você deve limpar os recursos de sua função vinculada ao serviço antes de excluí-la manualmente.

Para excluir o AWSServiceRoleForAmazonOpenSearchServerless, você deve primeiro excluir todas as coleções OpenSearch sem servidor em seu. Conta da AWS

nota

Se o OpenSearch Serverless estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Como excluir manualmente a função vinculada a serviço usando o IAM

Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSServiceRoleForAmazonOpenSearchServerless vinculada ao serviço. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.

Regiões suportadas para funções vinculadas a serviços OpenSearch sem servidor

OpenSearch O Serverless oferece suporte ao uso da função AWSServiceRoleForAmazonOpenSearchServerless vinculada ao serviço em todas as regiões em que OpenSearch o Serverless está disponível. Para obter uma lista das regiões suportadas, consulte os endpoints e cotas do Amazon OpenSearch Serverless no. Referência geral da AWS