Usando funções vinculadas a serviços para criar pipelines de ingestão OpenSearch - OpenSearch Serviço Amazon
PermissõesCriação da função vinculada ao serviço para ingestão OpenSearch Editando a função vinculada ao serviço para ingestão OpenSearch Excluindo a função vinculada ao serviço para ingestão OpenSearch

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando funções vinculadas a serviços para criar pipelines de ingestão OpenSearch

O Amazon OpenSearch Ingestion usa funções AWS Identity and Access Management vinculadas a serviços (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente à OpenSearch ingestão. As funções vinculadas ao serviço são predefinidas pelo OpenSearch Inestion e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.

OpenSearch A ingestão usa a função vinculada ao serviço chamada AWSServiceRoleForAmazonOpenSearchIngestionService, exceto quando você usa uma VPC autogerenciada. Nesse caso, ela usa a função vinculada ao serviço chamada. AWSServiceRoleForOpensearchIngestionSelfManagedVpce A política anexada fornece as permissões necessárias para que a função crie uma nuvem privada virtual (VPC) entre sua conta e a OpenSearch Ingestão e publique CloudWatch métricas em sua conta.

Permissões

A função vinculada ao serviço AWSServiceRoleForAmazonOpenSearchIngestionService confia nos seguintes serviços para aceitar a função:

  • osis.amazon.com

A política de permissões de função chamada AmazonOpenSearchIngestionServiceRolePolicy permite que o OpenSearch Inestion conclua as seguintes ações nos recursos especificados:

  • Ação: ec2:DescribeSubnets em *

  • Ação: ec2:DescribeSecurityGroups em *

  • Ação: ec2:DeleteVpcEndpoints em *

  • Ação: ec2:CreateVpcEndpoint em *

  • Ação: ec2:DescribeVpcEndpoints em *

  • Ação: ec2:CreateTags em arn:aws:ec2:*:*:network-interface/*

  • Ação: cloudwatch:PutMetricData em cloudwatch:namespace": "AWS/OSIS"

A função vinculada ao serviço AWSServiceRoleForOpensearchIngestionSelfManagedVpce confia nos seguintes serviços para aceitar a função:

  • self-managed-vpce.osis.amazon.com

A política de permissões de função chamada OpenSearchIngestionSelfManagedVpcePolicy permite que o OpenSearch Inestion conclua as seguintes ações nos recursos especificados:

  • Ação: ec2:DescribeSubnets em *

  • Ação: ec2:DescribeSecurityGroups em *

  • Ação: ec2:DescribeVpcEndpoints em *

  • Ação: cloudwatch:PutMetricData em cloudwatch:namespace": "AWS/OSIS"

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada a serviço. Para obter mais informações, consulte Permissões de função vinculada a serviços no Guia do Usuário do IAM.

Criação da função vinculada ao serviço para ingestão OpenSearch

Não é necessário criar manualmente uma função vinculada ao serviço. Quando você cria um pipeline de OpenSearch ingestão na AWS Management Console, na ou na AWS API AWS CLI, a OpenSearch ingestão cria a função vinculada ao serviço para você.

Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você poderá usar esse mesmo processo para recriar a função em sua conta. Quando você cria um pipeline OpenSearch de ingestão, o OpenSearch Inestion cria a função vinculada ao serviço para você novamente.

Editando a função vinculada ao serviço para ingestão OpenSearch

OpenSearch A ingestão não permite que você edite a função vinculada ao AWSServiceRoleForAmazonOpenSearchIngestionService serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para ter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.

Excluindo a função vinculada ao serviço para ingestão OpenSearch

Se você não precisar mais usar um atributo ou serviço que exija uma função vinculada a um serviço, recomendamos que você exclua essa função. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de sua função vinculada ao serviço antes de exclui-la manualmente.

Limpar um perfil vinculado ao serviço

Antes de usar o IAM para excluir um perfil vinculado ao serviço, você deverá excluir qualquer recurso usado pelo perfil.

nota

Se o OpenSearch Inestion estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Para excluir os recursos de OpenSearch ingestão usados pela função AWSServiceRoleForAmazonOpenSearchIngestionService ou AWSServiceRoleForOpensearchIngestionSelfManagedVpce

  1. Navegue até o console do Amazon OpenSearch Service e escolha Ingestão.

  2. Exclua todos os pipelines. Para obter instruções, consulte Ingestão do Amazon OpenSearch.

Exclua a função vinculada ao serviço para ingestão OpenSearch

Você pode usar o console OpenSearch de ingestão para excluir uma função vinculada ao serviço.

Para excluir uma função vinculada ao serviço (console)

  1. Navegue até o console do IAM.

  2. Escolha Funções e pesquise a AWSServiceRoleForOpensearchIngestionSelfManagedVpcefunção AWSServiceRoleForAmazonOpenSearchIngestionServiceou.

  3. Selecione a função e escolha Excluir.