As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usando funções vinculadas a serviços para criar pipelines de ingestão OpenSearch
O Amazon OpenSearch Ingestion usa funções AWS Identity and Access Management vinculadas a serviços (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente à OpenSearch ingestão. As funções vinculadas ao serviço são predefinidas pelo OpenSearch Inestion e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
OpenSearch A ingestão usa a função vinculada ao serviço chamada AWSServiceRoleForAmazonOpenSearchIngestionService, exceto quando você usa uma VPC autogerenciada. Nesse caso, ela usa a função vinculada ao serviço chamada. AWSServiceRoleForOpensearchIngestionSelfManagedVpce A política anexada fornece as permissões necessárias para que a função crie uma nuvem privada virtual (VPC) entre sua conta e a OpenSearch Ingestão e publique CloudWatch métricas em sua conta.
Permissões
A função vinculada ao serviço AWSServiceRoleForAmazonOpenSearchIngestionService
confia nos seguintes serviços para aceitar a função:
-
osis.amazon.com
A política de permissões de função chamada AmazonOpenSearchIngestionServiceRolePolicy
permite que o OpenSearch Inestion conclua as seguintes ações nos recursos especificados:
-
Ação:
ec2:DescribeSubnets
em*
-
Ação:
ec2:DescribeSecurityGroups
em*
-
Ação:
ec2:DeleteVpcEndpoints
em*
-
Ação:
ec2:CreateVpcEndpoint
em*
-
Ação:
ec2:DescribeVpcEndpoints
em*
-
Ação:
ec2:CreateTags
emarn:aws:ec2:*:*:network-interface/*
-
Ação:
cloudwatch:PutMetricData
emcloudwatch:namespace": "AWS/OSIS"
A função vinculada ao serviço AWSServiceRoleForOpensearchIngestionSelfManagedVpce
confia nos seguintes serviços para aceitar a função:
-
self-managed-vpce.osis.amazon.com
A política de permissões de função chamada OpenSearchIngestionSelfManagedVpcePolicy
permite que o OpenSearch Inestion conclua as seguintes ações nos recursos especificados:
-
Ação:
ec2:DescribeSubnets
em*
-
Ação:
ec2:DescribeSecurityGroups
em*
-
Ação:
ec2:DescribeVpcEndpoints
em*
-
Ação:
cloudwatch:PutMetricData
emcloudwatch:namespace": "AWS/OSIS"
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada a serviço. Para obter mais informações, consulte Permissões de função vinculada a serviços no Guia do Usuário do IAM.
Criação da função vinculada ao serviço para ingestão OpenSearch
Não é necessário criar manualmente uma função vinculada ao serviço. Quando você cria um pipeline de OpenSearch ingestão na AWS Management Console, na ou na AWS API AWS CLI, a OpenSearch ingestão cria a função vinculada ao serviço para você.
Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você poderá usar esse mesmo processo para recriar a função em sua conta. Quando você cria um pipeline OpenSearch de ingestão, o OpenSearch Inestion cria a função vinculada ao serviço para você novamente.
Editando a função vinculada ao serviço para ingestão OpenSearch
OpenSearch A ingestão não permite que você edite a função vinculada ao AWSServiceRoleForAmazonOpenSearchIngestionService
serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para ter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.
Excluindo a função vinculada ao serviço para ingestão OpenSearch
Se você não precisar mais usar um atributo ou serviço que exija uma função vinculada a um serviço, recomendamos que você exclua essa função. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de sua função vinculada ao serviço antes de exclui-la manualmente.
Limpar um perfil vinculado ao serviço
Antes de usar o IAM para excluir um perfil vinculado ao serviço, você deverá excluir qualquer recurso usado pelo perfil.
nota
Se o OpenSearch Inestion estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
Para excluir os recursos de OpenSearch ingestão usados pela função AWSServiceRoleForAmazonOpenSearchIngestionService
ou AWSServiceRoleForOpensearchIngestionSelfManagedVpce
-
Navegue até o console do Amazon OpenSearch Service e escolha Ingestão.
-
Exclua todos os pipelines. Para obter instruções, consulte Ingestão do Amazon OpenSearch.
Exclua a função vinculada ao serviço para ingestão OpenSearch
Você pode usar o console OpenSearch de ingestão para excluir uma função vinculada ao serviço.
Para excluir uma função vinculada ao serviço (console)
-
Navegue até o console do IAM.
-
Escolha Funções e pesquise a AWSServiceRoleForOpensearchIngestionSelfManagedVpcefunção AWSServiceRoleForAmazonOpenSearchIngestionServiceou.
-
Selecione a função e escolha Excluir.