使用服务相关角色创建 OpenSearch 无服务器集合 - 亚马逊 OpenSearch 服务
Serverless 的服务相关角色权限 OpenSearch 为 OpenSearch Serverless 创建服务相关角色编辑 Serverless 的 OpenSearch 服务相关角色删除 Serverless 的 OpenSearch 服务相关角色 OpenSearch 无服务器服务相关角色支持的区域

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用服务相关角色创建 OpenSearch 无服务器集合

OpenSearch 无服务器使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特的 IAM 角色,直接链接到 OpenSearch 服务。服务相关角色由 S OpenSearch ervice 预定义,包括该服务代表您调用其他 AWS 服务所需的所有权限。

OpenSearch Serverless 使用名为的服务相关角色 AWSServiceRoleForAmazonOpenSearchServerless,该角色提供向您的账户发布与无服务器相关的 CloudWatch指标所需的权限。与之关联的角色权限策略名 AWSServiceRoleForAmazonOpenSearchServerless 为AmazonOpenSearchServerlessServiceRolePolicy。有关该策略的更多信息,请参阅AmazonOpenSearchServerlessServiceRolePolicyAWS 托管策略参考指南》

Serverless 的服务相关角色权限 OpenSearch

OpenSearch Serverless 使用名为的服务关联角色 AWSServiceRoleForAmazonOpenSearchServerless,该角色允许 OpenSearch Serverless 代表您调用 AWS 服务。

AWSServiceRoleForAmazonOpenSearchServerless 服务相关角色信任以下服务来代入该角色:

  • observability.aoss.amazonaws.com

名为的角色权限策略AmazonOpenSearchServerlessServiceRolePolicy允许 OpenSearch Serverless 对指定资源完成以下操作:

  • 操作:cloudwatch:PutMetricData对所有 AWS 资源采取行动

注意

该策略包含条件键{"StringEquals": {"cloudwatch:namespace": "AWS/AOSS"}},这意味着服务相关角色只能向AWS/AOSS CloudWatch命名空间发送指标数据。

您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限

为 OpenSearch Serverless 创建服务相关角色

您无需手动创建服务相关角色。当您在 AWS Management Console、或 AWS API 中创建 OpenSearch 无服务器集合时 AWS CLI, OpenSearch Serverless 会为您创建与服务相关的角色。

注意

当您首次创建集合时,必须在基于身份的策略中为您分配 iam:CreateServiceLinkedRole

如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您创建 OpenSearch 无服务器集合时,Ser OpenSearch verless 会再次为您创建服务相关角色。

您还可以使用 IAM 控制台在 A mazon OpenSearch Serverless 用例中创建服务相关角色。在 AWS CLI 或 AWS API 中,使用服务名称创建服务相关角色:observability.aoss.amazonaws.com

aws iam create-service-linked-role --aws-service-name "observability.aoss.amazonaws.com"

有关更多信息,请参阅 IAM 用户指南 中的创建服务相关角色。如果您删除了此服务相关角色,可以使用同样的过程再次创建角色。

编辑 Serverless 的 OpenSearch 服务相关角色

OpenSearch Serverless 不允许您编辑 AWSServiceRoleForAmazonOpenSearchServerless 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色

删除 Serverless 的 OpenSearch 服务相关角色

如果不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这将防止您拥有未被主动监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。

要删除 AWSServiceRoleForAmazonOpenSearchServerless,必须先删除您的 AWS 账户所有 OpenSearch 无服务器集合

注意

如果您尝试删除资源时 OpenSearch Serverless 正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。

使用 IAM 手动删除服务相关角色

使用 IAM 控制台 AWS CLI、或 AWS API 删除 AWSServiceRoleForAmazonOpenSearchServerless服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的删除服务相关角色

OpenSearch 无服务器服务相关角色支持的区域

OpenSearch Serverless 支持在每个可用 S OpenSearch erverless 的区域中使用 AWSServiceRoleForAmazonOpenSearchServerless 服务相关角色。有关支持的区域列表,请参阅中的 Amazon OpenSearch Serverless 终端节点和配额AWS 一般参考