使用服务相关角色创建 OpenSearch 无服务器集合 - 亚马逊 OpenSearch 服务
适用于 OpenSearch 无服务器的服务相关角色权限为 OpenSearch 无服务器创建服务相关角色编辑 OpenSearch 无服务器的服务相关角色删除 OpenSearch 无服务器的服务相关角色OpenSearch 无服务器服务相关角色的受支持区域

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用服务相关角色创建 OpenSearch 无服务器集合

OpenSearch 无服务器使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是 IAM 角色的一种独特类型,它与 OpenSearch Service 直接相关。服务相关角色由 OpenSearch Service 预定义,拥有该服务代表您调用其他 AWS 服务所需的所有权限。

OpenSearch 无服务器使用名为 AWSServiceRoleForAmazonOpenSearchServerless 的服务相关角色,它将提供该角色向您的账户发布与无服务器相关的 CloudWatch 指标所需的权限。与 AWSServiceRoleForAmazonOpenSearchServerless 关联的角色权限策略名称为 AmazonOpenSearchServerlessServiceRolePolicy。有关此策略的更多信息,请参阅《AWS 托管式策略参考指南》中的 AmazonOpenSearchServerlessServiceRolePolicy

适用于 OpenSearch 无服务器的服务相关角色权限

OpenSearch 无服务器使用名为 AWSServiceRoleForAmazonOpenSearchServerless 的服务相关角色,它允许 OpenSearch 无服务器代表您调用 AWS 服务。

AWSServiceRoleForAmazonOpenSearchServerless 服务相关角色信任以下服务以担任该角色:

  • observability.aoss.amazonaws.com

名为 AmazonOpenSearchServerlessServiceRolePolicy 的角色权限策略允许 OpenSearch 无服务器针对指定资源完成以下操作:

  • 操作:针对所有 AWS 资源执行 cloudwatch:PutMetricData

注意

该策略包含条件键 {"StringEquals": {"cloudwatch:namespace": "AWS/AOSS"}},这意味着服务相关角色只能将指标数据发送到 AWS/AOSS CloudWatch 命名空间。

您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限

为 OpenSearch 无服务器创建服务相关角色

您无需手动创建服务相关角色。当您在AWS Management Console、AWS CLI 或 AWS API 中创建 OpenSearch 无服务器集合时,OpenSearch 无服务器将为您创建服务相关角色。

注意

当您首次创建集合时,必须在基于身份的策略中为您分配 iam:CreateServiceLinkedRole

如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您创建 OpenSearch 无服务器集合时,OpenSearch 无服务器将再次为您创建服务相关角色。

您也可以使用 IAM 控制台借助 Amazon OpenSearch Serverless(Amazon OpenSearch 无服务器)应用场景创建服务相关角色。在 AWS CLI 或 AWS API 中,使用 observability.aoss.amazonaws.com 服务名称创建服务相关角色:

aws iam create-service-linked-role --aws-service-name "observability.aoss.amazonaws.com"

有关更多信息,请参阅 IAM 用户指南 中的创建服务相关角色。如果您删除了此服务相关角色,可以使用同样的过程再次创建角色。

编辑 OpenSearch 无服务器的服务相关角色

OpenSearch Serverless 不允许您编辑 AWSServiceRoleForAmazonOpenSearchServerless 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色

删除 OpenSearch 无服务器的服务相关角色

如果不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这将防止您拥有未被主动监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。

要删除 AWSServiceRoleForAmazonOpenSearchServerless,必须先在您的 AWS 账户 中删除所有 OpenSearch 无服务器集合

注意

在您尝试删除资源时,如果 OpenSearch 无服务器正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。

使用 IAM 手动删除服务相关角色

使用 IAM 控制台、AWS CLI 或 AWS API 删除 AWSServiceRoleForAmazonOpenSearchServerless 服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的删除服务相关角色

OpenSearch 无服务器服务相关角色的受支持区域

OpenSearch 无服务器支持在每个提供 OpenSearch 无服务器的区域中使用 AWSServiceRoleForAmazonOpenSearchServerless 服务相关角色。有关受支持区域的列表,请参阅 AWS 一般参考 中的 Amazon OpenSearch 无服务器端点和配额