Uso de roles vinculados a servicios para crear colecciones sin servidor OpenSearch - OpenSearch Servicio Amazon
Permisos de rol vinculados al servicio para Serverless OpenSearch Crear el rol vinculado al servicio para Serverless OpenSearch Edición del rol vinculado al servicio para Serverless OpenSearch Eliminar el rol vinculado al servicio para Serverless OpenSearch Regiones compatibles con los roles vinculados a servicios OpenSearch sin servidor

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de roles vinculados a servicios para crear colecciones sin servidor OpenSearch

OpenSearch Serverless usa AWS Identity and Access Management (IAM) roles vinculados al servicio. Un rol vinculado a un servicio es un tipo único de IAM rol que está vinculado directamente al Servicio. OpenSearch Los roles vinculados al servicio están predefinidos por el OpenSearch Servicio e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.

OpenSearch Serverless usa el rol vinculado al servicio denominado AWSServiceRoleForAmazonOpenSearchServerless, que proporciona los permisos necesarios para que el rol publique métricas relacionadas con el servicio sin servidor CloudWatch en su cuenta. Se denomina a la política de permisos del rol asociada. AWSServiceRoleForAmazonOpenSearchServerless AmazonOpenSearchServerlessServiceRolePolicy Para obtener más información sobre la política, consulte AmazonOpenSearchServerlessServiceRolePolicyla Guía de referencia de políticas AWS administradas.

Permisos de rol vinculados al servicio para Serverless OpenSearch

OpenSearch Serverless usa el rol vinculado al servicio denominado AWSServiceRoleForAmazonOpenSearchServerless, que permite a OpenSearch Serverless llamar a los servicios en tu nombre. AWS

El rol AWSServiceRoleForAmazonOpenSearchServerless vinculado al servicio confía en los siguientes servicios para que asuman el rol:

  • observability.aoss.amazonaws.com

La política de permisos de roles denominada AmazonOpenSearchServerlessServiceRolePolicy permite a OpenSearch Serverless realizar las siguientes acciones en los recursos especificados:

  • Acción: cloudwatch:PutMetricData en todos los recursos AWS

nota

La política incluye la clave de condición{"StringEquals": {"cloudwatch:namespace": "AWS/AOSS"}}, lo que significa que la función vinculada al servicio solo puede enviar datos de métricas al AWS/AOSS CloudWatch espacio de nombres.

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o función) crear, editar o eliminar la descripción de una función vinculada a un servicio. Para obtener más información, consulta los permisos de los roles vinculados al servicio en la Guía del usuario. IAM

Crear el rol vinculado al servicio para Serverless OpenSearch

No necesita crear manualmente un rol vinculado a servicios. Al crear una colección OpenSearch Serverless en Serverless AWS Management Console AWS API, OpenSearch Serverless crea automáticamente el rol vinculado al servicio. AWS CLI

nota

La primera vez que cree una colección, se le debe asignar la iam:CreateServiceLinkedRole en una política basada en identidades.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear una colección Serverless, OpenSearch OpenSearch Serverless vuelve a crear el rol vinculado al servicio automáticamente.

También puede usar la IAM consola para crear un rol vinculado a un servicio con el caso de uso de Amazon OpenSearch Serverless. En AWS CLI o en AWS API, cree un rol vinculado a un servicio con el nombre del servicio: observability.aoss.amazonaws.com

aws iam create-service-linked-role --aws-service-name "observability.aoss.amazonaws.com"

Para obtener más información, consulte Crear un rol vinculado a servicios en la Guía del usuario de IAM. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.

Edición del rol vinculado al servicio para Serverless OpenSearch

OpenSearch Serverless no permite editar el rol vinculado al servicio. AWSServiceRoleForAmazonOpenSearchServerless Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción de la función utilizando IAM. Para obtener más información, consulte Edición de un rol vinculado a un servicio en la Guía del usuario. IAM

Eliminar el rol vinculado al servicio para Serverless OpenSearch

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Esto evita tener una entidad sin uso que no se supervisa ni mantiene activamente. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.

Para eliminarlo AWSServiceRoleForAmazonOpenSearchServerless, primero debe eliminar todas las colecciones de OpenSearch Serverless de su. Cuenta de AWS

nota

Si OpenSearch Serverless utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.

Para eliminar manualmente la función vinculada al servicio utilizando IAM

Utilice la IAM consola AWS CLI, la o la AWS API para eliminar la función vinculada al AWSServiceRoleForAmazonOpenSearchServerless servicio. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario. IAM

Regiones compatibles con los roles vinculados a servicios OpenSearch sin servidor

OpenSearch Serverless admite el uso del rol AWSServiceRoleForAmazonOpenSearchServerless vinculado al servicio en todas las regiones en las que Serverless esté disponible. OpenSearch Para obtener una lista de las regiones compatibles, consulte los puntos de enlace y las cuotas de Amazon OpenSearch Serverless en. Referencia general de AWS