Uso de roles vinculados a servicios para crear colecciones sin servidor OpenSearch - OpenSearch Servicio Amazon
Permisos de rol vinculados al servicio para Serverless OpenSearch Crear el rol vinculado al servicio para Serverless OpenSearch Edición del rol vinculado al servicio para Serverless OpenSearch Eliminar el rol vinculado al servicio para Serverless OpenSearch Regiones compatibles para OpenSearch funciones vinculadas a servicios sin servidor

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de roles vinculados a servicios para crear colecciones sin servidor OpenSearch

OpenSearch Serverless usa roles vinculados al AWS Identity and Access Management servicio (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente al servicio. OpenSearch Los roles vinculados al servicio están predefinidos por el OpenSearch Servicio e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.

OpenSearch Serverless usa el rol vinculado al servicio denominado AWSServiceRoleForAmazonOpenSearchServerless, que proporciona los permisos necesarios para que el rol publique métricas relacionadas con el servicio sin servidor CloudWatch en su cuenta. Se denomina a la política de permisos del rol asociada. AWSServiceRoleForAmazonOpenSearchServerless AmazonOpenSearchServerlessServiceRolePolicy Para obtener más información sobre la política, consulte AmazonOpenSearchServerlessServiceRolePolicyla Guía de referencia de políticas AWS administradas.

Permisos de rol vinculados al servicio para Serverless OpenSearch

OpenSearch Serverless usa el rol vinculado al servicio denominado AWSServiceRoleForAmazonOpenSearchServerless, que permite a OpenSearch Serverless llamar a los servicios en tu nombre. AWS

El rol AWSServiceRoleForAmazonOpenSearchServerless vinculado al servicio confía en los siguientes servicios para que asuman el rol:

  • observability.aoss.amazonaws.com

La política de permisos de roles denominada AmazonOpenSearchServerlessServiceRolePolicy permite a OpenSearch Serverless realizar las siguientes acciones en los recursos especificados:

  • Acción: cloudwatch:PutMetricData en todos los recursos AWS

nota

La política incluye la clave de condición{"StringEquals": {"cloudwatch:namespace": "AWS/AOSS"}}, lo que significa que la función vinculada al servicio solo puede enviar datos de métricas al AWS/AOSS CloudWatch espacio de nombres.

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Crear el rol vinculado al servicio para Serverless OpenSearch

No necesita crear manualmente un rol vinculado a servicios. Al crear una colección OpenSearch Serverless en la AWS Management Console, la o la AWS API AWS CLI, OpenSearch Serverless crea automáticamente el rol vinculado al servicio.

nota

La primera vez que cree una colección, se le debe asignar la iam:CreateServiceLinkedRole en una política basada en identidades.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear una colección Serverless, OpenSearch OpenSearch Serverless vuelve a crear el rol vinculado al servicio automáticamente.

También puede usar la consola de IAM para crear un rol vinculado a un servicio con el caso de uso de Amazon OpenSearch Serverless. En la API AWS CLI o en la AWS API, cree una función vinculada a un servicio con el nombre del servicio: observability.aoss.amazonaws.com

aws iam create-service-linked-role --aws-service-name "observability.aoss.amazonaws.com"

Para obtener más información, consulte Crear un rol vinculado a un servicio en la Guía del usuario de IAM. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.

Edición del rol vinculado al servicio para Serverless OpenSearch

OpenSearch Serverless no permite editar el rol vinculado al servicio. AWSServiceRoleForAmazonOpenSearchServerless Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminar el rol vinculado al servicio para Serverless OpenSearch

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Esto evita tener una entidad sin uso que no se supervisa ni mantiene activamente. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.

Para eliminarlo AWSServiceRoleForAmazonOpenSearchServerless, primero debe eliminar todas las colecciones de OpenSearch Serverless de su. Cuenta de AWS

nota

Si OpenSearch Serverless utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.

Eliminación manual del rol vinculado a servicios mediante IAM

Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al AWSServiceRoleForAmazonOpenSearchServerless servicio. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Regiones compatibles para OpenSearch funciones vinculadas a servicios sin servidor

OpenSearch Serverless admite el uso del rol AWSServiceRoleForAmazonOpenSearchServerless vinculado al servicio en todas las regiones en las que Serverless esté disponible. OpenSearch Para obtener una lista de las regiones compatibles, consulte los puntos de enlace y las cuotas de Amazon OpenSearch Serverless en. Referencia general de AWS