Uso de roles vinculados a un servicio para crear dominios de VPC - OpenSearch Servicio Amazon
Función heredada de ElasticsearchPermisosCreación del rol vinculado a servicio Edición del rol vinculado al servicioEliminación del rol vinculado a un servicio

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de roles vinculados a un servicio para crear dominios de VPC

Amazon OpenSearch Service utiliza funciones AWS Identity and Access Management vinculadas al servicio (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente al Servicio. OpenSearch Los roles vinculados al servicio están predefinidos por el OpenSearch Servicio e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.

OpenSearch El servicio usa el rol vinculado al servicio denominado AWSServiceRoleForAmazonOpenSearchService, que proporciona los permisos mínimos de Amazon EC2 y Elastic Load Balancing necesarios para que el rol habilite el acceso a la VPC a un dominio.

Función heredada de Elasticsearch

Amazon OpenSearch Service utiliza un rol vinculado a un servicio denominado. AWSServiceRoleForAmazonOpenSearchService Es posible que las cuentas también contengan un rol vinculado a servicio denominado AWSServiceRoleForAmazonElasticsearchService, que funciona con los puntos de conexión de la API de Elasticsearch obsoletos.

Si el rol heredado de Elasticsearch no existe en tu cuenta, OpenSearch Service crea automáticamente un nuevo rol OpenSearch vinculado al servicio la primera vez que crees un dominio. OpenSearch En caso contrario, la cuenta seguirá utilizando el rol de Elasticsearch. Para que esta creación automática se realice correctamente, es necesario disponer de permisos para la acción iam:CreateServiceLinkedRole.

Permisos

El rol vinculado al servicio AWSServiceRoleForAmazonOpenSearchService depende de los siguientes servicios para asumir el rol:

  • opensearchservice.amazonaws.com

La política de permisos de roles denominada AmazonOpenSearchServiceRolePolicypermite a OpenSearch Service completar las siguientes acciones en los recursos especificados:

  • Acción: acm:DescribeCertificate en *

  • Acción: cloudwatch:PutMetricData en *

  • Acción: ec2:CreateNetworkInterface en *

  • Acción: ec2:DeleteNetworkInterface en *

  • Acción: ec2:DescribeNetworkInterfaces en *

  • Acción: ec2:ModifyNetworkInterfaceAttribute en *

  • Acción: ec2:DescribeSecurityGroups en *

  • Acción: ec2:DescribeSubnets en *

  • Acción: ec2:DescribeVpcs en *

  • Acción: ec2:CreateTags en todas las interfaces de red y puntos de conexión de VPC

  • Acción: ec2:DescribeTags en *

  • Acción: ec2:CreateVpcEndpoint en todas las VPC, grupos de seguridad, subredes y tablas de enrutamiento, así como en todos los puntos de conexión de VPC, cuando la solicitud contiene la etiqueta OpenSearchManaged=true

  • Acción: ec2:ModifyVpcEndpoint en todas las VPC, grupos de seguridad, subredes y tablas de enrutamiento, así como en todos los puntos de conexión de VPC, cuando la solicitud contiene la etiqueta OpenSearchManaged=true

  • Acción: ec2:DeleteVpcEndpoints en todos los extremos cuando la solicitud contiene la etiqueta OpenSearchManaged=true

  • Acción: ec2:AssignIpv6Addresses en *

  • Acción: ec2:UnAssignIpv6Addresses en *

  • Acción: elasticloadbalancing:AddListenerCertificates en *

  • Acción: elasticloadbalancing:RemoveListenerCertificates en *

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación del rol vinculado a servicio

No necesita crear manualmente un rol vinculado a servicios. Cuando crea un dominio habilitado para VPC mediante el AWS Management Console, el OpenSearch Servicio crea el rol vinculado al servicio para usted. Para que esta creación automática se realice correctamente, es necesario disponer de permisos para la acción iam:CreateServiceLinkedRole.

También puede utilizar la consola de IAM, la CLI de IAM o la API de IAM para crear un rol vinculado a servicios manualmente. Para obtener más información, consulte Creating a service-linked role en la Guía del usuario de IAM.

Edición del rol vinculado al servicio

OpenSearch El servicio no le permite editar el rol vinculado al servicio. AWSServiceRoleForAmazonOpenSearchService Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación del rol vinculado a un servicio

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma, no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar el rol vinculado a servicios antes de eliminarlo manualmente.

Limpieza del rol vinculado al servicio de

Antes de poder utilizar IAM para eliminar un rol vinculado a un servicio, primero debe confirmar que dicho rol no tiene sesiones activas y eliminar los recursos que utiliza.

Para comprobar si el rol vinculado a un servicio tiene una sesión activa en la consola de IAM

  1. Inicie sesión en la consola de IAM AWS Management Console y ábrala en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la consola de IAM, elija Roles (Roles). A continuación, seleccione el nombre (no la casilla de verificación) del rol de AWSServiceRoleForAmazonOpenSearchService.

  3. En la página Resumen del rol seleccionado, seleccione la pestaña Asesor de acceso.

  4. En la pestaña Asesor de acceso, revise la actividad reciente del rol vinculado a servicios.

    nota

    Si no está seguro de si el OpenSearch Servicio está utilizando el AWSServiceRoleForAmazonOpenSearchService rol, puede intentar eliminarlo. Si el servicio utiliza el rol, este no podrá eliminarse y se podrán ver los recursos que lo utilizan. Si el rol se está utilizando, debe esperar que la sesión finalice para poder eliminarlo, o para eliminar los recursos que lo utilizan. No se puede revocar la sesión de un rol vinculado a servicios.

Eliminar manualmente un rol vinculado a servicios

Elimine las funciones vinculadas al servicio de la consola, la API o la CLI de IAM. AWS Para obtener más información, consulte Deleting a service-linked role en la Guía del usuario de IAM.