Menggunakan peran terkait layanan untuk membuat domain VPC

OpenSearch Layanan Amazon menggunakan peran AWS Identity and Access Management terkait layanan (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke Layanan. OpenSearch Peran terkait layanan telah ditentukan sebelumnya oleh OpenSearch Layanan dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.

OpenSearch Layanan menggunakan peran terkait layanan bernama AWSServiceRoleForAmazonOpenSearchService, yang memberikan izin minimum Amazon EC2 dan Elastic Load Balancing yang diperlukan untuk peran tersebut guna mengaktifkan akses VPC untuk domain.

Peran Legacy Elasticsearch

Amazon OpenSearch Service menggunakan peran terkait layanan yang disebut. AWSServiceRoleForAmazonOpenSearchService Akun Anda mungkin juga berisi peran tertaut layanan lama yang disebutAWSServiceRoleForAmazonElasticsearchService, yang berfungsi dengan titik akhir API Elasticsearch yang tidak digunakan lagi.

Jika peran Elasticsearch lama tidak ada di akun Anda, OpenSearch Layanan akan secara otomatis membuat peran OpenSearch terkait layanan baru saat pertama kali Anda membuat domain. OpenSearch Jika tidak, akun Anda akan terus menggunakan peran Elasticsearch. Agar pembuatan otomatis ini berhasil, Anda harus memiliki izin untuk iam:CreateServiceLinkedRole tindakan tersebut.

Izin

AWSServiceRoleForAmazonOpenSearchService peran terkait layanan memercayakan layanan berikut untuk menjalankan peran tersebut:

• opensearchservice.amazonaws.com

Kebijakan izin peran bernama AmazonOpenSearchServiceRolePolicymemungkinkan OpenSearch Layanan untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:

• Tindakan: acm:DescribeCertificate pada *

• Tindakan: cloudwatch:PutMetricData pada *

• Tindakan: ec2:CreateNetworkInterface pada *

• Tindakan: ec2:DeleteNetworkInterface pada *

• Tindakan: ec2:DescribeNetworkInterfaces pada *

• Tindakan: ec2:ModifyNetworkInterfaceAttribute pada *

• Tindakan: ec2:DescribeSecurityGroups pada *

• Tindakan: ec2:DescribeSubnets pada *

• Tindakan: ec2:DescribeVpcs pada *

• Tindakan: ec2:CreateTags pada semua antarmuka jaringan dan titik akhir VPC

• Tindakan: ec2:DescribeTags pada *

• Tindakan: ec2:CreateVpcEndpoint pada semua VPC, grup keamanan, subnet, dan tabel rute, serta semua titik akhir VPC saat permintaan berisi tag OpenSearchManaged=true

• Tindakan: ec2:ModifyVpcEndpoint pada semua VPC, grup keamanan, subnet, dan tabel rute, serta semua titik akhir VPC saat permintaan berisi tag OpenSearchManaged=true

• Tindakan: ec2:DeleteVpcEndpoints pada semua titik akhir saat permintaan berisi tag OpenSearchManaged=true

• Tindakan: ec2:AssignIpv6Addresses pada *

• Tindakan: ec2:UnAssignIpv6Addresses pada *

• Tindakan: elasticloadbalancing:AddListenerCertificates pada *

• Tindakan: elasticloadbalancing:RemoveListenerCertificates pada *

Anda harus mengonfigurasikan izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, menyunting, atau menghapus peran terhubung dengan layanan. Untuk informasi selengkapnya, lihat Izin peran tertaut layanan dalam Panduan Pengguna IAM.

Membuat peran terkait layanan

Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda membuat domain berkemampuan VPC menggunakan AWS Management Console, OpenSearch Layanan membuat peran terkait layanan untuk Anda. Agar pembuatan otomatis ini berhasil, Anda harus memiliki izin untuk iam:CreateServiceLinkedRole tindakan tersebut.

Anda juga dapat menggunakan konsol IAM, CLI IAM, atau API IAM untuk membuat peran tertaut layanan secara manual. Untuk informasi selengkapnya, lihat Membuat peran tertaut layanan dalam Panduan Pengguna IAM.

Mengedit peran terkait layanan

OpenSearch Layanan tidak mengizinkan Anda mengedit peran AWSServiceRoleForAmazonOpenSearchService terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat menyunting penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat Mengedit peran tertaut layanan dalam Panduan Pengguna IAM.

Menghapus peran tertaut layanan

Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, kami merekomendasikan Anda menghapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan dan tidak dipantau atau dipelihara secara aktif. Namun, Anda harus membersihkan peran tertaut layanan terlebih dahulu sebelum dapat menghapusnya secara manual.

Membersihkan peran terkait layanan

Sebelum dapat menggunakan IAM untuk menghapus peran tertaut layanan, Anda harus mengonfirmasi terlebih dahulu bahwa peran tersebut tidak memiliki sesi aktif dan menghapus sumber daya yang digunakan oleh peran tersebut.

Untuk memeriksa apakah peran terkait layanan memiliki sesi aktif di konsol IAM

1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

2. Di panel navigasi konsol IAM, pilih Peran. Lalu pilih nama (bukan kotak centang) dari peran AWSServiceRoleForAmazonOpenSearchService.

3. Pada halaman Ringkasan untuk peran yang dipilih, pilih tab Penasihat Akses.

4. Di tab Penasihat Akses, ‍tinjau aktivitas terbaru untuk peran terkait layanan tersebut.

   catatan

   Jika tidak yakin apakah OpenSearch Layanan menggunakan AWSServiceRoleForAmazonOpenSearchService peran tersebut, Anda dapat mencoba menghapus peran tersebut. Jika layanan menggunakan peran, maka penghapusan gagal dan Anda dapat melihat sumber daya menggunakan peran tersebut. Jika peran sedang digunakan, maka Anda harus menunggu sesi berakhir sebelum Anda dapat menghapus peran, dan/atau menghapus sumber daya menggunakan peran tersebut. Anda tidak dapat mencabut sesi untuk peran terkait layanan.

Menghapus peran tertaut layanan secara manual

Hapus peran terkait layanan dari konsol IAM, API, atau CLI. AWS Untuk petunjuknya, lihat Menghapus peran terkait layanan di Panduan Pengguna IAM.