Utilizzo di ruoli collegati ai servizi per creare domini VPC - OpenSearch Servizio Amazon
Ruolo di Elasticsearch legacyAutorizzazioniCreazione del ruolo collegato ai servizi Modifica del ruolo collegato ai serviziEliminazione del ruolo collegato ai servizi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di ruoli collegati ai servizi per creare domini VPC

Amazon OpenSearch Service utilizza ruoli collegati ai servizi AWS Identity and Access Management (IAM). Un ruolo collegato al servizio è un tipo unico di ruolo IAM collegato direttamente al servizio. OpenSearch I ruoli collegati ai servizi sono predefiniti da OpenSearch Service e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS

OpenSearch Il servizio utilizza il ruolo collegato al servizio denominato AWSServiceRoleForAmazonOpenSearchService, che fornisce le autorizzazioni minime di Amazon EC2 ed Elastic Load Balancing necessarie affinché il ruolo abiliti l'accesso VPC a un dominio.

Ruolo di Elasticsearch legacy

Amazon OpenSearch Service utilizza un ruolo collegato al servizio chiamato. AWSServiceRoleForAmazonOpenSearchService Gli account potrebbero anche contenere un ruolo collegato al servizio legacy denominato AWSServiceRoleForAmazonElasticsearchService, che funziona con gli endpoint dell'API Amazon Elasticsearch Service obsoleti.

Se il ruolo legacy di Elasticsearch non esiste nel tuo account, OpenSearch Service crea automaticamente un nuovo ruolo OpenSearch collegato al servizio la prima volta che crei un dominio. OpenSearch In caso contrario, l'account continua a utilizzare il ruolo Elasticsearch. Perché questa operazione di creazione automatica riesca, devi disporre delle autorizzazioni per l'operazione iam:CreateServiceLinkedRole.

Autorizzazioni

Ai fini dell'assunzione del ruolo, il ruolo collegato ai servizi AWSServiceRoleForAmazonOpenSearchService considera attendibili i seguenti servizi:

  • opensearchservice.amazonaws.com

La politica di autorizzazione dei ruoli denominata AmazonOpenSearchServiceRolePolicyconsente a OpenSearch Service di completare le seguenti azioni sulle risorse specificate:

  • Operazione: acm:DescribeCertificate su *

  • Operazione: cloudwatch:PutMetricData su *

  • Operazione: ec2:CreateNetworkInterface su *

  • Operazione: ec2:DeleteNetworkInterface su *

  • Operazione: ec2:DescribeNetworkInterfaces su *

  • Operazione: ec2:ModifyNetworkInterfaceAttribute su *

  • Operazione: ec2:DescribeSecurityGroups su *

  • Operazione: ec2:DescribeSubnets su *

  • Operazione: ec2:DescribeVpcs su *

  • Azione: ec2:CreateTags su tutte le interfacce di rete e gli endpoint VPC

  • Operazione: ec2:DescribeTags su *

  • Azione: ec2:CreateVpcEndpoint su tutti i VPC, i gruppi di sicurezza, le sottoreti e le tabelle di instradamento, nonché su tutti gli endpoint VPC quando la richiesta contiene il tag OpenSearchManaged=true

  • Azione: ec2:ModifyVpcEndpoint su tutti i VPC, i gruppi di sicurezza, le sottoreti e le tabelle di instradamento, nonché su tutti gli endpoint VPC quando la richiesta contiene il tag OpenSearchManaged=true

  • Azione: ec2:DeleteVpcEndpoints su tutti gli endpoint quando la richiesta contiene il tag OpenSearchManaged=true

  • Operazione: ec2:AssignIpv6Addresses su *

  • Operazione: ec2:UnAssignIpv6Addresses su *

  • Operazione: elasticloadbalancing:AddListenerCertificates su *

  • Operazione: elasticloadbalancing:RemoveListenerCertificates su *

Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Creazione del ruolo collegato ai servizi

Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei un dominio abilitato per VPC utilizzando AWS Management Console, OpenSearch Service crea automaticamente il ruolo collegato al servizio. Perché questa operazione di creazione automatica riesca, devi disporre delle autorizzazioni per l'operazione iam:CreateServiceLinkedRole.

Per creare manualmente un ruolo collegato ai servizi, è possibile utilizzare la console IAM, la CLI IAM o l'API IAM. Per ulteriori informazioni, consultare Creazione di un ruolo collegato ai servizi nella Guida per l'utente di IAM.

Modifica del ruolo collegato ai servizi

OpenSearch Il servizio non ti consente di modificare il ruolo collegato al servizio. AWSServiceRoleForAmazonOpenSearchService Dopo aver creato un ruolo collegato al servizio, non puoi modificarne il nome, perché potrebbero farvi riferimento diverse entità. Puoi tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.

Eliminazione del ruolo collegato ai servizi

Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.

Pulizia del ruolo collegato ai servizi

Prima di utilizzare IAM per eliminare un ruolo collegato ai servizi, devi innanzitutto verificare che il ruolo non abbia sessioni attive ed eliminare tutte le risorse utilizzate dal ruolo.

Per verificare se il ruolo collegato ai servizi dispone di una sessione attiva nella console IAM

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione della console IAM seleziona Ruoli. Quindi, scegli il nome (non la casella di controllo) del ruolo AWSServiceRoleForAmazonOpenSearchService.

  3. Nella pagina Summary (Riepilogo) per il ruolo selezionato, scegliere la scheda Access Advisor (Consulente accessi).

  4. Nella scheda Access Advisor (Consulente accessi), esamina l'attività recente per il ruolo collegato ai servizi.

    Nota

    Se non sei sicuro che OpenSearch Service stia utilizzando il AWSServiceRoleForAmazonOpenSearchService ruolo, puoi provare a eliminare il ruolo. Se il servizio sta utilizzando il ruolo, l'eliminazione non riesce e si possono visualizzare le risorse che utilizzano il ruolo. Se il ruolo è in uso, è necessario attendere il termine della sessione prima di poter eliminare il ruolo e/o cancellare le risorse che lo utilizzano. Non puoi revocare la sessione per un ruolo collegato al servizio.

Eliminazione manuale di un ruolo collegato ai servizi

Elimina i ruoli collegati ai servizi dalla console IAM, dall'API o dalla CLI AWS . Per le istruzioni, consultare Eliminazione di un ruolo collegato ai servizi nella Guida per l'utente di IAM.