Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di ruoli collegati ai servizi per creare domini VPC
Amazon OpenSearch Service utilizza ruoli collegati ai servizi AWS Identity and Access Management (IAM). Un ruolo collegato al servizio è un tipo unico di ruolo IAM collegato direttamente al servizio. OpenSearch I ruoli collegati ai servizi sono predefiniti da OpenSearch Service e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Ruolo di Elasticsearch legacy
Amazon OpenSearch Service utilizza un ruolo collegato al servizio chiamato. AWSServiceRoleForAmazonOpenSearchService
Gli account potrebbero anche contenere un ruolo collegato al servizio legacy denominato AWSServiceRoleForAmazonElasticsearchService
, che funziona con gli endpoint dell'API Amazon Elasticsearch Service obsoleti.
Se il ruolo legacy di Elasticsearch non esiste nel tuo account, OpenSearch Service crea automaticamente un nuovo ruolo OpenSearch collegato al servizio la prima volta che crei un dominio. OpenSearch In caso contrario, l'account continua a utilizzare il ruolo Elasticsearch. Perché questa operazione di creazione automatica riesca, devi disporre delle autorizzazioni per l'operazione iam:CreateServiceLinkedRole
.
Autorizzazioni
Ai fini dell'assunzione del ruolo, il ruolo collegato ai servizi AWSServiceRoleForAmazonOpenSearchService
considera attendibili i seguenti servizi:
-
opensearchservice.amazonaws.com
La politica di autorizzazione dei ruoli denominata AmazonOpenSearchServiceRolePolicy
consente a OpenSearch Service di completare le seguenti azioni sulle risorse specificate:
-
Operazione:
acm:DescribeCertificate
su*
-
Operazione:
cloudwatch:PutMetricData
su*
-
Operazione:
ec2:CreateNetworkInterface
su*
-
Operazione:
ec2:DeleteNetworkInterface
su*
-
Operazione:
ec2:DescribeNetworkInterfaces
su*
-
Operazione:
ec2:ModifyNetworkInterfaceAttribute
su*
-
Operazione:
ec2:DescribeSecurityGroups
su*
-
Operazione:
ec2:DescribeSubnets
su*
-
Operazione:
ec2:DescribeVpcs
su*
-
Azione:
ec2:CreateTags
su tutte le interfacce di rete e gli endpoint VPC -
Operazione:
ec2:DescribeTags
su*
-
Azione:
ec2:CreateVpcEndpoint
su tutti i VPC, i gruppi di sicurezza, le sottoreti e le tabelle di instradamento, nonché su tutti gli endpoint VPC quando la richiesta contiene il tagOpenSearchManaged=true
-
Azione:
ec2:ModifyVpcEndpoint
su tutti i VPC, i gruppi di sicurezza, le sottoreti e le tabelle di instradamento, nonché su tutti gli endpoint VPC quando la richiesta contiene il tagOpenSearchManaged=true
-
Azione:
ec2:DeleteVpcEndpoints
su tutti gli endpoint quando la richiesta contiene il tagOpenSearchManaged=true
-
Operazione:
ec2:AssignIpv6Addresses
su*
-
Operazione:
ec2:UnAssignIpv6Addresses
su*
-
Operazione:
elasticloadbalancing:AddListenerCertificates
su*
-
Operazione:
elasticloadbalancing:RemoveListenerCertificates
su*
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM.
Creazione del ruolo collegato ai servizi
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei un dominio abilitato per VPC utilizzando AWS Management Console, OpenSearch Service crea automaticamente il ruolo collegato al servizio. Perché questa operazione di creazione automatica riesca, devi disporre delle autorizzazioni per l'operazione iam:CreateServiceLinkedRole
.
Per creare manualmente un ruolo collegato ai servizi, è possibile utilizzare la console IAM, la CLI IAM o l'API IAM. Per ulteriori informazioni, consultare Creazione di un ruolo collegato ai servizi nella Guida per l'utente di IAM.
Modifica del ruolo collegato ai servizi
OpenSearch Il servizio non ti consente di modificare il ruolo collegato al servizio. AWSServiceRoleForAmazonOpenSearchService
Dopo aver creato un ruolo collegato al servizio, non puoi modificarne il nome, perché potrebbero farvi riferimento diverse entità. Puoi tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.
Eliminazione del ruolo collegato ai servizi
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.
Pulizia del ruolo collegato ai servizi
Prima di utilizzare IAM per eliminare un ruolo collegato ai servizi, devi innanzitutto verificare che il ruolo non abbia sessioni attive ed eliminare tutte le risorse utilizzate dal ruolo.
Per verificare se il ruolo collegato ai servizi dispone di una sessione attiva nella console IAM
-
Nel pannello di navigazione della console IAM seleziona Ruoli. Quindi, scegli il nome (non la casella di controllo) del ruolo
AWSServiceRoleForAmazonOpenSearchService
. -
Nella pagina Summary (Riepilogo) per il ruolo selezionato, scegliere la scheda Access Advisor (Consulente accessi).
-
Nella scheda Access Advisor (Consulente accessi), esamina l'attività recente per il ruolo collegato ai servizi.
Nota
Se non sei sicuro che OpenSearch Service stia utilizzando il
AWSServiceRoleForAmazonOpenSearchService
ruolo, puoi provare a eliminare il ruolo. Se il servizio sta utilizzando il ruolo, l'eliminazione non riesce e si possono visualizzare le risorse che utilizzano il ruolo. Se il ruolo è in uso, è necessario attendere il termine della sessione prima di poter eliminare il ruolo e/o cancellare le risorse che lo utilizzano. Non puoi revocare la sessione per un ruolo collegato al servizio.
Eliminazione manuale di un ruolo collegato ai servizi
Elimina i ruoli collegati ai servizi dalla console IAM, dall'API o dalla CLI AWS . Per le istruzioni, consultare Eliminazione di un ruolo collegato ai servizi nella Guida per l'utente di IAM.