使用服務連結角色建立 VPC 網域 - Amazon OpenSearch 服務
舊版 Elasticsearch 角色許可建立 服務連結角色編輯服務連結角色刪除 服務連結角色

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用服務連結角色建立 VPC 網域

Amazon OpenSearch 服務使用 AWS Identity and Access Management (IAM) 服務連結角色。服務連結角色是直接連結至 OpenSearch 服務的唯一 IAM 角色類型。服務連結角色由 OpenSearch Service 預先定義,並包含服務代表您呼叫其他服 AWS 務所需的所有權限。

OpenSearch 服務使用名為的服務連結角色 AWSServiceRoleForAmazonOpenSearchService,提供角色所需的最低 Amazon EC2 和 Elastic Load Balancing 許可,以啟用網域的 VPC 存取

舊版 Elasticsearch 角色

Amazon OpenSearch 服務使用稱為AWSServiceRoleForAmazonOpenSearchService的服務鏈接角色。您的帳戶可能也會包含名為 AWSServiceRoleForAmazonElasticsearchService 的舊版服務連結角色,其使用已被淘汰的 Elasticsearch API 端點運作。

如果舊版 Elasticsearch 角色不存在於您的帳戶中, OpenSearch 服務會在您第一次建立網域時自動建立新的 OpenSearch 服務連結角色。 OpenSearch 否則,您的帳戶將繼續使用 Elasticsearch 角色。若要讓此自動建立作業順利完成,您必須具有 iam:CreateServiceLinkedRole 動作的許可。

許可

AWSServiceRoleForAmazonOpenSearchService 服務連結角色信任下列服務以擔任角色:

  • opensearchservice.amazonaws.com

名為的角色權限原則AmazonOpenSearchServiceRolePolicy允許 OpenSearch Service 對指定的資源完成下列動作:

  • 動作:* 上的 acm:DescribeCertificate

  • 動作:* 上的 cloudwatch:PutMetricData

  • 動作:* 上的 ec2:CreateNetworkInterface

  • 動作:* 上的 ec2:DeleteNetworkInterface

  • 動作:* 上的 ec2:DescribeNetworkInterfaces

  • 動作:* 上的 ec2:ModifyNetworkInterfaceAttribute

  • 動作:* 上的 ec2:DescribeSecurityGroups

  • 動作:* 上的 ec2:DescribeSubnets

  • 動作:* 上的 ec2:DescribeVpcs

  • 動作:在所有網路介面和 VPC 端點進行 ec2:CreateTags

  • 動作:* 上的 ec2:DescribeTags

  • 動作:當請求包含標籤 OpenSearchManaged=true 時,在所有 VPC、安全群組、子網路和路由表,以及所有 VPC 端點上進行 ec2:CreateVpcEndpoint

  • 動作:當請求包含標籤 OpenSearchManaged=true 時,在所有 VPC、安全群組、子網路和路由表,以及所有 VPC 端點上進行 ec2:ModifyVpcEndpoint

  • 動作:當請求包含標籤 OpenSearchManaged=true 時,在所有端點上進行 ec2:DeleteVpcEndpoints

  • 動作:* 上的 ec2:AssignIpv6Addresses

  • 動作:* 上的 ec2:UnAssignIpv6Addresses

  • 動作:* 上的 elasticloadbalancing:AddListenerCertificates

  • 動作:* 上的 elasticloadbalancing:RemoveListenerCertificates

您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 IAM 使用者指南中的服務連結角色許可

建立 服務連結角色

您不需要手動建立一個服務連結角色。當您使用建立已啟用 VPC 的網域時 AWS Management Console, OpenSearch 服務會為您建立服務連結角色。若要讓此自動建立作業順利完成,您必須具有 iam:CreateServiceLinkedRole 動作的許可。

您也可以使用 IAM 主控台、IAM CLI 或 IAM API 來手動建立服務連結角色。如需詳細資訊,請參閱 IAM 使用者指南中的建立服務連結角色

編輯服務連結角色

OpenSearch 服務不允許您編輯服AWSServiceRoleForAmazonOpenSearchService務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱 IAM 使用者指南中的編輯服務連結角色

刪除 服務連結角色

若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,務必清除您的服務連結角色,之後才能以手動方式將其刪除。

清除 服務連結角色

您必須先確認服務連結角色沒有作用中的工作階段,並移除該角色使用的資源,之後才能使用 IAM 將其刪除。

檢查服務連結角色是否於 IAM 主控台有作用中的工作階段

  1. 登入 AWS Management Console 並開啟 IAM 主控台,網址為 https://console.aws.amazon.com/iam/

  2. 在 IAM 主控台的導覽窗格中,選擇角色。然後選擇 AWSServiceRoleForAmazonOpenSearchService 角色的名稱 (而非核取方塊)。

  3. 在所選角色的 Summary (摘要) 頁面中,選擇 Access Advisor (存取 Advisor) 分頁。

  4. Access Advisor (存取 Advisor) 分頁中,檢閱服務連結角色的近期活動。

    注意

    如果您不確定 OpenSearch 服務是否使用該AWSServiceRoleForAmazonOpenSearchService角色,可以嘗試刪除角色。如果服務正在使用該角色,則刪除會失敗,而您可以檢視正在使用該角色的資源。如果角色正在使用中,則您必須先等到工作階段結束,才能刪除該角色,及/或刪除正在使用該角色的資源。您無法撤銷服務連結角色的工作階段。

手動刪除服務連結角色

從 IAM 主控台、API 或 AWS CLI 刪除服務連結角色。如需相關說明,請參閱 IAM 使用者指南中的刪除服務連結角色