使用服务相关角色创建 OpenSearch 无服务器集合 - 亚马逊 OpenSearch 服务
无服务器的服务相关角色权限 OpenSearch 为无服务器创建服务相关角色 OpenSearch 编辑无服务器的服务相关角色 OpenSearch 删除无服务器的服务相关角色 OpenSearch OpenSearch 无服务器服务相关角色支持的区域
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用服务相关角色创建 OpenSearch 无服务器集合

OpenSearch 无服务器使用 Amazon Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特的 IAM 角色,直接链接到 OpenSearch 服务。服务相关角色由 S OpenSearch ervice 预定义,包括该服务代表您调用其他 Amazon 服务所需的所有权限。

OpenSearch Serverless 使用名为的服务相关角色 AWSServiceRoleForAmazonOpenSearchServerless,该角色提供向您的账户发布与无服务器相关的 CloudWatch指标所需的权限。与之关联的角色权限策略名 AWSServiceRoleForAmazonOpenSearchServerless 为AmazonOpenSearchServerlessServiceRolePolicy。有关该策略的更多信息,请参阅AmazonOpenSearchServerlessServiceRolePolicyAmazon 托管策略参考指南》

无服务器的服务相关角色权限 OpenSearch

OpenSearch Serverless 使用名为的服务关联角色 AWSServiceRoleForAmazonOpenSearchServerless,该角色允许 OpenSearch Serverless 代表您调用 Amazon 服务。

AWSServiceRoleForAmazonOpenSearchServerless 服务相关角色信任以下服务来代入该角色:

  • observability.aoss.amazonaws.com

名为的角色权限策略AmazonOpenSearchServerlessServiceRolePolicy允许 OpenSearch Serverless 对指定资源完成以下操作:

  • 操作:cloudwatch:PutMetricData对所有 Amazon 资源采取行动

注意

该策略包含条件键{"StringEquals": {"cloudwatch:namespace": "AWS/AOSS"}},这意味着服务相关角色只能向AWS/AOSS CloudWatch命名空间发送指标数据。

您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限

为无服务器创建服务相关角色 OpenSearch

您无需手动创建服务相关角色。当您在 Amazon Web Services Management Console、或 Amazon API 中创建 OpenSearch 无服务器集合时 Amazon CLI, OpenSearch Serverless 会为您创建与服务相关的角色。

注意

当您首次创建集合时,必须在基于身份的策略中为您分配 iam:CreateServiceLinkedRole

如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您创建 OpenSearch 无服务器集合时,Ser OpenSearch verless 会再次为您创建服务相关角色。

您还可以使用 IAM 控制台在 A mazon OpenSearch Serverless 用例中创建服务相关角色。在 Amazon CLI 或 Amazon API 中,使用服务名称创建服务相关角色:observability.aoss.amazonaws.com

aws iam create-service-linked-role --aws-service-name "observability.aoss.amazonaws.com"

有关更多信息,请参阅 IAM 用户指南 中的创建服务相关角色。如果您删除了此服务相关角色,可以使用同样的过程再次创建角色。

编辑无服务器的服务相关角色 OpenSearch

OpenSearch Serverless 不允许您编辑 AWSServiceRoleForAmazonOpenSearchServerless 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色

删除无服务器的服务相关角色 OpenSearch

如果不再需要使用某个需要服务相关角色的特征或服务,我们建议您删除该角色。这将防止您拥有未被主动监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。

要删除 AWSServiceRoleForAmazonOpenSearchServerless,必须先删除您的 Amazon Web Services 账户所有 OpenSearch 无服务器集合

注意

如果您尝试删除资源时 OpenSearch Serverless 正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。

使用 IAM 手动删除服务相关角色

使用 IAM 控制台 Amazon CLI、或 Amazon API 删除 AWSServiceRoleForAmazonOpenSearchServerless服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的删除服务相关角色

OpenSearch 无服务器服务相关角色支持的区域

OpenSearch Serverless 支持在每个可用 S OpenSearch erverless 的区域中使用 AWSServiceRoleForAmazonOpenSearchServerless 服务相关角色。有关支持的区域列表,请参阅中的 Amazon OpenSearch 无服务器终端节点和配额Amazon Web Services 一般参考