使用服务相关角色创建 OpenSearch 无服务器集合 - 亚马逊 OpenSearch 服务
Serverless 的服务相关角色权限 OpenSearch 为 OpenSearch Serverless 创建服务相关角色编辑 Serverless 的 OpenSearch 服务相关角色删除 Serverless 的 OpenSearch 服务相关角色 OpenSearch Serverless 服务相关角色的支持区域
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用服务相关角色创建 OpenSearch 无服务器集合

OpenSearch 无服务器使用 Amazon Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特类型的 IAM 角色,它与 S OpenSearch ervice 直接相关。服务相关角色是Service 预定义的,拥有该 OpenSearch 服务代表您调用其他服务代表您调用其他服务代表您调用其他 Amazon 服务权限。

OpenSearch Serverless 使用名为 Serverless 的服务相关角色 AWSServiceRoleForAmazonOpenSearchServerless,它将提供该角色向您的账户发布与无服务器相关的权限 CloudWatch。与之关联的角色权限策略名 AWSServiceRoleForAmazonOpenSearchServerless 为AmazonOpenSearchServerlessServiceRolePolicy。有关该策略的更多信息,请参阅AmazonOpenSearchServerlessServiceRolePolicyAmazon 托管策略参考指南》

Serverless 的服务相关角色权限 OpenSearch

OpenSearch Serverless 使用名为的服务相关角色 AWSServiceRoleForAmazonOpenSearchServerless, OpenSearch Serverless 可以代表您调用 Amazon 服务。

AWSServiceRoleForAmazonOpenSearchServerless 服务相关角色信任以下服务代入该角色:

  • observability.aoss.amazonaws.com

名为 Serverl OpenSearch ess 的角色权限策略AmazonOpenSearchServerlessServiceRolePolicy允许 Serverless 对指定资源完成以下操作:

  • 操作:针对所有 Amazon 资源执行 cloudwatch:PutMetricData

注意

该策略包含条件键{"StringEquals": {"cloudwatch:namespace": "AWS/AOSS"}},这意味着服务相关角色只能向AWS/AOSS CloudWatch命名空间发送指标数据。

您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限

为 OpenSearch Serverless 创建服务相关角色

您无需手动创建服务相关角色。当您在 Amazon Web Services Management Console、或 Amazon API 中创建 OpenSearch 无服务器集合时 Amazon CLI, OpenSearch Serverless 会为您创建与服务相关的角色。

注意

当您首次创建集合时,必须在基于身份的策略中为您分配 iam:CreateServiceLinkedRole

如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您创建 OpenSearch 无服务器集合时,Ser OpenSearch verless 会再次为您创建服务相关角色。

您也可以使用 IAM 控制台为 Amazon Serverless(A mazon OpenSearch Serverless)使用案例创建服务相关角色。在 Amazon CLI 或 Amazon API 中,使用服务名称创建服务相关角色:observability.aoss.amazonaws.com

aws iam create-service-linked-role --aws-service-name "observability.aoss.amazonaws.com"

有关更多信息,请参阅 IAM 用户指南 中的创建服务相关角色。如果您删除了此服务相关角色,可以使用同样的过程再次创建角色。

编辑 Serverless 的 OpenSearch 服务相关角色

OpenSearch Serverless 不允许您编辑 AWSServiceRoleForAmazonOpenSearchServerless 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色

删除 Serverless 的 OpenSearch 服务相关角色

如果不再需要使用某个需要服务相关角色的特征或服务,我们建议您删除该角色。这将防止您拥有未被主动监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。

要删除 AWSServiceRoleForAmazonOpenSearchServerless,必须先删除您的 Amazon Web Services 账户所有 OpenSearch 无服务器集合

注意

在您尝试删除资源时,如果 OpenSearch Serverless 正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。

使用 IAM 手动删除服务相关角色

使用 IAM 控制台 Amazon CLI、或 Amazon API 删除 AWSServiceRoleForAmazonOpenSearchServerless服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的删除服务相关角色

OpenSearch Serverless 服务相关角色的支持区域

OpenSearch Serverless 支持在每个提供 Ser OpenSearch verless 的区域中使用 AWSServiceRoleForAmazonOpenSearchServerless 服务相关角色。有关支持的区域列表,请参阅中的 Amazon OpenSearch 无服务器终端节点和配额Amazon Web Services 一般参考