使用服务相关角色创建 OpenSearch 无服务器集合 - 亚马逊 OpenSearch 服务
适用于 OpenSearch 无服务器的服务相关角色权限为 OpenSearch 无服务器创建服务相关角色编辑 OpenSearch 无服务器的服务相关角色删除 OpenSearch 无服务器的服务相关角色OpenSearch 无服务器服务相关角色的受支持区域
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用服务相关角色创建 OpenSearch 无服务器集合

OpenSearch 无服务器使用 Amazon Identity and Access Management (IAM) 服务相关角色。服务相关角色是 IAM 角色的一种独特类型,它与 OpenSearch Service 直接相关。服务相关角色由 OpenSearch Service 预定义,拥有该服务代表您调用其他 Amazon 服务所需的所有权限。

OpenSearch 无服务器使用名为 AWSServiceRoleForAmazonOpenSearchServerless 的服务相关角色,它将提供该角色向您的账户发布与无服务器相关的 CloudWatch 指标所需的权限。

适用于 OpenSearch 无服务器的服务相关角色权限

OpenSearch 无服务器使用名为 AWSServiceRoleForAmazonOpenSearchServerless 的服务相关角色,它允许 OpenSearch 无服务器代表您调用 Amazon 服务。

AWSServiceRoleForAmazonOpenSearchServerless 服务相关角色信任以下服务以担任该角色:

  • observability.aoss.amazonaws.com

名为 AmazonOpenSearchServerlessServiceRolePolicy 的角色权限策略允许 OpenSearch 无服务器针对指定资源完成以下操作:

  • 操作:针对所有 Amazon 资源执行 cloudwatch:PutMetricData

注意

该策略包含条件键 {"StringEquals": {"cloudwatch:namespace": "AWS/AOSS"}},这意味着服务相关角色只能将指标数据发送到 AWS/AOSS CloudWatch 命名空间。

必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅 IAM 用户指南中的服务相关角色权限

为 OpenSearch 无服务器创建服务相关角色

无需手动创建服务相关角色。当您在Amazon Web Services Management Console、Amazon CLI 或 Amazon API 中创建 OpenSearch 无服务器集合时,OpenSearch 无服务器将为您创建服务相关角色。

注意

当您首次创建集合时,必须在基于身份的策略中为您分配 iam:CreateServiceLinkedRole

如果删除此服务相关角色,然后需要再次创建,可以使用相同流程在账户中重新创建此角色。当您创建 OpenSearch 无服务器集合时,OpenSearch 无服务器将再次为您创建服务相关角色。

您也可以使用 IAM 控制台借助 Amazon OpenSearch Serverless(Amazon OpenSearch 无服务器)应用场景创建服务相关角色。在 Amazon CLI 或 Amazon API 中,使用 observability.aoss.amazonaws.com 服务名称创建服务相关角色:

aws iam create-service-linked-role --aws-service-name "observability.aoss.amazonaws.com"

有关更多信息,请参阅 IAM 用户指南 中的创建服务相关角色。如果您删除了此服务相关角色,则可以使用此相同过程再次创建角色。

编辑 OpenSearch 无服务器的服务相关角色

OpenSearch Serverless 不允许您编辑 AWSServiceRoleForAmazonOpenSearchServerless 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅 IAM 用户指南中的编辑服务相关角色

删除 OpenSearch 无服务器的服务相关角色

如果不再需要使用某个需要服务相关角色的特征或服务,我们建议您删除该角色。这将防止您拥有未被主动监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。

要删除 AWSServiceRoleForAmazonOpenSearchServerless,必须先在您的 Amazon Web Services 账户 中删除所有 OpenSearch 无服务器集合

注意

在您尝试删除资源时,如果 OpenSearch 无服务器正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。

使用 IAM 手动删除服务相关角色

使用 IAM 控制台、Amazon CLI 或 Amazon API 删除 AWSServiceRoleForAmazonOpenSearchServerless 服务相关角色。有关更多信息,请参阅 IAM 用户指南中的删除服务相关角色

OpenSearch 无服务器服务相关角色的受支持区域

OpenSearch 无服务器支持在每个提供 OpenSearch 无服务器的区域中使用 AWSServiceRoleForAmazonOpenSearchServerless 服务相关角色。有关受支持区域的列表,请参阅 Amazon Web Services 一般参考 中的 Amazon OpenSearch 无服务器端点和配额