本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用服务相关角色创建 OpenSearch Ingestion 管道
Amazon OpenSearch Ingestion 使用 Amazon Identity and Access Management (IAM) 服务相关角色。服务相关角色是 IAM 角色的一种独特类型,它与 OpenSearch Ingestion 直接相关。服务相关角色由 OpenSearch Ingestion 预定义,拥有该服务代表您调用其他 Amazon 服务所需的所有权限。
OpenSearch Ingestion 使用名为 AWSServiceRoleForAmazonOpenSearchIngestion 的服务相关角色。附加策略提供角色在您的账户与 OpenSearch Ingestion 之间创建虚拟私有云 (VPC) 以及向您的账户发布 CloudWatch 指标所需的权限。
权限
AWSServiceRoleForAmazonOpenSearchIngestion 服务相关角色信任以下服务代入该角色:
-
osis.amazon.com
名为 AmazonOpenSearchIngestionServiceRolePolicy 的角色权限策略可以让 OpenSearch Ingestion 对指定资源完成以下操作:
-
操作:
*上的ec2:DescribeSubnets -
操作:
ec2:DescribeSecurityGroups上的* -
操作:
ec2:DeleteVpcEndpoints上的* -
操作:
ec2:CreateVpcEndpoint上的* -
操作:
ec2:DescribeVpcEndpoints上的* -
操作:
ec2:CreateTags上的arn:aws:ec2:*:*:network-interface/* -
操作:
cloudwatch:namespace": "AWS/OSIS"上的cloudwatch:PutMetricData
必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅 IAM 用户指南中的服务相关角色权限。
为 OpenSearch Ingestion 创建服务相关角色
无需手动创建服务相关角色。当您在 Amazon Web Services Management Console、Amazon CLI 或 Amazon API 中创建 OpenSearch Ingestion 管道时,OpenSearch Ingestion 将为您创建服务相关角色。
如果删除此服务相关角色,然后需要再次创建,可以使用相同流程在账户中重新创建此角色。当您创建 OpenSearch Ingestion 管道时,OpenSearch Ingestion 将再次为您创建服务相关角色。
编辑 OpenSearch Ingestion 服务相关角色
OpenSearch Ingestion 不允许您编辑 AWSServiceRoleForAmazonOpenSearchIngestion 服务相关角色。创建服务相关角色后,将无法更改角色名称,因为可能有多个实体引用该角色。但是可以使用 IAM 编辑角色说明。有关更多信息,请参阅 IAM 用户指南中的编辑服务相关角色。
删除 OpenSearch Ingestion 服务相关角色
如果不再需要使用某个需要服务相关角色的特征或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。
清除服务相关角色
必须先删除服务相关角色使用的所有资源,然后才能使用 IAM 删除该角色。
注意
在您尝试删除资源时,如果 OpenSearch Ingestion 正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
删除 AWSServiceRoleForAmazonOpenSearchIngestion 使用的 OpenSearch Ingestion 资源
-
导航到 Amazon Opensearch Service 控制台,选择摄取。
-
删除所有管道。有关说明,请参阅 删除 Amazon OpenSearch Ingestion 管道。
删除 OpenSearch Ingestion 服务相关角色
您可以使用 OpenSearch Ingestion 控制台删除服务相关角色。
删除服务相关角色(控制台)
-
导航到 IAM 控制台。
-
选择角色,搜索 AWSServiceRoleForAmazonOpenSearchIngestion 角色。
-
选择角色,选择删除。