本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用服务相关角色创建 OpenSearch Ingestion 管道
Amazon OpenSearch Ingestion 使用 Amazon Identity and Access Management (IAM) 服务相关角色。服务相关角色是 IAM 角色的一种独特类型,它与 OpenSearch Ingestion 直接相关。服务相关角色由 OpenSearch Ingestion 预定义,拥有该服务代表您调用其他 Amazon 服务所需的所有权限。
OpenSearch Ingestion 使用名为 AWSServiceRoleForAmazonOpenSearchIngestionService 的服务相关角色,但如果您使用自主管理型 VPC,则将使用名为 AWSServiceRoleForOpensearchIngestionSelfManagedVpce 的服务相关角色。附加策略提供角色在您的账户与 OpenSearch Ingestion 之间创建虚拟私有云 (VPC) 以及向您的账户发布 CloudWatch 指标所需的权限。
权限
AWSServiceRoleForAmazonOpenSearchIngestionService
服务相关角色信任以下服务代入该角色:
-
osis.amazon.com
名为 AmazonOpenSearchIngestionServiceRolePolicy
的角色权限策略可以让 OpenSearch Ingestion 对指定资源完成以下操作:
-
操作:
*
上的ec2:DescribeSubnets
-
操作:
ec2:DescribeSecurityGroups
上的*
-
操作:
ec2:DeleteVpcEndpoints
上的*
-
操作:
ec2:CreateVpcEndpoint
上的*
-
操作:
ec2:DescribeVpcEndpoints
上的*
-
操作:
ec2:CreateTags
上的arn:aws:ec2:*:*:network-interface/*
-
操作:
cloudwatch:PutMetricData
上的cloudwatch:namespace": "AWS/OSIS"
AWSServiceRoleForOpensearchIngestionSelfManagedVpce
服务相关角色信任以下服务代入该角色:
-
self-managed-vpce.osis.amazon.com
名为 OpenSearchIngestionSelfManagedVpcePolicy
的角色权限策略可以让 OpenSearch Ingestion 对指定资源完成以下操作:
-
操作:
*
上的ec2:DescribeSubnets
-
操作:
ec2:DescribeSecurityGroups
上的*
-
操作:
ec2:DescribeVpcEndpoints
上的*
-
操作:
cloudwatch:namespace": "AWS/OSIS"
上的cloudwatch:PutMetricData
必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限。
为 OpenSearch Ingestion 创建服务相关角色
您无需手动创建服务相关角色。当您在 Amazon Web Services Management Console、Amazon CLI 或 Amazon API 中创建 OpenSearch Ingestion 管道时,OpenSearch Ingestion 将为您创建服务相关角色。
如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您创建 OpenSearch Ingestion 管道时,OpenSearch Ingestion 将再次为您创建服务相关角色。
编辑 OpenSearch Ingestion 服务相关角色
OpenSearch Ingestion 不允许您编辑 AWSServiceRoleForAmazonOpenSearchIngestionService
服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色。
删除 OpenSearch Ingestion 服务相关角色
如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。
清除服务相关角色
必须先删除服务相关角色使用的所有资源,然后才能使用 IAM 删除该角色。
注意
在您尝试删除资源时,如果 OpenSearch Ingestion 正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
删除 AWSServiceRoleForAmazonOpenSearchIngestionService
或 AWSServiceRoleForOpensearchIngestionSelfManagedVpce
角色使用的 OpenSearch Ingestion 资源
-
导航到 Amazon Opensearch Service 控制台,选择摄取。
-
删除所有管道。有关说明,请参阅 删除 Amazon OpenSearch Ingestion 管道。
删除 OpenSearch Ingestion 服务相关角色
您可以使用 OpenSearch Ingestion 控制台删除服务相关角色。
删除服务相关角色(控制台)
-
导航到 IAM 控制台。
-
选择角色并搜索 AWSServiceRoleForAmazonOpenSearchIngestionService 或 AWSServiceRoleForOpensearchIngestionSelfManagedVpce 角色。
-
选择角色,选择删除。