使用服务相关角色创建 OpenSearch 摄取管道 - 亚马逊 OpenSearch 服务
权限为 OpenSearch Ingestion 创建服务相关角色编辑 Ingestion 服务相关角色 OpenSearch 删除 Ingestion 服务相关角色 OpenSearch
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用服务相关角色创建 OpenSearch 摄取管道

Amazon OpenSearch Ingestion 使用 Amazon Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种与 OpenSearch Ingestion 直接关联的独特类型的 IAM 角色。服务相关角色是由 OpenSearch Ingestion 预定义的,拥有该服务代表您调用其他服务代表您调用其他服务代表您调用其他 Amazon 服务权限。

OpenSearch Ingestion 使用名为的服务相关角色 AWSServiceRoleForAmazonOpenSearchIngestionService,除非您使用自管理 VPC,在这种情况下,Ingestion 将使用名为的服务相关角色。AWSServiceRoleForOpensearchIngestionSelfManagedVpce附加策略提供该角色在您的账户与 OpenSearch Ingestion 之间创建虚拟私有云 (VPC) 以及向您的账户发布 CloudWatch指标所需的权限。

权限

AWSServiceRoleForAmazonOpenSearchIngestionService 服务相关角色信任以下服务代入该角色:

  • osis.amazon.com

名为 Ingestion 的角色权限策略AmazonOpenSearchIngestionServiceRolePolicy允 OpenSearch 许 Ingestion 对指定资源完成以下操作:

  • 操作:* 上的 ec2:DescribeSubnets

  • 操作:ec2:DescribeSecurityGroups 上的 *

  • 操作:ec2:DeleteVpcEndpoints 上的 *

  • 操作:ec2:CreateVpcEndpoint 上的 *

  • 操作:ec2:DescribeVpcEndpoints 上的 *

  • 操作:ec2:CreateTags 上的 arn:aws:ec2:*:*:network-interface/*

  • 操作:cloudwatch:PutMetricData 上的 cloudwatch:namespace": "AWS/OSIS"

AWSServiceRoleForOpensearchIngestionSelfManagedVpce 服务相关角色信任以下服务代入该角色:

  • self-managed-vpce.osis.amazon.com

名为 Ingestion 的角色权限策略OpenSearchIngestionSelfManagedVpcePolicy允 OpenSearch 许 Ingestion 对指定资源完成以下操作:

  • 操作:* 上的 ec2:DescribeSubnets

  • 操作:ec2:DescribeSecurityGroups 上的 *

  • 操作:ec2:DescribeVpcEndpoints 上的 *

  • 操作:cloudwatch:namespace": "AWS/OSIS" 上的 cloudwatch:PutMetricData

必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限

为 OpenSearch Ingestion 创建服务相关角色

您无需手动创建服务相关角色。当您使用、或 Amazon API 中创建 OpenSearch 摄取管道时 Amazon Web Services Management Console, OpenSearch Ingestion 将为您创建服务相关角色。 Amazon CLI

如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您创建 OpenSearch 摄取管道时,In OpenSearch gestion 将再次为您创建服务相关角色。

编辑 Ingestion 服务相关角色 OpenSearch

OpenSearch Ingestion 不允许您编辑AWSServiceRoleForAmazonOpenSearchIngestionService服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色

删除 Ingestion 服务相关角色 OpenSearch

如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。

清除服务相关角色

必须先删除服务相关角色使用的所有资源,然后才能使用 IAM 删除该角色。

注意

在您尝试删除资源时,如果 OpenSearch Ingestion 正在使用该角色,删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。

删除 OpenSearch 或角色使用的摄取AWSServiceRoleForAmazonOpenSearchIngestionService资源 AWSServiceRoleForOpensearchIngestionSelfManagedVpce

  1. 导航到 Amazon S OpenSearch ervice 控制台,选择取。

  2. 删除所有管道。有关说明,请参阅删除 Amazon OpenSearch Ingestion 管道

删除 Ingestion 服务相关角色 OpenSearch

您可以使用 OpenSearch Ingestion 控制台删除服务相关角色。

删除服务相关角色 (控制台)

  1. 导航到 IAM 控制台。

  2. 选择角色并搜索AWSServiceRoleForAmazonOpenSearchIngestionServiceAWSServiceRoleForOpensearchIngestionSelfManagedVpce角色。

  3. 选择角色,选择删除