本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用服务相关角色创建 OpenSearch 无服务器集合
OpenSearch 无服务器使用 Amazon Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特的 IAM 角色,直接链接到 OpenSearch 服务。服务相关角色由 S OpenSearch ervice 预定义,包括该服务代表您调用其他 Amazon 服务所需的所有权限。
OpenSearch Serverless 使用名为的服务相关角色 AWSServiceRoleForAmazonOpenSearchServerless,该角色提供向您的账户发布与无服务器相关的 CloudWatch指标所需的权限。与之关联的角色权限策略名 AWSServiceRoleForAmazonOpenSearchServerless 为AmazonOpenSearchServerlessServiceRolePolicy。有关该策略的更多信息,请参阅AmazonOpenSearchServerlessServiceRolePolicy《Amazon 托管策略参考指南》。
Serverless 的服务相关角色权限 OpenSearch
OpenSearch Serverless 使用名为的服务关联角色 AWSServiceRoleForAmazonOpenSearchServerless,该角色允许 OpenSearch Serverless 代表您调用 Amazon 服务。
AWSServiceRoleForAmazonOpenSearchServerless 服务相关角色信任以下服务来代入该角色:
-
observability.aoss.amazonaws.com
名为的角色权限策略AmazonOpenSearchServerlessServiceRolePolicy允许 OpenSearch Serverless 对指定资源完成以下操作:
-
操作:
cloudwatch:PutMetricData对所有 Amazon 资源采取行动
注意
该策略包含条件键{"StringEquals":
{"cloudwatch:namespace": "AWS/AOSS"}},这意味着服务相关角色只能向AWS/AOSS CloudWatch命名空间发送指标数据。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限。
为 OpenSearch Serverless 创建服务相关角色
您无需手动创建服务相关角色。当您在 Amazon Web Services Management Console、或 Amazon API 中创建 OpenSearch 无服务器集合时 Amazon CLI, OpenSearch Serverless 会为您创建与服务相关的角色。
注意
当您首次创建集合时,必须在基于身份的策略中为您分配 iam:CreateServiceLinkedRole。
如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您创建 OpenSearch 无服务器集合时,Ser OpenSearch verless 会再次为您创建服务相关角色。
您还可以使用 IAM 控制台在 A mazon OpenSearch Serverless 用例中创建服务相关角色。在 Amazon CLI 或 Amazon API 中,使用服务名称创建服务相关角色:observability.aoss.amazonaws.com
aws iam create-service-linked-role --aws-service-name "observability.aoss.amazonaws.com"
有关更多信息,请参阅 IAM 用户指南 中的创建服务相关角色。如果您删除了此服务相关角色,可以使用同样的过程再次创建角色。
编辑 Serverless 的 OpenSearch 服务相关角色
OpenSearch Serverless 不允许您编辑 AWSServiceRoleForAmazonOpenSearchServerless 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色。
删除 Serverless 的 OpenSearch 服务相关角色
如果不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这将防止您拥有未被主动监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。
要删除 AWSServiceRoleForAmazonOpenSearchServerless,必须先删除您的 Amazon Web Services 账户所有 OpenSearch 无服务器集合。
注意
如果您尝试删除资源时 OpenSearch Serverless 正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
使用 IAM 手动删除服务相关角色
使用 IAM 控制台 Amazon CLI、或 Amazon API 删除 AWSServiceRoleForAmazonOpenSearchServerless服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的删除服务相关角色。
OpenSearch 无服务器服务相关角色支持的区域
OpenSearch Serverless 支持在每个可用 S OpenSearch erverless 的区域中使用 AWSServiceRoleForAmazonOpenSearchServerless 服务相关角色。有关支持的区域列表,请参阅中的 Amazon OpenSearch Serverless 终端节点和配额。Amazon Web Services 一般参考