本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用服务相关角色创建 OpenSearch 摄取管道
Amazon OpenSearch Ingestion 使用 Amazon Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特的 IAM 角色,直接关联到 OpenSearch Ingestion。服务相关角色由 OpenSearch Ingestion 预定义,包括该服务代表您调用其他 Amazon 服务所需的所有权限。
OpenSearch Ingestion 使用名为的服务相关角色 AWSServiceRoleForAmazonOpenSearchIngestionService,除非您使用自管理 VPC,在这种情况下,它使用名为的服务相关角色。AWSServiceRoleForOpensearchIngestionSelfManagedVpce随附的策略为该角色提供了在您的账户和 OpenSearch Ingestion 之间创建虚拟私有云 (VPC) 以及向您的账户发布 CloudWatch指标所需的权限。
权限
AWSServiceRoleForAmazonOpenSearchIngestionService 服务相关角色信任以下服务代入该角色:
-
osis.amazon.com
名为的角色权限策略AmazonOpenSearchIngestionServiceRolePolicy允许 OpenSearch Ingestion 对指定资源完成以下操作:
-
操作:
*上的ec2:DescribeSubnets -
操作:
ec2:DescribeSecurityGroups上的* -
操作:
ec2:DeleteVpcEndpoints上的* -
操作:
ec2:CreateVpcEndpoint上的* -
操作:
ec2:DescribeVpcEndpoints上的* -
操作:
ec2:CreateTags上的arn:aws:ec2:*:*:network-interface/* -
操作:
cloudwatch:PutMetricData上的cloudwatch:namespace": "AWS/OSIS"
AWSServiceRoleForOpensearchIngestionSelfManagedVpce 服务相关角色信任以下服务代入该角色:
-
self-managed-vpce.osis.amazon.com
名为的角色权限策略OpenSearchIngestionSelfManagedVpcePolicy允许 OpenSearch Ingestion 对指定资源完成以下操作:
-
操作:
*上的ec2:DescribeSubnets -
操作:
ec2:DescribeSecurityGroups上的* -
操作:
ec2:DescribeVpcEndpoints上的* -
操作:
cloudwatch:namespace": "AWS/OSIS"上的cloudwatch:PutMetricData
必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限。
为 OpenSearch Ingestion 创建服务相关角色
您无需手动创建服务相关角色。当你在、或 Amazon API 中创建 OpenSearch 摄取管道时 Amazon Web Services Management Console, OpenSearch Ingestion 会为你创建服务相关角色。 Amazon CLI
如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您创建 OpenSearch 摄取管道时,In OpenSearch gestion 会再次为您创建服务相关角色。
编辑 Ingestion 的 OpenSearch 服务相关角色
OpenSearch Ingestion 不允许您编辑AWSServiceRoleForAmazonOpenSearchIngestionService服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色。
删除 Ingestion 的 OpenSearch 服务相关角色
如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。
清除服务相关角色
必须先删除服务相关角色使用的所有资源,然后才能使用 IAM 删除该角色。
注意
如果您尝试删除资源时 OpenSearch Ingestion 正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
删除 OpenSearch 或角色使用的摄取AWSServiceRoleForAmazonOpenSearchIngestionService资源 AWSServiceRoleForOpensearchIngestionSelfManagedVpce
-
导航至 Amazon OpenSearch 服务控制台,然后选择 Ingesti on。
-
删除所有管道。有关说明,请参阅删除 Amazon OpenSearch Ingestion 管道。
删除 Ingestion 的 OpenSearch 服务相关角色
您可以使用 OpenSearch Ingestion 控制台删除服务相关角色。
删除服务相关角色 (控制台)
-
导航到 IAM 控制台。
-
选择角色并搜索AWSServiceRoleForAmazonOpenSearchIngestionService或AWSServiceRoleForOpensearchIngestionSelfManagedVpce角色。
-
选择角色,选择删除。