Verwenden von serviceverknüpften Rollen zum Erstellen von VPC-Domänen und direkten Abfragen von Datenquellen - OpenSearch Amazon-Dienst
Veraltete Elasticsearch-RolleBerechtigungenErstellen der serviceverknüpfte -RolleBearbeiten der serviceverknüpften RolleLöschen der serviceverknüpften -Rolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von serviceverknüpften Rollen zum Erstellen von VPC-Domänen und direkten Abfragen von Datenquellen

Amazon OpenSearch Service verwendet AWS Identity and Access Management (IAM) serviceverknüpfte Rollen. Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Service verknüpft ist. OpenSearch Dienstbezogene Rollen sind von OpenSearch Service vordefiniert und beinhalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.

OpenSearch Der Service verwendet die angegebene, mit dem Service verknüpfte Rolle AWSServiceRoleForAmazonOpenSearchService, die die Mindestberechtigungen für Amazon EC2 und Elastic Load Balancing bereitstellt, die für die Rolle erforderlich sind, um den VPC-Zugriff für eine Domain oder eine direkte Abfragedatenquelle zu ermöglichen.

Veraltete Elasticsearch-Rolle

Amazon OpenSearch Service verwendet eine serviceverknüpfte Rolle namensAWSServiceRoleForAmazonOpenSearchService. Ihre Konten enthalten möglicherweise auch eine Service-verknüpfte Rolle namens AWSServiceRoleForAmazonElasticsearchService, die mit den veralteten Amazon-Elasticsearch-Service-API-Endpunkten funktioniert.

Wenn die alte Elasticsearch-Rolle in Ihrem Konto nicht vorhanden ist, erstellt OpenSearch Service automatisch eine neue OpenSearch serviceverknüpfte Rolle, wenn Sie zum ersten Mal eine Domain erstellen. OpenSearch Andernfalls verwendet Ihr Konto weiterhin die Elasticsearch-Rolle. Damit diese automatische Erstellung möglich ist, müssen Sie über Berechtigungen für die Aktion iam:CreateServiceLinkedRole verfügen.

Berechtigungen

Die serviceverknüpfte Rolle AWSServiceRoleForAmazonOpenSearchService vertraut darauf, dass die folgenden Services die Rolle annehmen:

  • opensearchservice.amazonaws.com

Die genannte Richtlinie für Rollenberechtigungen AmazonOpenSearchServiceRolePolicyermöglicht es dem OpenSearch Service, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:

  • Aktion: acm:DescribeCertificate für *

  • Aktion: cloudwatch:PutMetricData für *

  • Aktion: ec2:CreateNetworkInterface für *

  • Aktion: ec2:DeleteNetworkInterface für *

  • Aktion: ec2:DescribeNetworkInterfaces für *

  • Aktion: ec2:ModifyNetworkInterfaceAttribute für *

  • Aktion: ec2:DescribeSecurityGroups für *

  • Aktion: ec2:DescribeSubnets für *

  • Aktion: ec2:DescribeVpcs für *

  • Aktion: ec2:CreateTags auf allen Netzwerkschnittstellen und VPC-Endpunkten

  • Aktion: ec2:DescribeTags für *

  • Aktion: ec2:CreateVpcEndpoint für alle Sicherheitsgruppen VPCs, Subnetze und Routing-Tabellen sowie für alle VPC-Endpunkte, wenn die Anfrage das Tag enthält OpenSearchManaged=true

  • Aktion: ec2:ModifyVpcEndpoint für alle Sicherheitsgruppen VPCs, Subnetze und Routing-Tabellen sowie für alle VPC-Endpunkte, wenn die Anfrage das Tag enthält OpenSearchManaged=true

  • Aktion: ec2:DeleteVpcEndpoints auf allen Endpunkten, wenn die Anfrage das Tag OpenSearchManaged=true enthält

  • Aktion: ec2:AssignIpv6Addresses für *

  • Aktion: ec2:UnAssignIpv6Addresses für *

  • Aktion: elasticloadbalancing:AddListenerCertificates für *

  • Aktion: elasticloadbalancing:RemoveListenerCertificates für *

Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter Serviceverknüpfte Rollenberechtigung im IAM-Benutzerhandbuch.

Erstellen der serviceverknüpfte -Rolle

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie eine VPC-fähige Domäne oder eine direkte Abfrage-Datenquelle mit dem erstellen AWS Management Console, erstellt OpenSearch Service die dienstverknüpfte Rolle für Sie. Damit diese automatische Erstellung möglich ist, müssen Sie über Berechtigungen für die Aktion iam:CreateServiceLinkedRole verfügen.

Sie können auch die IAM-Konsole, den IAM-CLI oder die IAM-API verwenden, um eine Service-verknüpfte Rolle manuell zu erstellen. Weitere Informationen finden Sie unter Erstellen einer Service-verknüpften Rolle im IAM-Benutzerhandbuch.

Bearbeiten der serviceverknüpften Rolle

OpenSearch Mit Service können Sie die dienstverknüpfte Rolle nicht bearbeiten. AWSServiceRoleForAmazonOpenSearchService Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Löschen der serviceverknüpften -Rolle

Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

Bereinigen der -serviceverknüpften Rolle

Bevor Sie mit IAM eine serviceverknüpfte Rolle löschen können, müssen Sie sich zunächst vergewissern, dass die Rolle über keine aktiven Sitzungen verfügt, und alle Ressourcen entfernen, die von der Rolle verwendet werden.

So überprüfen Sie in der IAM-Konsole, ob die serviceverknüpfte Rolle über eine aktive Sitzung verfügt

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/

  2. Wählen Sie im Navigationsbereich der IAM Console Roles (Rollen) aus. Wählen Sie dann den Namen (nicht das Kontrollkästchen) der Rolle AWSServiceRoleForAmazonOpenSearchService aus.

  3. Wählen Sie auf der Seite Summary für die ausgewählte Rolle die Registerkarte Access Advisor.

  4. Überprüfen Sie auf der Registerkarte Access Advisor die jüngsten Aktivitäten für die serviceverknüpfte Rolle.

    Anmerkung

    Wenn Sie sich nicht sicher sind, ob OpenSearch Service die AWSServiceRoleForAmazonOpenSearchService Rolle verwendet, können Sie versuchen, die Rolle zu löschen. Wenn der Service die Rolle verwendet, schlägt die Löschung fehl und Sie können die Ressourcen anzeigen, in denen die Rolle verwendet wird. Wenn die Rolle verwendet wird, müssen Sie warten, bis die Sitzung beendet ist, bevor Sie die Rolle löschen und die Ressourcen and/or löschen können, die die Rolle verwenden. Die Sitzung für eine serviceverknüpfte Rolle können Sie nicht widerrufen.

Manuelles Löschen einer Service-verknüpften Rolle

Löschen Sie serviceverknüpfte Rollen aus der IAM-Konsole, API oder AWS CLI. Anweisungen finden Sie unter Löschen einer Service-verknüpften Rolle im IAM-Benutzerhandbuch.