Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwenden von serviceverknüpften Rollen zum Erstellen von VPC-Domänen und direkten Abfragen von Datenquellen
Amazon OpenSearch Service verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Service verknüpft ist. OpenSearch Dienstbezogene Rollen sind von OpenSearch Service vordefiniert und beinhalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
OpenSearch Der Service verwendet die angegebene, mit dem Service verknüpfte Rolle **AWSServiceRoleForAmazonOpenSearchService**, die die Mindestberechtigungen für Amazon EC2 und Elastic Load Balancing bereitstellt, die für die Rolle erforderlich sind, um den [VPC-Zugriff](cognito-auth.md) für eine Domain oder eine direkte Abfragedatenquelle zu ermöglichen.
## Veraltete Elasticsearch-Rolle
Amazon OpenSearch Service verwendet eine serviceverknüpfte Rolle namens`AWSServiceRoleForAmazonOpenSearchService`. Ihre Konten enthalten möglicherweise auch eine Service-verknüpfte Rolle namens `AWSServiceRoleForAmazonElasticsearchService`, die mit den veralteten Amazon-Elasticsearch-Service-API-Endpunkten funktioniert.
Wenn die alte Elasticsearch-Rolle in Ihrem Konto nicht vorhanden ist, erstellt OpenSearch Service automatisch eine neue OpenSearch serviceverknüpfte Rolle, wenn Sie zum ersten Mal eine Domain erstellen. OpenSearch Andernfalls verwendet Ihr Konto weiterhin die Elasticsearch-Rolle. Damit diese automatische Erstellung möglich ist, müssen Sie über Berechtigungen für die Aktion `iam:CreateServiceLinkedRole` verfügen.
## Berechtigungen
Die serviceverknüpfte Rolle `AWSServiceRoleForAmazonOpenSearchService` vertraut darauf, dass die folgenden Services die Rolle annehmen:
+ `opensearchservice.amazonaws.com`
Die genannte Richtlinie für Rollenberechtigungen [https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac-managed.html#AmazonOpenSearchServiceRolePolicy](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac-managed.html#AmazonOpenSearchServiceRolePolicy)ermöglicht es dem OpenSearch Service, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:
+ Aktion: `acm:DescribeCertificate` für `*`
+ Aktion: `cloudwatch:PutMetricData` für `*`
+ Aktion: `ec2:CreateNetworkInterface` für `*`
+ Aktion: `ec2:DeleteNetworkInterface` für `*`
+ Aktion: `ec2:DescribeNetworkInterfaces` für `*`
+ Aktion: `ec2:ModifyNetworkInterfaceAttribute` für `*`
+ Aktion: `ec2:DescribeSecurityGroups` für `*`
+ Aktion: `ec2:DescribeSubnets` für `*`
+ Aktion: `ec2:DescribeVpcs` für `*`
+ Aktion: `ec2:CreateTags` auf allen Netzwerkschnittstellen und VPC-Endpunkten
+ Aktion: `ec2:DescribeTags` für `*`
+ Aktion: `ec2:CreateVpcEndpoint` für alle Sicherheitsgruppen VPCs, Subnetze und Routing-Tabellen sowie für alle VPC-Endpunkte, wenn die Anfrage das Tag enthält `OpenSearchManaged=true`
+ Aktion: `ec2:ModifyVpcEndpoint` für alle Sicherheitsgruppen VPCs, Subnetze und Routing-Tabellen sowie für alle VPC-Endpunkte, wenn die Anfrage das Tag enthält `OpenSearchManaged=true`
+ Aktion: `ec2:DeleteVpcEndpoints` auf allen Endpunkten, wenn die Anfrage das Tag `OpenSearchManaged=true` enthält
+ Aktion: `ec2:AssignIpv6Addresses` für `*`
+ Aktion: `ec2:UnAssignIpv6Addresses` für `*`
+ Aktion: `elasticloadbalancing:AddListenerCertificates` für `*`
+ Aktion: `elasticloadbalancing:RemoveListenerCertificates` für `*`
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Erstellen der serviceverknüpfte -Rolle
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie eine VPC-fähige Domäne oder eine direkte Abfrage-Datenquelle mit dem erstellen AWS-Managementkonsole, erstellt OpenSearch Service die dienstverknüpfte Rolle für Sie. Damit diese automatische Erstellung möglich ist, müssen Sie über Berechtigungen für die Aktion `iam:CreateServiceLinkedRole` verfügen.
Sie können auch die IAM-Konsole, den IAM-CLI oder die IAM-API verwenden, um eine Service-verknüpfte Rolle manuell zu erstellen. Weitere Informationen finden Sie unter [Erstellen einer Service-verknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) im *IAM-Benutzerhandbuch*.
## Bearbeiten der serviceverknüpften Rolle
OpenSearch Mit Service können Sie die dienstverknüpfte Rolle nicht bearbeiten. `AWSServiceRoleForAmazonOpenSearchService` Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen der serviceverknüpften -Rolle
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
### Bereinigen der -serviceverknüpften Rolle
Bevor Sie mit IAM eine serviceverknüpfte Rolle löschen können, müssen Sie sich zunächst vergewissern, dass die Rolle über keine aktiven Sitzungen verfügt, und alle Ressourcen entfernen, die von der Rolle verwendet werden.
**So überprüfen Sie in der IAM-Konsole, ob die serviceverknüpfte Rolle über eine aktive Sitzung verfügt**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich der IAM Console **Roles** (Rollen) aus. Wählen Sie dann den Namen (nicht das Kontrollkästchen) der Rolle `AWSServiceRoleForAmazonOpenSearchService` aus.
1. Wählen Sie auf der Seite **Summary** für die ausgewählte Rolle die Registerkarte **Access Advisor**.
1. Überprüfen Sie auf der Registerkarte **Access Advisor** die jüngsten Aktivitäten für die serviceverknüpfte Rolle.
**Anmerkung**
Wenn Sie sich nicht sicher sind, ob OpenSearch Service die `AWSServiceRoleForAmazonOpenSearchService` Rolle verwendet, können Sie versuchen, die Rolle zu löschen. Wenn der Service die Rolle verwendet, schlägt die Löschung fehl und Sie können die Ressourcen anzeigen, in denen die Rolle verwendet wird. Wenn die Rolle verwendet wird, müssen Sie warten, bis die Sitzung beendet ist, bevor Sie die Rolle löschen und die Ressourcen and/or löschen können, die die Rolle verwenden. Die Sitzung für eine serviceverknüpfte Rolle können Sie nicht widerrufen.
### Manuelles Löschen einer Service-verknüpften Rolle
Löschen Sie serviceverknüpfte Rollen aus der IAM-Konsole, API oder AWS CLI. Anweisungen finden Sie unter [Löschen einer Service-verknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.