Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisation de rôles liés à un service pour créer des pipelines d'ingestion OpenSearch
Amazon OpenSearch Ingestion utilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à Ingestion. OpenSearch Les rôles liés au service sont prédéfinis par OpenSearch Ingestion et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
OpenSearch L'ingestion utilise le rôle lié au service nommé **AWSServiceRoleForAmazonOpenSearchIngestionService**, sauf lorsque vous utilisez un VPC autogéré, auquel cas elle utilise le rôle lié au service nommé. **AWSServiceRoleForOpensearchIngestionSelfManagedVpce** La politique ci-jointe fournit les autorisations nécessaires au rôle pour créer un cloud privé virtuel (VPC) entre votre compte et OpenSearch Ingestion, et pour publier CloudWatch des métriques sur votre compte.
## Permissions
Le rôle lié à un service `AWSServiceRoleForAmazonOpenSearchIngestionService` approuve les services suivants pour endosser le rôle :
+ `osis.amazonaws.com`
La politique d'autorisation de rôle nommée `AmazonOpenSearchIngestionServiceRolePolicy` permet OpenSearch à Ingestion d'effectuer les actions suivantes sur les ressources spécifiées :
+ Action : `cloudwatch:PutMetricData` sur `cloudwatch:namespace": "AWS/OSIS"`
+ Action : `ec2:CreateTags` sur `arn:aws:ec2:*:*:network-interface/*`
+ Action : `ec2:CreateVpcEndpoint` sur `*`
+ Action : `ec2:DeleteVpcEndpoints` sur `*`
+ Action : `ec2:DescribeSecurityGroups` sur `*`
+ Action : `ec2:DescribeSubnets` sur `*`
+ Action : `ec2:DescribeVpcEndpoints` sur `*`
+ Action : `ec2:ModifyVpcEndpoint` sur `*`
Le rôle lié à un service `AWSServiceRoleForOpensearchIngestionSelfManagedVpce` approuve les services suivants pour endosser le rôle :
+ `self-managed-vpce.osis.amazonaws.com`
La politique d'autorisation de rôle nommée `OpenSearchIngestionSelfManagedVpcePolicy` permet OpenSearch à Ingestion d'effectuer les actions suivantes sur les ressources spécifiées :
+ Action : `ec2:DescribeSubnets` sur `*`
+ Action : `ec2:DescribeSecurityGroups` sur `*`
+ Action : `ec2:DescribeVpcEndpoints` sur `*`
+ Action : `cloudwatch:PutMetricData` sur `cloudwatch:namespace": "AWS/OSIS"`
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
## Création du rôle lié à un service pour Ingestion OpenSearch
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous [créez un pipeline d' OpenSearch ingestion](creating-pipeline.md#create-pipeline) dans l'API AWS Management Console AWS CLI, le ou l' AWS API, OpenSearch Ingestion crée le rôle lié au service pour vous.
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez un pipeline d' OpenSearch OpenSearch ingestion, Ingestion crée à nouveau le rôle lié au service pour vous.
## Modification du rôle lié à un service pour Ingestion OpenSearch
OpenSearch L'ingestion ne vous permet pas de modifier le rôle `AWSServiceRoleForAmazonOpenSearchIngestionService` lié au service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Suppression du rôle lié au service pour Ingestion OpenSearch
Si vous n’avez plus besoin d’utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.
### Nettoyage d’un rôle lié à un service
Avant de pouvoir utiliser IAM pour supprimer un rôle lié à un service, vous devez supprimer toutes les ressources utilisées par le rôle.
**Note**
Si OpenSearch Ingestion utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer les ressources OpenSearch d'ingestion utilisées par le `AWSServiceRoleForOpensearchIngestionSelfManagedVpce` rôle `AWSServiceRoleForAmazonOpenSearchIngestionService` or**
1. Accédez à la console Amazon OpenSearch Service et choisissez **Ingestion**.
1. Supprimez tous les pipelines. Pour obtenir des instructions, veuillez consulter [Suppression des pipelines OpenSearch Amazon Ingestion](delete-pipeline.md).
### Supprimer le rôle lié au service pour Ingestion OpenSearch
Vous pouvez utiliser la console OpenSearch d'ingestion pour supprimer un rôle lié à un service.
**Pour supprimer un rôle lié à un service (console)**
1. Accédez à la Console IAM.
1. Choisissez **Rôles** et recherchez le **AWSServiceRoleForOpensearchIngestionSelfManagedVpce**rôle **AWSServiceRoleForAmazonOpenSearchIngestionService**ou.
1. Sélectionnez le rôle, puis cliquez **sur Supprimer**.