Permissões Criação de perfil vinculada ao serviço de Ingestão do OpenSearch Edição de perfil vinculada ao serviço de Ingestão do OpenSearch Exclusão de perfil vinculada ao serviço de Ingestão do OpenSearch

Uso de funções vinculadas ao serviço para criar pipelines de Ingestão do OpenSearch

A Ingestão do Amazon OpenSearch usa funções vinculadas a serviço do AWS Identity and Access Management (IAM). Uma função vinculada ao serviço é um tipo exclusivo de perfil do (IAM) vinculado diretamente à Ingestão do OpenSearch. As funções vinculadas a serviços são predefinidas pela Ingestão do OpenSearch e incluem todas as permissões que o serviço requer para chamar outros serviços da AWS em seu nome.

O OpenSearch Ingestion usa o perfil vinculado ao serviço denominado AWSServiceRoleForAmazonOpenSearchIngestionService, exceto quando você usa uma VPC autogerenciada; nesse caso, ele usa o perfil vinculado ao serviço denominado AWSServiceRoleForOpensearchIngestionSelfManagedVpce. A política anexada fornece as permissões necessárias para que o perfil crie uma nuvem privada virtual (VPC) entre sua conta e na Ingestão do OpenSearch e publique métricas do CloudWatch em sua conta.

Permissões

O perfil vinculado ao serviço AWSServiceRoleForAmazonOpenSearchIngestionService confia nos seguintes serviços para aceitar o perfil:

osis.amazon.com

A política de permissões da função AmazonOpenSearchIngestionServiceRolePolicy permite que a Ingestão do OpenSearch conclua as seguintes ações nos recursos especificados:

Ação: cloudwatch:PutMetricData em cloudwatch:namespace": "AWS/OSIS"
Ação: ec2:CreateTags em arn:aws:ec2:*:*:network-interface/*
Ação: ec2:CreateVpcEndpoint em *
Ação: ec2:DeleteVpcEndpoints em *
Ação: ec2:DescribeSecurityGroups em *
Ação: ec2:DescribeSubnets em *
Ação: ec2:DescribeVpcEndpoints em *
Ação: ec2:ModifyVpcEndpoint em *

O perfil vinculado ao serviço AWSServiceRoleForOpensearchIngestionSelfManagedVpce confia nos seguintes serviços para aceitar o perfil:

self-managed-vpce.osis.amazon.com

A política de permissões da função OpenSearchIngestionSelfManagedVpcePolicy permite que a Ingestão do OpenSearch conclua as seguintes ações nos recursos especificados:

Ação: ec2:DescribeSubnets em *
Ação: ec2:DescribeSecurityGroups em *
Ação: ec2:DescribeVpcEndpoints em *
Ação: cloudwatch:PutMetricData em cloudwatch:namespace": "AWS/OSIS"

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte Permissões de função vinculada a serviços no Guia do usuário do IAM.

Criação de perfil vinculada ao serviço de Ingestão do OpenSearch

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria um pipeline de Ingestão do OpenSearch no Console de gerenciamento da AWS, o AWS CLI, ou a API do AWS, a Ingestão do OpenSearch cria a função vinculada ao serviço para você.

Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria um pipeline de Ingestão do OpenSearch, a Ingestão do OpenSearch recria o perfil vinculado ao serviço para você.

Edição de perfil vinculada ao serviço de Ingestão do OpenSearch

A Ingestão do OpenSearch não permite editar a função vinculada ao serviço AWSServiceRoleForAmazonOpenSearchIngestionService. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.

Exclusão de perfil vinculada ao serviço de Ingestão do OpenSearch

Se você não precisar mais usar um atributo ou serviço que exija uma função vinculada a um serviço, recomendamos que você exclua essa função. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de sua função vinculada ao serviço antes de exclui-la manualmente.

Limpar um perfil vinculado ao serviço

Antes de usar o IAM para excluir um perfil vinculado ao serviço, você deverá excluir qualquer recurso usado pelo perfil.

nota

Se a Ingestão do OpenSearch estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Para excluir os recursos de Ingestão do OpenSearch usados pelo perfil `AWSServiceRoleForAmazonOpenSearchIngestionService` ou `AWSServiceRoleForOpensearchIngestionSelfManagedVpce`

Navegue até o console do Amazon OpenSearch Service e escola Ingestão.
Exclua todos os pipelines. Para instruções, consulte Ingestão do Amazon OpenSearch.

Exclusão de função vinculada ao serviço de Ingestão do OpenSearch

É possível usar o console da Ingestão do OpenSearch para excluir uma função vinculada a serviço.

Para excluir uma função vinculada ao serviço (console)

Navegue até o console do IAM.
Escolha Perfis e pesquise o perfil AWSServiceRoleForAmazonOpenSearchIngestionService ou AWSServiceRoleForOpensearchIngestionSelfManagedVpce.
Selecione a função e escolha Excluir.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Função de criação de coleção

Código de exemplo