Usando funções vinculadas a serviços para criar pipelines de ingestão OpenSearch - OpenSearch Serviço Amazon
PermissõesCriação da função vinculada ao serviço para ingestão OpenSearch Editando a função vinculada ao serviço para ingestão OpenSearch Excluindo a função vinculada ao serviço para ingestão OpenSearch

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando funções vinculadas a serviços para criar pipelines de ingestão OpenSearch

O Amazon OpenSearch Ingestion usa funções AWS Identity and Access Management vinculadas a serviços (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente à OpenSearch ingestão. As funções vinculadas ao serviço são predefinidas pelo OpenSearch Inestion e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.

OpenSearch A ingestão usa a função vinculada ao serviço chamada AWSServiceRoleForAmazonOpenSearchIngestionService, exceto quando você usa uma VPC autogerenciada. Nesse caso, ela usa a função vinculada ao serviço chamada. AWSServiceRoleForOpensearchIngestionSelfManagedVpce A política anexada fornece as permissões necessárias para que a função crie uma nuvem privada virtual (VPC) entre sua conta e a OpenSearch Ingestão e publique CloudWatch métricas em sua conta.

Permissões

O perfil vinculado ao serviço AWSServiceRoleForAmazonOpenSearchIngestionService confia nos seguintes serviços para aceitar o perfil:

  • osis.amazon.com

A política de permissões de função chamada AmazonOpenSearchIngestionServiceRolePolicy permite que o OpenSearch Inestion conclua as seguintes ações nos recursos especificados:

  • Ação: cloudwatch:PutMetricData em cloudwatch:namespace": "AWS/OSIS"

  • Ação: ec2:CreateTags em arn:aws:ec2:*:*:network-interface/*

  • Ação: ec2:CreateVpcEndpoint em *

  • Ação: ec2:DeleteVpcEndpoints em *

  • Ação: ec2:DescribeSecurityGroups em *

  • Ação: ec2:DescribeSubnets em *

  • Ação: ec2:DescribeVpcEndpoints em *

  • Ação: ec2:ModifyVpcEndpoint em *

O perfil vinculado ao serviço AWSServiceRoleForOpensearchIngestionSelfManagedVpce confia nos seguintes serviços para aceitar o perfil:

  • self-managed-vpce.osis.amazon.com

A política de permissões de função chamada OpenSearchIngestionSelfManagedVpcePolicy permite que o OpenSearch Inestion conclua as seguintes ações nos recursos especificados:

  • Ação: ec2:DescribeSubnets em *

  • Ação: ec2:DescribeSecurityGroups em *

  • Ação: ec2:DescribeVpcEndpoints em *

  • Ação: cloudwatch:PutMetricData em cloudwatch:namespace": "AWS/OSIS"

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte Permissões de perfil vinculado ao serviço no Guia do usuário do IAM.

Criação da função vinculada ao serviço para ingestão OpenSearch

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria um pipeline de OpenSearch ingestão na AWS Management Console, na ou na AWS API AWS CLI, a OpenSearch ingestão cria a função vinculada ao serviço para você.

Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria um pipeline OpenSearch de ingestão, o OpenSearch Inestion cria a função vinculada ao serviço para você novamente.

Editando a função vinculada ao serviço para ingestão OpenSearch

OpenSearch A ingestão não permite que você edite a função vinculada ao AWSServiceRoleForAmazonOpenSearchIngestionService serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.

Excluindo a função vinculada ao serviço para ingestão OpenSearch

Se você não precisar mais usar um atributo ou serviço que exija uma função vinculada a um serviço, recomendamos que você exclua essa função. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de sua função vinculada ao serviço antes de exclui-la manualmente.

Limpar um perfil vinculado ao serviço

Antes de usar o IAM para excluir um perfil vinculado ao serviço, você deverá excluir qualquer recurso usado pelo perfil.

nota

Se o OpenSearch Inestion estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Para excluir recursos de OpenSearch ingestão usados pela função AWSServiceRoleForAmazonOpenSearchIngestionService ou AWSServiceRoleForOpensearchIngestionSelfManagedVpce

  1. Navegue até o console do Amazon OpenSearch Service e escolha Ingestão.

  2. Exclua todos os pipelines. Para instruções, consulte Ingestão do Amazon Amazon Ingestão da Amazon OpenSearch Ingestão da Amazon Ingestão da Amazon.

Exclua a função vinculada ao serviço para ingestão OpenSearch

Você pode usar o console OpenSearch de ingestão para excluir uma função vinculada ao serviço.

Para excluir uma função vinculada ao serviço (console)

  1. Navegue até o console do IAM.

  2. Escolha Funções e pesquise a AWSServiceRoleForOpensearchIngestionSelfManagedVpcefunção AWSServiceRoleForAmazonOpenSearchIngestionServiceou.

  3. Selecione a função e escolha Excluir.