Uso de roles vinculados a un servicio para crear colecciones de OpenSearch sin servidor - Amazon OpenSearch Service
Permisos de rol vinculados a servicios para OpenSearch sin servidorCreación del rol vinculado al servicio para OpenSearch sin servidorEdición del rol vinculado a un servicio para OpenSearch sin servidorEliminación del rol vinculado a un servicio para OpenSearch sin servidorRegiones compatibles para roles vinculados a servicios de OpenSearch sin servidor

Uso de roles vinculados a un servicio para crear colecciones de OpenSearch sin servidor

OpenSearch sin servidor utiliza roles vinculados al servicio de AWS Identity and Access Management (IAM). Un rol vinculado a servicios es un tipo único de rol de IAM que está vinculado directamente a OpenSearch Service. OpenSearch Service predefine los roles vinculados a servicios y estos incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.

OpenSearch sin servidor usa el rol vinculado al servicio denominado AWSServiceRoleForAmazonOpenSearchServerless, que proporciona los permisos necesarios para que el rol publique las métricas de CloudWatch sin servidor en su cuenta. La política de permisos del rol asociada a AWSServiceRoleForAmazonOpenSearchServerless se llama AmazonOpenSearchServerlessServiceRolePolicy. Para obtener más información sobre la política, consulte AmazonOpenSearchServerlessServiceRolePolicy en la Guía de referencia de políticas administradas de AWS.

Permisos de rol vinculados a servicios para OpenSearch sin servidor

OpenSearch sin servidor utiliza el rol vinculado a un servicio denominado AWSServiceRoleForAmazonOpenSearchServerless, que permite que OpenSearch sin servidor llame a servicios de AWS en su nombre.

El rol vinculado a un servicio AWSServiceRoleForAmazonOpenSearchServerless confía en que los siguientes servicios asuman el rol:

  • observability.aoss.amazonaws.com

La política de permisos del rol denominada AmazonOpenSearchServerlessServiceRolePolicy permite que OpenSearch sin servidor realice las siguientes acciones en los recursos especificados:

  • Acción: cloudwatch:PutMetricData en todos los recursos de AWS.

nota

La política incluye la clave de condición {"StringEquals": {"cloudwatch:namespace": "AWS/AOSS"}}, lo que significa que el rol vinculado al servicio solo puede enviar datos métricos al espacio de nombres de AWS/AOSS CloudWatch.

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación del rol vinculado al servicio para OpenSearch sin servidor

No necesita crear manualmente un rol vinculado a servicios. Cuando se crea una colección de OpenSearch sin servidor en la Consola de administración de AWS, la AWS CLI, o la API de AWS, OpenSearch sin servidor crea el rol vinculado al servicio por usted.

nota

La primera vez que cree una colección, se le debe asignar la iam:CreateServiceLinkedRole en una política basada en identidades.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear una colección de OpenSearch sin servidor, OpenSearch sin servidor vuelve a crear el rol vinculado al servicio.

Además, puede utilizar la consola de IAM para crear un rol vinculado al servicio con el caso de uso de Amazon OpenSearch sin servidor. En la AWS CLI o AWS API, cree un rol vinculado al servicio con el nombre de servicio observability.aoss.amazonaws.com.

aws iam create-service-linked-role --aws-service-name "observability.aoss.amazonaws.com"

Para obtener más información, consulte Crear un rol vinculado a un servicio en la Guía del usuario de IAM. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.

Edición del rol vinculado a un servicio para OpenSearch sin servidor

OpenSearch sin servidor no permite editar el rol vinculado al servicio AWSServiceRoleForAmazonOpenSearchServerless. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación del rol vinculado a un servicio para OpenSearch sin servidor

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Esto evita tener una entidad sin uso que no se supervisa ni mantiene activamente. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.

Para eliminar AWSServiceRoleForAmazonOpenSearchServerless, primero, debe eliminar todas las colecciones de OpenSearch sin servidor en su Cuenta de AWS.

nota

Si OpenSearch sin servidor está utilizando el rol cuando intenta eliminar los recursos, entonces la eliminación podría fallar. En tal caso, espere unos minutos e intente de nuevo la operación.

Para eliminar manualmente el rol vinculado a servicios mediante IAM

Utilice la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado al servicio AWSServiceRoleForAmazonOpenSearchServerless. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Regiones compatibles para roles vinculados a servicios de OpenSearch sin servidor

OpenSearch sin servidor admite el uso del rol vinculado al servicio AWSServiceRoleForAmazonOpenSearchServerless en todas las regiones en las que OpenSearch sin servidor esté disponible. Para obtener una lista de las regiones compatibles, consulte Puntos de conexión y cuotas de Amazon OpenSearch sin servidor en Referencia general de AWS.