Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Uso de roles vinculados al servicio para crear dominios de VPC y orígenes de datos de consulta directa
<a name="slr-aos"></a>

Amazon OpenSearch Service utiliza funciones AWS Identity and Access Management vinculadas al [servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente al Servicio. OpenSearch Los roles vinculados al servicio están predefinidos por el OpenSearch Servicio e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre. 

OpenSearch El servicio usa el rol vinculado al servicio denominado **AWSServiceRoleForAmazonOpenSearchService**, que proporciona los permisos mínimos de Amazon EC2 y Elastic Load Balancing necesarios para que el rol permita el acceso de la [VPC](cognito-auth.md) a un dominio o a una fuente de datos de consulta directa.

## Función heredada de Elasticsearch
<a name="slr-replacement"></a>

Amazon OpenSearch Service utiliza un rol vinculado a un servicio denominado. `AWSServiceRoleForAmazonOpenSearchService` Es posible que las cuentas también contengan un rol vinculado a servicio denominado `AWSServiceRoleForAmazonElasticsearchService`, que funciona con los puntos de conexión de la API de Elasticsearch obsoletos. 

Si el rol heredado de Elasticsearch no existe en tu cuenta, OpenSearch Service crea automáticamente un nuevo rol OpenSearch vinculado al servicio la primera vez que crees un dominio. OpenSearch En caso contrario, la cuenta seguirá utilizando el rol de Elasticsearch. Para que esta creación automática se realice correctamente, es necesario disponer de permisos para la acción `iam:CreateServiceLinkedRole`.

## Permisos
<a name="slr-permissions"></a>

El rol vinculado al servicio `AWSServiceRoleForAmazonOpenSearchService` depende de los siguientes servicios para asumir el rol:
+ `opensearchservice.amazonaws.com`

La política de permisos de roles denominada [https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac-managed.html#AmazonOpenSearchServiceRolePolicy](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac-managed.html#AmazonOpenSearchServiceRolePolicy)permite a OpenSearch Service completar las siguientes acciones en los recursos especificados:
+ Acción: `acm:DescribeCertificate` en `*`
+ Acción: `cloudwatch:PutMetricData` en `*`
+ Acción: `ec2:CreateNetworkInterface` en `*`
+ Acción: `ec2:DeleteNetworkInterface` en `*`
+ Acción: `ec2:DescribeNetworkInterfaces` en `*`
+ Acción: `ec2:ModifyNetworkInterfaceAttribute` en `*`
+ Acción: `ec2:DescribeSecurityGroups` en `*`
+ Acción: `ec2:DescribeSubnets` en `*`
+ Acción: `ec2:DescribeVpcs` en `*`
+ Acción: `ec2:CreateTags` en todas las interfaces de red y puntos de conexión de VPC
+ Acción: `ec2:DescribeTags` en `*`
+ Acción: `ec2:CreateVpcEndpoint` en todos los grupos de seguridad VPCs, subredes y tablas de enrutamiento, así como en todos los puntos finales de VPC cuando la solicitud contiene la etiqueta `OpenSearchManaged=true`
+ Acción: `ec2:ModifyVpcEndpoint` en todos los grupos de seguridad VPCs, subredes y tablas de enrutamiento, así como en todos los puntos finales de VPC cuando la solicitud contiene la etiqueta `OpenSearchManaged=true`
+ Acción: `ec2:DeleteVpcEndpoints` en todos los extremos cuando la solicitud contiene la etiqueta `OpenSearchManaged=true`
+ Acción: `ec2:AssignIpv6Addresses` en `*`
+ Acción: `ec2:UnAssignIpv6Addresses` en `*`
+ Acción: `elasticloadbalancing:AddListenerCertificates` en `*`
+ Acción: `elasticloadbalancing:RemoveListenerCertificates` en `*`

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.

## Creación del rol vinculado a servicio
<a name="create-slr"></a>

No necesita crear manualmente un rol vinculado a servicios. Cuando crea un dominio habilitado para VPC o una fuente de datos de consulta directa mediante el Consola de administración de AWS, el OpenSearch Servicio crea el rol vinculado al servicio para usted. Para que esta creación automática se realice correctamente, es necesario disponer de permisos para la acción `iam:CreateServiceLinkedRole`.

También puede utilizar la consola de IAM, la CLI de IAM o la API de IAM para crear un rol vinculado a servicios manualmente. Para obtener más información, consulte [Creating a service-linked role](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) en la *Guía del usuario de IAM*.

## Edición del rol vinculado al servicio
<a name="edit-slr"></a>

OpenSearch El servicio no le permite editar el rol vinculado al servicio. `AWSServiceRoleForAmazonOpenSearchService` Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.

## Eliminación del rol vinculado a un servicio
<a name="delete-slr"></a>

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma, no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar el rol vinculado a servicios antes de eliminarlo manualmente.

### Limpieza del rol vinculado al servicio
<a name="slr-review-before-delete"></a>

Antes de poder utilizar IAM para eliminar un rol vinculado a un servicio, primero debe confirmar que dicho rol no tiene sesiones activas y eliminar los recursos que utiliza.

**Para comprobar si el rol vinculado a un servicio tiene una sesión activa en la consola de IAM**

1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. En el panel de navegación de la consola de IAM, elija **Roles (Roles)**. A continuación, seleccione el nombre (no la casilla de verificación) del rol de `AWSServiceRoleForAmazonOpenSearchService`.

1. En la página **Resumen** del rol seleccionado, seleccione la pestaña **Asesor de acceso**.

1. En la pestaña **Asesor de acceso**, revise la actividad reciente del rol vinculado a servicios.
**nota**  
Si no está seguro de si el OpenSearch Servicio está utilizando el `AWSServiceRoleForAmazonOpenSearchService` rol, puede intentar eliminarlo. Si el servicio utiliza el rol, este no podrá eliminarse y se podrán ver los recursos que lo utilizan. Si se está utilizando el rol, debe esperar a que finalice la sesión para poder eliminar el rol (eliminar los recursos que utilizan el rol). and/or No se puede revocar la sesión de un rol vinculado a servicios. 

### Eliminar manualmente un rol vinculado a servicios
<a name="slr-manual-delete"></a>

Elimine las funciones vinculadas al servicio de la consola, la API o la CLI de IAM. AWS Para obtener más información, consulte [Deleting a service-linked role](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.