Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisation de rôles liés à un service pour créer des domaines VPC et interroger directement les sources de données
Amazon OpenSearch Service utilise des rôles Gestion des identités et des accès AWS liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié au service. OpenSearch Les rôles liés au service sont prédéfinis par le OpenSearch service et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
OpenSearch Le service utilise le rôle lié au service nommé **AWSServiceRoleForAmazonOpenSearchService**, qui fournit les autorisations minimales Amazon EC2 et Elastic Load Balancing nécessaires pour que le rôle autorise l'accès [VPC](cognito-auth.md) à un domaine ou à une source de données de requête directe.
## Rôle Elasticsearch hérité
Amazon OpenSearch Service utilise un rôle lié à un service appelé. `AWSServiceRoleForAmazonOpenSearchService` Vos comptes peuvent également contenir un rôle lié à un service hérité appelé `AWSServiceRoleForAmazonElasticsearchService`, qui fonctionne avec les points de terminaison obsolètes de l'API Elasticsearch.
Si l'ancien rôle Elasticsearch n'existe pas dans votre compte, OpenSearch Service crée automatiquement un nouveau rôle OpenSearch lié au service la première fois que vous créez un domaine. OpenSearch Dans le cas contraire, votre compte continue d'utiliser le rôle Elasticsearch. Pour que cette création automatique aboutisse, vous devez avoir les autorisations permettant d'effectuer l'action `iam:CreateServiceLinkedRole`.
## Permissions
Le rôle lié à un service `AWSServiceRoleForAmazonOpenSearchService` approuve les services suivants pour endosser le rôle :
+ `opensearchservice.amazonaws.com`
La politique d'autorisations de rôle nommée [https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac-managed.html#AmazonOpenSearchServiceRolePolicy](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac-managed.html#AmazonOpenSearchServiceRolePolicy)permet au OpenSearch Service d'effectuer les actions suivantes sur les ressources spécifiées :
+ Action : `acm:DescribeCertificate` sur `*`
+ Action : `cloudwatch:PutMetricData` sur `*`
+ Action : `ec2:CreateNetworkInterface` sur `*`
+ Action : `ec2:DeleteNetworkInterface` sur `*`
+ Action : `ec2:DescribeNetworkInterfaces` sur `*`
+ Action : `ec2:ModifyNetworkInterfaceAttribute` sur `*`
+ Action : `ec2:DescribeSecurityGroups` sur `*`
+ Action : `ec2:DescribeSubnets` sur `*`
+ Action : `ec2:DescribeVpcs` sur `*`
+ Action : `ec2:CreateTags` sur l'ensemble des interfaces réseau et des points de terminaison d'un VPC
+ Action : `ec2:DescribeTags` sur `*`
+ Action : `ec2:CreateVpcEndpoint` sur tous les groupes de sécurité VPCs, sous-réseaux et tables de routage, ainsi que sur tous les points de terminaison VPC lorsque la demande contient le tag `OpenSearchManaged=true`
+ Action : `ec2:ModifyVpcEndpoint` sur tous les groupes de sécurité VPCs, sous-réseaux et tables de routage, ainsi que sur tous les points de terminaison VPC lorsque la demande contient le tag `OpenSearchManaged=true`
+ Action : `ec2:DeleteVpcEndpoints` sur tous les points de terminaison lorsque la requête contient la balise `OpenSearchManaged=true`
+ Action : `ec2:AssignIpv6Addresses` sur `*`
+ Action : `ec2:UnAssignIpv6Addresses` sur `*`
+ Action : `elasticloadbalancing:AddListenerCertificates` sur `*`
+ Action : `elasticloadbalancing:RemoveListenerCertificates` sur `*`
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
## Création du rôle lié à un service
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez un domaine compatible VPC ou une source de données de requête directe à l'aide du AWS Management Console, le OpenSearch Service crée pour vous le rôle lié au service. Pour que cette création automatique aboutisse, vous devez avoir les autorisations permettant d'effectuer l'action `iam:CreateServiceLinkedRole`.
Vous pouvez également utiliser la console IAM, la CLI IAM ou l'API IAM pour créer manuellement un rôle lié à un service. Pour plus d’informations, consultez [Création d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Modifier le rôle lié à un service
OpenSearch Le service ne vous permet pas de modifier le rôle `AWSServiceRoleForAmazonOpenSearchService` lié au service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Suppression du rôle lié à un service
Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement. Cependant, vous devez nettoyer votre rôle lié à un service avant de pouvoir le supprimer manuellement.
### Nettoyage du rôle lié au service
Avant de pouvoir utiliser IAM pour supprimer un rôle lié à un service, vous devez d’abord vérifier qu’aucune session n’est active pour le rôle et supprimer toutes les ressources utilisées par le rôle.
**Pour vérifier si une session est active pour le rôle lié à un service dans la console IAM**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation de la console IAM, choisissez **Rôles**. Ensuite, sélectionnez le nom (et non la case à cocher) du rôle `AWSServiceRoleForAmazonOpenSearchService`.
1. Sur la page **Récapitulatif** du rôle sélectionné, choisissez l'onglet **Access Advisor**.
1. Dans l'onglet **Access Advisor**, consultez l'activité récente pour le rôle lié à un service.
**Note**
Si vous ne savez pas si OpenSearch Service utilise le `AWSServiceRoleForAmazonOpenSearchService` rôle, vous pouvez essayer de le supprimer. Si le service utilise le rôle, la suppression échoue et vous pouvez visualiser les ressources utilisant le rôle. Si le rôle est utilisé, vous devez attendre la fin de la session avant de pouvoir supprimer le rôle ou and/or les ressources utilisant le rôle. Vous ne pouvez pas révoquer la session d’un rôle lié à un service.
### Suppression manuelle d'un rôle lié à un service
Supprimez les rôles liés à un service de la console IAM, de l'API ou de la CLI. AWS Pour de plus amples informations, veuillez consulter [Suppression d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l'utilisateur IAM*.