Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Menggunakan peran terkait layanan untuk membuat domain VPC dan sumber data kueri langsung
<a name="slr-aos"></a>

 OpenSearch Layanan Amazon menggunakan peran AWS Identity and Access Management terkait [layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis peran IAM unik yang ditautkan langsung ke Layanan. OpenSearch Peran terkait layanan telah ditentukan sebelumnya oleh OpenSearch Layanan dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda. 

OpenSearch Layanan menggunakan nama peran terkait layanan **AWSServiceRoleForAmazonOpenSearchService**, yang memberikan izin minimum Amazon EC2 dan Elastic Load Balancing yang diperlukan untuk peran tersebut guna mengaktifkan akses [VPC](cognito-auth.md) untuk domain atau sumber data kueri langsung.

## Peran Legacy Elasticsearch
<a name="slr-replacement"></a>

Amazon OpenSearch Service menggunakan peran terkait layanan yang disebut. `AWSServiceRoleForAmazonOpenSearchService` Akun Anda mungkin juga berisi peran terkait layanan lama yang disebut`AWSServiceRoleForAmazonElasticsearchService`, yang berfungsi dengan titik akhir API Elasticsearch yang tidak digunakan lagi. 

Jika peran Elasticsearch lama tidak ada di akun Anda, OpenSearch Layanan akan secara otomatis membuat peran OpenSearch terkait layanan baru saat pertama kali Anda membuat domain. OpenSearch Jika tidak, akun Anda akan terus menggunakan peran Elasticsearch. Agar pembuatan otomatis ini berhasil, Anda harus memiliki izin untuk `iam:CreateServiceLinkedRole` tindakan tersebut.

## Izin
<a name="slr-permissions"></a>

Peran tertaut layanan `AWSServiceRoleForAmazonOpenSearchService` memercayai layanan berikut untuk mengambil peran tersebut:
+ `opensearchservice.amazonaws.com`

Kebijakan izin peran bernama [https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac-managed.html#AmazonOpenSearchServiceRolePolicy](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac-managed.html#AmazonOpenSearchServiceRolePolicy)memungkinkan OpenSearch Layanan untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ Tindakan: `acm:DescribeCertificate` pada `*`
+ Tindakan: `cloudwatch:PutMetricData` pada `*`
+ Tindakan: `ec2:CreateNetworkInterface` pada `*`
+ Tindakan: `ec2:DeleteNetworkInterface` pada `*`
+ Tindakan: `ec2:DescribeNetworkInterfaces` pada `*`
+ Tindakan: `ec2:ModifyNetworkInterfaceAttribute` pada `*`
+ Tindakan: `ec2:DescribeSecurityGroups` pada `*`
+ Tindakan: `ec2:DescribeSubnets` pada `*`
+ Tindakan: `ec2:DescribeVpcs` pada `*`
+ Tindakan: `ec2:CreateTags` pada semua antarmuka jaringan dan titik akhir VPC
+ Tindakan: `ec2:DescribeTags` pada `*`
+ Tindakan: `ec2:CreateVpcEndpoint` pada semua VPCs, grup keamanan, subnet, dan tabel rute, serta semua titik akhir VPC saat permintaan berisi tag `OpenSearchManaged=true`
+ Tindakan: `ec2:ModifyVpcEndpoint` pada semua VPCs, grup keamanan, subnet, dan tabel rute, serta semua titik akhir VPC saat permintaan berisi tag `OpenSearchManaged=true`
+ Tindakan: `ec2:DeleteVpcEndpoints` pada semua titik akhir saat permintaan berisi tag `OpenSearchManaged=true`
+ Tindakan: `ec2:AssignIpv6Addresses` pada `*`
+ Tindakan: `ec2:UnAssignIpv6Addresses` pada `*`
+ Tindakan: `elasticloadbalancing:AddListenerCertificates` pada `*`
+ Tindakan: `elasticloadbalancing:RemoveListenerCertificates` pada `*`

Anda harus mengonfigurasikan izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, menyunting, atau menghapus peran terhubung dengan layanan. Untuk informasi selengkapnya, lihat [Izin peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.

## Membuat peran terkait layanan
<a name="create-slr"></a>

Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda membuat domain berkemampuan VPC atau sumber data kueri langsung menggunakan Konsol Manajemen AWS, OpenSearch Layanan membuat peran terkait layanan untuk Anda. Agar pembuatan otomatis ini berhasil, Anda harus memiliki izin untuk `iam:CreateServiceLinkedRole` tindakan tersebut.

Anda juga dapat menggunakan konsol IAM, CLI IAM, atau API IAM untuk membuat peran tertaut layanan secara manual. Untuk informasi selengkapnya, silakan lihat [Membuat peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dalam *Panduan Pengguna IAM*.

## Mengedit peran terkait layanan
<a name="edit-slr"></a>

OpenSearch Layanan tidak mengizinkan Anda mengedit peran `AWSServiceRoleForAmazonOpenSearchService` terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat menyunting penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.

## Menghapus peran tertaut layanan
<a name="delete-slr"></a>

Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan dan tidak dipantau atau dipelihara secara aktif. Namun, Anda harus membersihkan peran tertaut layanan terlebih dahulu sebelum dapat menghapusnya secara manual.

### Membersihkan peran terkait layanan
<a name="slr-review-before-delete"></a>

Sebelum dapat menggunakan IAM untuk menghapus peran tertaut layanan, Anda harus mengonfirmasi terlebih dahulu bahwa peran tersebut tidak memiliki sesi aktif dan menghapus sumber daya yang digunakan oleh peran tersebut.

**Untuk memeriksa apakah peran terkait layanan memiliki sesi aktif di konsol IAM**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi konsol IAM, pilih **Peran**. Lalu pilih nama (bukan kotak centang) dari peran `AWSServiceRoleForAmazonOpenSearchService`.

1. Pada halaman **Ringkasan** untuk peran yang dipilih, pilih tab **Penasihat Akses**.

1. Di tab **Penasihat Akses**, ‍tinjau aktivitas terbaru untuk peran terkait layanan tersebut.
**catatan**  
Jika tidak yakin apakah OpenSearch Layanan menggunakan `AWSServiceRoleForAmazonOpenSearchService` peran tersebut, Anda dapat mencoba menghapus peran tersebut. Jika layanan menggunakan peran, maka penghapusan gagal dan Anda dapat melihat sumber daya menggunakan peran tersebut. Jika peran sedang digunakan, maka Anda harus menunggu sesi berakhir sebelum Anda dapat menghapus peran, and/or menghapus sumber daya menggunakan peran. Anda tidak dapat mencabut sesi untuk peran terkait layanan. 

### Menghapus peran tertaut layanan secara manual
<a name="slr-manual-delete"></a>

Hapus peran terkait layanan dari konsol IAM, API, atau CLI. AWS Untuk petunjuknya, lihat [Menghapus peran terkait layanan di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) Pengguna *IAM*.