기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 서비스 연결 역할을 사용하여 VPC 도메인 및 직접 쿼리 데이터 소스 생성
<a name="slr-aos"></a>

Amazon OpenSearch Service는 AWS Identity and Access Management (IAM) [서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) 사용합니다. 서비스 연결 역할은 OpenSearch Service에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은 OpenSearch Service에서 사전 정의하며 사용자를 대신하여 서비스에서 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.

OpenSearch Service는 도메인 또는 직접 쿼리 데이터 소스에 대한 [VPC 액세스](cognito-auth.md)를 활성화하는 역할에 필요한 최소 Amazon EC2 및 Elastic Load Balancing 권한을 제공하는 **AWSServiceRoleForAmazonOpenSearchService**라는 서비스 연결 역할을 사용합니다.

## 레거시 Elasticsearch 역할
<a name="slr-replacement"></a>

Amazon OpenSearch Service는 `AWSServiceRoleForAmazonOpenSearchService`라는 서비스 연결 역할을 사용합니다. 또한 계정에는 더 이상 사용되지 않는 Elasticsearch API 엔드포인트와 함께 작동하는 `AWSServiceRoleForAmazonElasticsearchService`라는 레거시 서비스 연결 역할도 포함될 수 있습니다.

레거시 Elasticsearch 역할이 계정에 존재하지 않는 경우, OpenSearch 도메인을 처음 생성할 때 OpenSearch Service가 자동으로 새로운 OpenSearch 서비스 연결 역할을 생성합니다. 그렇지 않으면 계정에서 Elasticsearch 역할을 계속 사용합니다. 이 자동 생성이 성공하려면 사용자가 `iam:CreateServiceLinkedRole` 작업에 대한 권한을 보유해야 합니다.

## 권한
<a name="slr-permissions"></a>

`AWSServiceRoleForAmazonOpenSearchService` 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
+ `opensearchservice.amazonaws.com`

[https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac-managed.html#AmazonOpenSearchServiceRolePolicy](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac-managed.html#AmazonOpenSearchServiceRolePolicy)라는 역할 권한 정책은 OpenSearch Service가 지정된 리소스에서 다음 작업을 완료하도록 허용합니다.
+ 작업: `*`에 대한 `acm:DescribeCertificate`
+ 작업: `*`에 대한 `cloudwatch:PutMetricData`
+ 작업: `*`에 대한 `ec2:CreateNetworkInterface`
+ 작업: `*`에 대한 `ec2:DeleteNetworkInterface`
+ 작업: `*`에 대한 `ec2:DescribeNetworkInterfaces`
+ 작업: `*`에 대한 `ec2:ModifyNetworkInterfaceAttribute`
+ 작업: `*`에 대한 `ec2:DescribeSecurityGroups`
+ 작업: `*`에 대한 `ec2:DescribeSubnets`
+ 작업: `*`에 대한 `ec2:DescribeVpcs`
+ 작업: 모든 네트워크 인터페이스 및 VPC 엔드포인트에 대한 `ec2:CreateTags`
+ 작업: `*`에 대한 `ec2:DescribeTags`
+ 규칙의 내용을 설명하는 이름입니다작업: 모든 VPC, 보안 그룹, 서브넷, 라우팅 테이블과 요청에 `OpenSearchManaged=true` 태그가 포함될 경우 모든 VPC 엔드포인트에 대한 `ec2:CreateVpcEndpoint`
+ 작업: 모든 VPC, 보안 그룹, 서브넷, 라우팅 테이블과 요청에 `OpenSearchManaged=true` 태그가 포함될 경우 모든 VPC 엔드포인트에 대한 `ec2:ModifyVpcEndpoint`
+ 작업: 요청에 `OpenSearchManaged=true` 태그가 포함될 경우 모든 엔드포인트에 대한 `ec2:DeleteVpcEndpoints`
+ 작업: `*`에 대한 `ec2:AssignIpv6Addresses`
+ 작업: `*`에 대한 `ec2:UnAssignIpv6Addresses`
+ 작업: `*`에 대한 `elasticloadbalancing:AddListenerCertificates`
+ 작업: `*`에 대한 `elasticloadbalancing:RemoveListenerCertificates`

IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 링크 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)을 참조하세요.

## 서비스 연결 역할 생성
<a name="create-slr"></a>

서비스 연결 역할은 수동으로 생성할 필요가 없습니다. 를 사용하여 VPC 지원 도메인 또는 직접 쿼리 데이터 소스를 생성하면 AWS Management Console OpenSearch Service가 서비스 연결 역할을 생성합니다. 이 자동 생성이 성공하려면 사용자가 `iam:CreateServiceLinkedRole` 작업에 대한 권한을 보유해야 합니다.

또한 IAM 콘솔, IAM CLI 또는 IAM API를 사용하여 서비스 연결 역할을 수동으로 생성할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) 섹션을 참조하세요.

## 서비스 연결 역할 편집
<a name="edit-slr"></a>

OpenSearch Service를 사용하여 `AWSServiceRoleForAmazonOpenSearchService` 서비스 연결 역할을 편집할 수 없습니다. 서비스 연결 역할을 생성한 후에는 다양한 엔터티가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.

## 서비스 연결 역할 삭제
<a name="delete-slr"></a>

서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔터티가 없도록 합니다. 단, 서비스 연결 역할을 정리해야 수동으로 삭제할 수 있습니다.

### 서비스 연결 역할 정리
<a name="slr-review-before-delete"></a>

IAM을 사용하여 서비스 연결 역할을 삭제하기 전에 먼저 역할에 활성 세션이 없는지 확인하고 역할에서 사용되는 리소스를 모두 제거해야 합니다.

**IAM 콘솔에서 서비스 연결 역할에 활성 세션이 있는지 확인하려면**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) IAM 콘솔을 엽니다.

1. IAM 콘솔의 탐색 창에서 **역할**을 선택합니다. 그런 다음 `AWSServiceRoleForAmazonOpenSearchService` 역할의 이름(확인란 아님)을 선택합니다.

1. 선택한 역할의 **요약(Summary)** 페이지에서 **액세스 관리자(Access Advisor)** 탭을 선택합니다.

1. **액세스 관리자(Access Advisor)** 탭에서 서비스 연결 역할의 최근 활동을 검토합니다.
**참고**  
OpenSearch Service에서 `AWSServiceRoleForAmazonOpenSearchService` 역할을 사용하는지 잘 모를 경우에는 역할을 삭제할 수 있습니다. 서비스에서 역할을 사용하는 경우에는 삭제에 실패하고 역할을 사용하는 리소스를 볼 수 있습니다. 역할이 사용 중인 경우에는 세션이 종료될 때까지 기다렸다가 역할을 삭제하거나 역할을 사용하는 리소스를 삭제할 수 있습니다. 서비스 연결 역할에 대한 세션은 취소할 수 없습니다.

### 서비스 연결 역할 수동 삭제
<a name="slr-manual-delete"></a>

IAM 콘솔, API 또는 AWS CLI에서 서비스 연결 역할을 삭제합니다. 지침은 *IAM 사용 설명서*의 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) 섹션을 참조하세요.