As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Uso de perfis vinculados ao serviço para criar domínios de VPC e fontes de dados de consulta direta
<a name="slr-aos"></a>

O Amazon OpenSearch Service usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente ao OpenSearch Serviço. As funções vinculadas ao serviço são predefinidas pelo OpenSearch Serviço e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome. 

OpenSearch O serviço usa a função vinculada ao serviço chamada **AWSServiceRoleForAmazonOpenSearchService**, que fornece as permissões mínimas do Amazon EC2 e do Elastic Load Balancing necessárias para que a função permita o acesso à [VPC](cognito-auth.md) para um domínio ou uma fonte de dados de consulta direta.

## Função legada do Elasticsearch
<a name="slr-replacement"></a>

O Amazon OpenSearch Service usa uma função vinculada ao serviço chamada. `AWSServiceRoleForAmazonOpenSearchService` Suas contas também podem conter uma função vinculada ao serviço herdada chamada `AWSServiceRoleForAmazonElasticsearchService`, que funciona com os endpoints obsoletos da API Elasticsearch. 

Se a função legada do Elasticsearch não existir em sua conta, o OpenSearch Service cria automaticamente uma nova função OpenSearch vinculada ao serviço na primeira vez que você cria um domínio. OpenSearch Caso contrário, sua conta continuará usando a função Elasticsearch. Para que essa criação automática seja bem-sucedida, você precisa ter permissões para a ação `iam:CreateServiceLinkedRole`.

## Permissões
<a name="slr-permissions"></a>

O perfil vinculado ao serviço `AWSServiceRoleForAmazonOpenSearchService` confia nos seguintes serviços para aceitar o perfil:
+ `opensearchservice.amazonaws.com`

A política de permissões de função nomeada [https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac-managed.html#AmazonOpenSearchServiceRolePolicy](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac-managed.html#AmazonOpenSearchServiceRolePolicy)permite que o OpenSearch Serviço conclua as seguintes ações nos recursos especificados:
+ Ação: `acm:DescribeCertificate` em `*`
+ Ação: `cloudwatch:PutMetricData` em `*`
+ Ação: `ec2:CreateNetworkInterface` em `*`
+ Ação: `ec2:DeleteNetworkInterface` em `*`
+ Ação: `ec2:DescribeNetworkInterfaces` em `*`
+ Ação: `ec2:ModifyNetworkInterfaceAttribute` em `*`
+ Ação: `ec2:DescribeSecurityGroups` em `*`
+ Ação: `ec2:DescribeSubnets` em `*`
+ Ação: `ec2:DescribeVpcs` em `*`
+ Ação: `ec2:CreateTags` em todas as interfaces de rede e endpoints da VPC
+ Ação: `ec2:DescribeTags` em `*`
+ Ação: `ec2:CreateVpcEndpoint` em todos os grupos de segurança VPCs, sub-redes e tabelas de rotas, bem como em todos os VPC endpoints quando a solicitação contém a tag `OpenSearchManaged=true`
+ Ação: `ec2:ModifyVpcEndpoint` em todos os grupos de segurança VPCs, sub-redes e tabelas de rotas, bem como em todos os VPC endpoints quando a solicitação contém a tag `OpenSearchManaged=true`
+ Ação: `ec2:DeleteVpcEndpoints` em todos os endpoints quando a solicitação contiver a tag `OpenSearchManaged=true`
+ Ação: `ec2:AssignIpv6Addresses` em `*`
+ Ação: `ec2:UnAssignIpv6Addresses` em `*`
+ Ação: `elasticloadbalancing:AddListenerCertificates` em `*`
+ Ação: `elasticloadbalancing:RemoveListenerCertificates` em `*`

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para saber mais, consulte [Permissões de função vinculada a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do Usuário do IAM*.

## Criando uma função vinculada ao serviço
<a name="create-slr"></a>

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria um domínio habilitado para VPC ou uma fonte de dados de consulta direta usando o Console de gerenciamento da AWS, o OpenSearch Service cria a função vinculada ao serviço para você. Para que essa criação automática seja bem-sucedida, você precisa ter permissões para a ação `iam:CreateServiceLinkedRole`.

Também é possível usar o console do IAM, a CLI do IAM ou a API do IAM para criar manualmente uma função vinculada ao serviço. Para saber mais, consulte [Criação de uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) no *Manual do usuário do IAM*.

## Edição da função vinculada ao serviço
<a name="edit-slr"></a>

OpenSearch O serviço não permite que você edite a função `AWSServiceRoleForAmazonOpenSearchService` vinculada ao serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.

## Excluindo uma função vinculada ao serviço
<a name="delete-slr"></a>

Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar suo perfil vinculado ao serviço para excluí-la manualmente.

### Limpar a função vinculada ao serviço
<a name="slr-review-before-delete"></a>

Antes de você poder usar o IAM para excluir uma função vinculada ao serviço, você deve primeiro confirmar que a função não tem sessões ativas e remover quaisquer recursos usados pela função.

**Para verificar se a função vinculada ao serviço tem uma sessão ativa no console do IAM**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação do console do IAM, escolha **Funções**. A seguir, selecione o nome (não a caixa de seleção) da função `AWSServiceRoleForAmazonOpenSearchService`.

1. Na página **Resumo** para a função selecionada, escolha a guia **Consultor de Acesso**.

1. Na guia **Consultor de Acesso**, revise a atividade recente para a função vinculada ao serviço.
**nota**  
Se você não tiver certeza se o OpenSearch Serviço está usando a `AWSServiceRoleForAmazonOpenSearchService` função, tente excluir a função. Se o serviço estiver usando a função, a exclusão falhará e você poderá visualizar os recursos usando a função. Se a função estiver sendo usada, você deverá aguardar o término da sessão antes de excluir a função e and/or excluir os recursos usando a função. Não é possível revogar a sessão de uma função vinculada a um serviço. 

### Exclusão manual de uma função vinculada ao serviço
<a name="slr-manual-delete"></a>

Exclua funções vinculadas ao serviço do console, da API ou da CLI AWS do IAM. Para obter instruções, consulte [Exclusão de uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Manual do usuário do IAM*.