本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用服务相关角色创建 OpenSearch 摄取管道
Amazon OpenSearch Ingestion 使用 AWS Identity and Access Management (IAM) [服务相关](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)角色。服务相关角色是一种独特的 IAM 角色,直接关联到 OpenSearch Ingestion。服务相关角色由 OpenSearch Ingestion 预定义,包括该服务代表您调用其他 AWS 服务所需的所有权限。
OpenSearch Ingestion 使用名为的服务相关角色 **AWSServiceRoleForAmazonOpenSearchIngestionService**,除非您使用自管理 VPC,在这种情况下,它使用名为的服务相关角色。**AWSServiceRoleForOpensearchIngestionSelfManagedVpce**随附的策略为该角色提供了在您的账户和 OpenSearch Ingestion 之间创建虚拟私有云 (VPC) 以及向您的账户发布 CloudWatch指标所需的权限。
## Permissions
`AWSServiceRoleForAmazonOpenSearchIngestionService` 服务相关角色信任以下服务代入该角色:
+ `osis.amazonaws.com`
名为的角色权限策略`AmazonOpenSearchIngestionServiceRolePolicy`允许 OpenSearch Ingestion 对指定资源完成以下操作:
+ 操作:`cloudwatch:namespace": "AWS/OSIS"` 上的 `cloudwatch:PutMetricData`
+ 操作:`ec2:CreateTags` 上的 `arn:aws:ec2:*:*:network-interface/*`
+ 操作:`ec2:CreateVpcEndpoint` 上的 `*`
+ 操作:`ec2:DeleteVpcEndpoints` 上的 `*`
+ 操作:`ec2:DescribeSecurityGroups` 上的 `*`
+ 操作:`ec2:DescribeSubnets` 上的 `*`
+ 操作:`ec2:DescribeVpcEndpoints` 上的 `*`
+ 操作:`ec2:ModifyVpcEndpoint` 上的 `*`
`AWSServiceRoleForOpensearchIngestionSelfManagedVpce` 服务相关角色信任以下服务代入该角色:
+ `self-managed-vpce.osis.amazonaws.com`
名为的角色权限策略`OpenSearchIngestionSelfManagedVpcePolicy`允许 OpenSearch Ingestion 对指定资源完成以下操作:
+ 操作:`*` 上的 `ec2:DescribeSubnets`
+ 操作:`ec2:DescribeSecurityGroups` 上的 `*`
+ 操作:`ec2:DescribeVpcEndpoints` 上的 `*`
+ 操作:`cloudwatch:namespace": "AWS/OSIS"` 上的 `cloudwatch:PutMetricData`
必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 为 OpenSearch Ingestion 创建服务相关角色
您无需手动创建服务关联角色。当你[在、或 AWS API 中创建 OpenSearch 摄取管道](creating-pipeline.md#create-pipeline)时 AWS 管理控制台, OpenSearch Ingestion 会为你创建服务相关角色。 AWS CLI
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您创建 OpenSearch 摄取管道时,In OpenSearch gestion 会再次为您创建服务相关角色。
## 编辑 Ingestion 的 OpenSearch 服务相关角色
OpenSearch Ingestion 不允许您编辑`AWSServiceRoleForAmazonOpenSearchIngestionService`服务相关角色。创建服务关联角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除 Ingestion 的 OpenSearch 服务相关角色
如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。
### 清除服务相关角色
必须先删除服务相关角色使用的所有资源,然后才能使用 IAM 删除该角色。
**注意**
如果您尝试删除资源时 OpenSearch Ingestion 正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
**删除 OpenSearch 或角色使用的摄取`AWSServiceRoleForAmazonOpenSearchIngestionService`资源 `AWSServiceRoleForOpensearchIngestionSelfManagedVpce`**
1. 导航至 Amazon OpenSearch 服务控制台,然后选择 **Ingesti** on。
1. 删除所有管道。有关说明,请参阅[删除 Amazon OpenSearch Ingestion 管道](delete-pipeline.md)。
### 删除 Ingestion 的 OpenSearch 服务相关角色
您可以使用 OpenSearch Ingestion 控制台删除服务相关角色。
**删除服务相关角色 (控制台)**
1. 导航到 IAM 控制台。
1. 选择**角色**并搜索**AWSServiceRoleForAmazonOpenSearchIngestionService**或**AWSServiceRoleForOpensearchIngestionSelfManagedVpce**角色。
1. 选择角色,选择**删除**。