Elasticsearch menggunakan peran terkait layanan (SLR) untuk mengakses layanan Alibaba Cloud lainnya saat Anda mengakses Kibana atau kluster melalui VPC menggunakan PrivateLink, mengelola Beats shippers, atau bekerja dengan snapshot manual. Jika peran tersebut belum ada, Elasticsearch akan membuatnya secara otomatis. Topik ini mencakup SLR untuk Elasticsearch, serta cara menghapusnya.
Skenario
Elasticsearch menggunakan peran terkait layanan berikut:
-
AliyunServiceRoleForElasticsearch: Diperlukan untuk mengakses Kibana atau node kluster Elasticsearch yang diterapkan dalam arsitektur kontrol cloud-native melalui VPC Anda.
-
AliyunServiceRoleForElasticsearchCollector: Diperlukan untuk membuat dan mengelola Beats shippers.
-
AliyunServiceRoleForElasticsearchOSS: Diperlukan untuk membuat atau memulihkan snapshot manual. Memberikan izin akses Elasticsearch ke Bucket OSS.
Topik Peran terkait layanan menjelaskan cara kerja SLR.
Detail peran
AliyunServiceRoleForElasticsearch
Saat Anda mengakses Kibana atau node kluster Elasticsearch yang diterapkan dalam arsitektur kontrol cloud-native melalui VPC Anda, Elasticsearch secara otomatis membuat SLR ini jika belum ada. Elasticsearch kemudian mengasumsikan peran tersebut untuk memanggil API PrivateLink dan ECS, serta membuat titik akhir dan konfigurasi jaringan guna akses VPC.
-
Nama peran: AliyunServiceRoleForElasticsearch
-
Nama kebijakan: AliyunServiceRolePolicyForElasticsearch
-
Dokumen kebijakan:
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:AssignIpv6Addresses",
"ecs:AssignPrivateIpAddresses",
"ecs:AttachNetworkInterface",
"ecs:AuthorizeSecurityGroup",
"ecs:AuthorizeSecurityGroupEgress",
"ecs:CreateNetworkInterface",
"ecs:CreateNetworkInterfacePermission",
"ecs:CreateSecurityGroup",
"ecs:DeleteNetworkInterface",
"ecs:DeleteSecurityGroup",
"ecs:DescribeInstanceAttribute",
"ecs:DescribeInstances",
"ecs:DescribeNetworkInterfaceAttribute",
"ecs:DescribeNetworkInterfaces",
"ecs:DescribeSecurityGroupAttribute",
"ecs:DescribeSecurityGroupReferences",
"ecs:DescribeSecurityGroups",
"ecs:DetachNetworkInterface",
"ecs:JoinSecurityGroup",
"ecs:LeaveSecurityGroup",
"ecs:ModifyNetworkInterfaceAttribute",
"ecs:ModifySecurityGroupAttribute",
"ecs:ModifySecurityGroupEgressRule",
"ecs:ModifySecurityGroupPolicy",
"ecs:ModifySecurityGroupRule",
"ecs:RevokeSecurityGroup",
"ecs:RevokeSecurityGroupEgress",
"ecs:UnassignIpv6Addresses",
"ecs:UnassignPrivateIpAddresses"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Action": [
"pvtz:AddZone",
"pvtz:AddZoneRecord",
"pvtz:DeleteZone",
"pvtz:DeleteZoneRecord",
"pvtz:DescribeZoneRecords",
"pvtz:UpdateZoneRecord"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Action": [
"vpc:DescribeVSwitches"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Action": [
"privatelink:CreateVpcEndpoint",
"privatelink:ListVpcEndpoints",
"privatelink:UpdateVpcEndpointAttribute",
"privatelink:GetVpcEndpointAttribute",
"privatelink:ListVpcEndpointSecurityGroups",
"privatelink:AttachSecurityGroupToVpcEndpoint",
"privatelink:DetachSecurityGroupFromVpcEndpoint",
"privatelink:AddZoneToVpcEndpoint",
"privatelink:RemoveZoneFromVpcEndpoint",
"privatelink:ListVpcEndpointZones",
"privatelink:DeleteVpcEndpoint"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "privatelink.aliyuncs.com"
}
}
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "elasticsearch.aliyuncs.com"
}
}
}
]
}Nama layanan: elasticsearch.aliyuncs.com
Izin yang diperlukan untuk membuat peran: ram:CreateServiceLinkedRole
AliyunServiceRoleForElasticsearchCollector
Saat Anda membuat atau mengelola Beats shipper, Elasticsearch secara otomatis membuat SLR ini jika belum ada. Elasticsearch kemudian mengasumsikan peran tersebut untuk mengaktifkan pengumpulan data Beats dari Instance ECS atau kluster ACK.
-
Nama peran: AliyunServiceRoleForElasticsearchCollector
-
Nama kebijakan: AliyunServiceRolePolicyForElasticsearchCollector
-
Dokumen kebijakan:
{ "Version": "1", "Statement": [ { "Action": [ "oos:CancelExecution", "oos:DeleteExecutions", "oos:GenerateExecutionPolicy", "oos:GetExecutionTemplate", "oos:ListExecutionLogs", "oos:ListExecutions", "oos:ListTaskExecutions", "oos:NotifyExecution", "oos:StartExecution", "oos:ListTagResources", "oos:TagResources", "oos:UntagResources", "oos:CreateTemplate", "oos:DeleteTemplate", "oos:GetTemplate", "oos:ListExecutionRiskyTasks", "oos:ListTemplates", "oos:UpdateTemplate" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "ecs:DescribeInstances", "ecs:DescribeCloudAssistantStatus" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "cs:GetUserConfig", "cs:GetClusters", "cs:GetClusterById" ], "Resource": "*", "Effect": "Allow" }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "collector.elasticsearch.aliyuncs.com" } } }, { "Effect": "Allow", "Action": "ram:PassRole", "Resource": "acs:ram:*:*:role/aliyunoosaccessingecs4esrole", "Condition": { "StringEquals": { "acs:Service": "oos.aliyuncs.com" } } } ] } -
Nama layanan: collector.elasticsearch.aliyuncs.com
-
Izin yang diperlukan untuk membuat peran: ram:CreateServiceLinkedRole
AliyunServiceRoleForElasticsearchOSS
Saat Anda membuat atau memulihkan snapshot manual, Elasticsearch secara otomatis membuat SLR ini jika belum ada. Elasticsearch kemudian mengasumsikan peran tersebut untuk mengakses Bucket OSS Anda.
-
Nama peran: AliyunServiceRoleForElasticsearchOSS
-
Nama kebijakan: AliyunServiceRolePolicyForElasticsearchOSS
-
Dokumen kebijakan:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"oss:ListObjects",
"oss:GetObject",
"oss:GetObjectVersion",
"oss:GetObjectVersionTagging",
"oss:GetObjectMeta",
"oss:DeleteObject",
"oss:PutObject",
"oss:GetBucketVersioning",
"oss:GetBucketInfo",
"oss:GetBucketAcl"
],
"Resource": [
"acs:oss:*:*:es-alicloud-*/*",
"acs:oss:*:*:es-alicloud-*",
"acs:oss:*:*:*/*es-alicloud*/*"
]
},
{
"Effect": "Allow",
"Action": [
"oss:ListObjects",
"oss:GetObject",
"oss:GetObjectMeta",
"oss:GetObjectVersion",
"oss:GetObjectVersionTagging",
"oss:DeleteObject",
"oss:PutObject",
"oss:GetBucketVersioning",
"oss:GetBucketInfo",
"oss:GetBucketAcl"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"oss:BucketTag/es-alicloud": [
"es-alicloud"
]
}
}
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "oss.elasticsearch.aliyuncs.com"
}
}
}
]
}Nama layanan: oss.elasticsearch.aliyuncs.com
Izin yang diperlukan untuk membuat peran: ram:CreateServiceLinkedRole
Menghapus peran terkait layanan
Sebelum menghapus SLR, hapus semua tugas atau perangkat yang bergantung pada peran tersebut. Untuk informasi selengkapnya, lihat Menghapus SLR.
FAQ
T: Mengapa saya tidak dapat menggunakan RAM user saya untuk membuat peran terkait layanan Elasticsearch?
J: Hanya Akun Alibaba Cloud dan RAM user yang memiliki izin CreateServiceLinkedRole yang dapat membuat atau menghapus SLR. Sambungkan kebijakan berikut ke RAM user Anda (Memberikan izin kepada RAM user):
{
"Version": "1",
"Statement": [
{
"Action": "elasticsearch:InitializeOperationRole",
"Resource": "acs:ram:*:133071096032****:role/*",
"Effect": "Allow"
},
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "acs:ram:*:133071096032****:role/*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"XXX.aliyuncs.com"
]
}
}
}
]
}-
Ganti
133071096032****dalam elemen Resource dengan ID akun Alibaba Cloud Anda.Untuk menemukan ID akun Anda, arahkan pointer ke gambar profil di pojok kanan atas Konsol dan lihat Account ID Anda.
-
Ganti
XXX.aliyuncs.comdalam ram:ServiceName dengan nama layanan SLR yang dituju:-
AliyunServiceRoleForElasticsearch: elasticsearch.aliyuncs.com
-
AliyunServiceRoleForElasticsearchCollector: collector.elasticsearch.aliyuncs.com
-
AliyunServiceRoleForElasticsearchOSS: oss.elasticsearch.aliyuncs.com
-