Ketika mengakses Kibana atau kluster Elasticsearch melalui virtual private cloud (VPC) menggunakan titik akhir PrivateLink, membuat dan mengelola pengirim Beats, membuat snapshot manual, atau memulihkan data dari snapshot manual di Elasticsearch, Elasticsearch harus mengasumsikan peran terkait layanan untuk mengakses sumber daya layanan Alibaba Cloud lainnya. Jika peran terkait layanan tidak tersedia, Elasticsearch secara otomatis membuat peran tersebut saat Anda melakukan operasi ini. Topik ini menjelaskan peran terkait layanan Elasticsearch, serta cara menghapus peran terkait layanan.
Skenario
Berikut adalah skenario penggunaan peran terkait layanan Elasticsearch:
AliyunServiceRoleForElasticsearch: Diperlukan ketika mengakses Kibana atau node kluster Elasticsearch yang diterapkan dalam arsitektur kontrol cloud-native melalui VPC Anda.
AliyunServiceRoleForElasticsearchCollector: Diperlukan ketika membuat dan mengelola pengirim Beats.
AliyunServiceRoleForElasticsearchOSS: Diperlukan ketika membuat snapshot manual atau memulihkan data dari snapshot manual. Peran ini memungkinkan Elasticsearch mengakses Bucket Object Storage Service (OSS).
Untuk informasi lebih lanjut tentang peran terkait layanan, lihat Peran terkait layanan.
Deskripsi
AliyunServiceRoleForElasticsearch
Jika peran dengan izin yang diperlukan tidak ada saat mengakses Kibana atau node kluster Elasticsearch yang diterapkan dalam arsitektur kontrol cloud-native melalui VPC Anda, Elasticsearch secara otomatis membuat peran terkait layanan dan memberikan izin yang diperlukan kepada peran tersebut. Kemudian, Elasticsearch mengasumsikan peran tersebut dan memanggil Operasi API terkait konfigurasi jaringan dari PrivateLink atau Elastic Compute Service (ECS) untuk membuat sumber daya seperti titik akhir dan menyelesaikan konfigurasi. Berikut adalah deskripsi rinci peran tersebut:
Nama peran: AliyunServiceRoleForElasticsearch
Nama kebijakan: AliyunServiceRolePolicyForElasticsearch
Dokumen kebijakan:
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:AssignIpv6Addresses",
"ecs:AssignPrivateIpAddresses",
"ecs:AttachNetworkInterface",
"ecs:AuthorizeSecurityGroup",
"ecs:AuthorizeSecurityGroupEgress",
"ecs:CreateNetworkInterface",
"ecs:CreateNetworkInterfacePermission",
"ecs:CreateSecurityGroup",
"ecs:DeleteNetworkInterface",
"ecs:DeleteSecurityGroup",
"ecs:DescribeInstanceAttribute",
"ecs:DescribeInstances",
"ecs:DescribeNetworkInterfaceAttribute",
"ecs:DescribeNetworkInterfaces",
"ecs:DescribeSecurityGroupAttribute",
"ecs:DescribeSecurityGroupReferences",
"ecs:DescribeSecurityGroups",
"ecs:DetachNetworkInterface",
"ecs:JoinSecurityGroup",
"ecs:LeaveSecurityGroup",
"ecs:ModifyNetworkInterfaceAttribute",
"ecs:ModifySecurityGroupAttribute",
"ecs:ModifySecurityGroupEgressRule",
"ecs:ModifySecurityGroupPolicy",
"ecs:ModifySecurityGroupRule",
"ecs:RevokeSecurityGroup",
"ecs:RevokeSecurityGroupEgress",
"ecs:UnassignIpv6Addresses",
"ecs:UnassignPrivateIpAddresses"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Action": [
"pvtz:AddZone",
"pvtz:AddZoneRecord",
"pvtz:DeleteZone",
"pvtz:DeleteZoneRecord",
"pvtz:DescribeZoneRecords",
"pvtz:UpdateZoneRecord"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Action": [
"vpc:DescribeVSwitches"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Action": [
"privatelink:CreateVpcEndpoint",
"privatelink:ListVpcEndpoints",
"privatelink:UpdateVpcEndpointAttribute",
"privatelink:GetVpcEndpointAttribute",
"privatelink:ListVpcEndpointSecurityGroups",
"privatelink:AttachSecurityGroupToVpcEndpoint",
"privatelink:DetachSecurityGroupFromVpcEndpoint",
"privatelink:AddZoneToVpcEndpoint",
"privatelink:RemoveZoneFromVpcEndpoint",
"privatelink:ListVpcEndpointZones",
"privatelink:DeleteVpcEndpoint"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "privatelink.aliyuncs.com"
}
}
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "elasticsearch.aliyuncs.com"
}
}
}
]
}Nama layanan: elasticsearch.aliyuncs.com
Izin yang diperlukan untuk membuat peran: ram:CreateServiceLinkedRole
AliyunServiceRoleForElasticsearchCollector
Jika peran dengan izin yang diperlukan tidak ada saat membuat dan mengelola pengirim Beats, Elasticsearch secara otomatis membuat peran terkait layanan dan memberikan izin yang diperlukan kepada peran tersebut. Kemudian, Elasticsearch mengasumsikan peran tersebut dan memanggil Operasi API terkait untuk memungkinkan pengirim Beats mengumpulkan data dari Instance ECS atau kluster Container Service for Kubernetes (ACK). Berikut adalah deskripsi rinci peran tersebut:
Nama peran: AliyunServiceRoleForElasticsearchCollector
Nama kebijakan: AliyunServiceRolePolicyForElasticsearchCollector
Dokumen kebijakan:
{ "Version": "1", "Statement": [ { "Action": [ "oos:CancelExecution", "oos:DeleteExecutions", "oos:GenerateExecutionPolicy", "oos:GetExecutionTemplate", "oos:ListExecutionLogs", "oos:ListExecutions", "oos:ListTaskExecutions", "oos:NotifyExecution", "oos:StartExecution", "oos:ListTagResources", "oos:TagResources", "oos:UntagResources", "oos:CreateTemplate", "oos:DeleteTemplate", "oos:GetTemplate", "oos:ListExecutionRiskyTasks", "oos:ListTemplates", "oos:UpdateTemplate" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "ecs:DescribeInstances", "ecs:DescribeCloudAssistantStatus" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "cs:GetUserConfig", "cs:GetClusters", "cs:GetClusterById" ], "Resource": "*", "Effect": "Allow" }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "collector.elasticsearch.aliyuncs.com" } } }, { "Effect": "Allow", "Action": "ram:PassRole", "Resource": "acs:ram:*:*:role/aliyunoosaccessingecs4esrole", "Condition": { "StringEquals": { "acs:Service": "oos.aliyuncs.com" } } } ] }Nama layanan: collector.elasticsearch.aliyuncs.com
Izin yang diperlukan untuk membuat peran: ram:CreateServiceLinkedRole
AliyunServiceRoleForElasticsearchOSS
Jika peran dengan izin yang diperlukan tidak ada saat membuat snapshot manual atau memulihkan data dari snapshot manual, Elasticsearch secara otomatis membuat peran terkait layanan dan memberikan izin yang diperlukan kepada peran tersebut. Kemudian, Elasticsearch mengasumsikan peran tersebut dan memanggil Operasi API terkait untuk mengakses Bucket OSS Anda. Berikut adalah deskripsi rinci peran tersebut:
Nama peran: AliyunServiceRoleForElasticsearchOSS
Nama kebijakan: AliyunServiceRolePolicyForElasticsearchOSS
Dokumen kebijakan:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"oss:ListObjects",
"oss:GetObject",
"oss:GetObjectVersion",
"oss:GetObjectVersionTagging",
"oss:GetObjectMeta",
"oss:DeleteObject",
"oss:PutObject",
"oss:GetBucketVersioning",
"oss:GetBucketInfo",
"oss:GetBucketAcl"
],
"Resource": [
"acs:oss:*:*:es-alicloud-*/*",
"acs:oss:*:*:es-alicloud-*",
"acs:oss:*:*:*/*es-alicloud*/*"
]
},
{
"Effect": "Allow",
"Action": [
"oss:ListObjects",
"oss:GetObject",
"oss:GetObjectMeta",
"oss:GetObjectVersion",
"oss:GetObjectVersionTagging",
"oss:DeleteObject",
"oss:PutObject",
"oss:GetBucketVersioning",
"oss:GetBucketInfo",
"oss:GetBucketAcl"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"oss:BucketTag/es-alicloud": [
"es-alicloud"
]
}
}
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "oss.elasticsearch.aliyuncs.com"
}
}
}
]
}Nama layanan: oss.elasticsearch.aliyuncs.com
Izin yang diperlukan untuk membuat peran: ram:CreateServiceLinkedRole
Hapus peran terkait layanan
Sebelum menghapus peran terkait layanan, Anda harus menghapus semua tugas atau perangkat yang bergantung pada peran tersebut. Untuk informasi lebih lanjut tentang cara menghapus peran terkait layanan, lihat Hapus peran terkait layanan.
Tanya Jawab Umum
T: Mengapa saya tidak dapat menggunakan pengguna RAM saya untuk membuat peran terkait layanan Elasticsearch?
A: Hanya akun Alibaba Cloud dan pengguna RAM yang memiliki izin CreateServiceLinkedRole yang dapat digunakan untuk membuat atau menghapus peran terkait layanan. Oleh karena itu, jika pengguna RAM Anda tidak dapat digunakan untuk secara otomatis membuat peran terkait layanan, Anda harus melampirkan kebijakan berikut ke pengguna RAM Anda. Untuk informasi lebih lanjut, lihat Berikan izin kepada pengguna RAM.
{
"Version": "1",
"Statement": [
{
"Action": "elasticsearch:InitializeOperationRole",
"Resource": "acs:ram:*:133071096032****:role/*",
"Effect": "Allow"
},
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "acs:ram:*:133071096032****:role/*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"XXX.aliyuncs.com"
]
}
}
}
]
}Anda harus mengganti ID
133071096032****yang ditentukan dalam elemen Resource dengan ID akun Alibaba Cloud Anda.Untuk mendapatkan ID akun Alibaba Cloud Anda, lakukan langkah-langkah berikut: Masuk ke Konsol Manajemen Alibaba Cloud dan gerakkan kursor ke gambar profil di sudut kanan atas. Kemudian, Anda dapat melihat ID of your Alibaba Cloud account.
Anda harus mengganti
XXX.aliyuncs.comyang ditentukan untuk ram:ServiceName dengan nama layanan peran terkait layanan yang ingin Anda buat.Nama layanan peran terkait layanan AliyunServiceRoleForElasticsearch: elasticsearch.aliyuncs.com
Nama layanan peran terkait layanan AliyunServiceRoleForElasticsearchCollector: collector.elasticsearch.aliyuncs.com
Nama layanan peran terkait layanan AliyunServiceRoleForElasticsearchOSS: oss.elasticsearch.aliyuncs.com