Amazon Elasticsearch Service
開発者ガイド (API バージョン 2015-01-01)

Amazon Elasticsearch Service アクセスコントロール

Amazon Elasticsearch Service には、ドメインへのアクセスを制御するいくつかの方法が用意されています。このセクションでは、さまざまなポリシータイプ、それぞれがやり取りする方法。独自のカスタムポリシーを作成する方法を説明します。

重要

VPC は Amazon ES のアクセス制御にいくつかの追加考慮事項の導入をサポートしています・詳細については、「VPC ドメインのアクセスポリシーについて」を参照してください。

ポリシーのタイプ

Amazon ES はアクセスポリシーの 3 つのタイプをサポートしています。

リソースベースのポリシー

ドメインにリソースベースのポリシーをアタッチします。これらのポリシーは、ドメインのサブリソースでどのアクションをプリンシパルとして実行できるかを指定します。サブリソースには、Elasticsearch インデックスおよび API が含まれます。

Principal 要素は、アクセスを許可するアカウント、ユーザー、またはロールを指定します。この Resource 要素は、これらのプリンシパルがアクセスできるサブリソースを指定します。次のリソースベースのポリシーは、test-usertest-domain へのフルアクセス (es:*) を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/test-user" ] }, "Action": [ "es:*" ], "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*" } ] }

このポリシーには、2 つの重要な考慮事項が適用されます。

  • これらの権限はこのドメインのみに適用されます。追加のポリシーを作成しない限り、test-user は他のドメインにアクセスできず、Amazon ES ダッシュボードでリスト表示することもできません。

  • Resource 要素の末尾 /* はとても重要です。フルアクセスがあるにも関わらず、test-user はドメインのサブリソースのみでこのアクションを実行でき、ドメインの設定では実行できません。

    たとえば、test-user はインデックス (GET https://search-test-domain.us-west-1.es.amazonaws.com/test-index) に対してリクエストを行うことができますが、ドメインの設定を更新できません (POST https://es.us-west-1.amazonaws.com/2015-01-01/es/domain/test-domain/config)。2 つのエンドポイント間の違いに注目してください。設定 API へのアクセスには、ID ベースのポリシーが必要です。

test-user をさらに制限するには、次のポリシーを適用することができます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/test-user" ] }, "Action": [ "es:ESHttpGet" ], "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/test-index/_search" } ] }

これで、test-user は 1 つのオペレーションのみを実行できます。test-index における検索です。ドメインのその他すべてのインデックスはアクセス不可となり、es:ESHttpPut あるいは es:ESHttpPost アクションを使用する許可なしでは、test-user はドキュメントを追加あるいは変更できません。

次に、パワーユーザーのロールを設定することができます。このポリシーによって、power-user-role は、重要なインデックスおよびそのドキュメントを削除する機能を除くすべての HTTP メソッドにアクセスできます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::123456789012:role/power-user-role" ] }, "Action": [ "es:ESHttpDelete", "es:ESHttpGet", "es:ESHttpHead", "es:ESHttpPost", "es:ESHttpPut" ], "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*" }, { "Effect": "Deny", "Principal": { "AWS": [ "arn:aws:iam::123456789012:role/power-user-role" ] }, "Action": [ "es:ESHttpDelete" ], "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/critical-index*" } ] }

使用できるすべてのアクションの詳細については、「ポリシーエレメントのレファレンス」を参照してください。

アイデンティティベースのポリシー

Amazon ES にアタッチするリソースベースのポリシーとは異なり、アイデンティティベースのポリシーは AWS Identity and Access Management (IAM) サービスを使用してユーザーやロールにアタッチします。リソースベースのポリシーと同様に、アイデンティティベースのポリシーは、サービスに誰がアクセスできるか、どのアクションキーを実行できるか、そして該当する場合には、これらのアクションを実行できるリソースを指定します。

これらを実行する実際の義務はないため、アイデンティティベースのポリシーはより一般的になる傾向があります。通常の場合、ユーザーが実行できる基本的なサービスレベルのアクションを管理します。これらのポリシーが完了したら、Amazon ES でリソースベースのポリシーを使用してユーザーについかのアクセス許可を提供できます。

アイデンティティベースのポリシーはユーザーあるいはロール (プリンシパル) にアタッチされるため、JSON はプリンシパルを指定しません。次のポリシーは Describe および List で始まるアクションへのアクセスを付与し、GET リクエストをすべてのドメインで許可します。このアクションの組み合わせは読み取り専用アクセスを提供します。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "es:Describe*", "es:List*", "es:ESHttpGet" ], "Effect": "Allow", "Resource": "*" } ] }

管理者には Amazon ES へのフルアクセス許可がある可能性があります。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "es:*" ], "Effect": "Allow", "Resource": "*" } ] }

リソースベースのポリシーとアイデンティティベースのポリシーの違いについての詳細は、『IAM ユーザーガイド』の「IAM ポリシー」を参照してください。

注記

AWS 管理の AmazonESReadOnlyAccess ポリシーが適用されたユーザーは、コンソールでクラスターのヘルスステータスを確認できません。これらのユーザーがヘルスステータスを確認できるようにするには、アクセスポリシーに "es:ESHttpGet" アクションを追加し、これをユーザーのアカウントまたはロールにアタッチします。

IP ベースのポリシー

IP ベースのポリシーは、1 つ以上の IP アドレスあるいは CIDR ブロックにドメインへのアクセスを制限します。技術的には、IP ベースのポリシーは異なるタイプのポリシーではありません。その代わりに、これらのポリシーは、匿名のプリンシパルを指定し。特別な Condition 要素を含む、リソースベースのポリシーです。

IP ベースのポリシーの最大の特徴は、Amazon ES ドメインに署名なしのリクエストを許可することにあり、これで curlKibana などのクライアントの使用が可能となり、またプロキシサーバーを介してドメインにアクセスできるようになります。詳細については、「プロキシを使用した Kibana から Amazon ES へのアクセス」を参照してください。

注記

ドメインで VPC アクセスを有効にすると、IP ベースのポリシーを設定することはできません。代わりに、どの IP アドレスがドメインにアクセスできるかを制御するセキュリティグループを使用できます。詳細については、「VPC ドメインのアクセスポリシーについて」を参照してください。

次に IP ベースのアクセスポリシーは、12.345.678.901 からのすべてのリクエストが test-domain にアクセスする許可を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "es:*" ], "Condition": { "IpAddress": { "aws:SourceIp": [ "12.345.678.901" ] } }, "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*" } ] }

Amazon ES リクエストへの署名

完全にオープンなリソースベースのポリシーを設定する場合、Amazon ES 設定 API へのすべてのリクエストは署名付きである必要があります。ポリシーが IAM ユーザーまたはロールを指定する場合、Elasticsearch API へのリクエストも署名されている必要があります。署名メソッドは API によって異なります。

  • Amazon ES 設定 API 呼び出しを行うには、AWS SDK のいずれかを使用することが推奨されます。SDK を使用するほうが、独自のリクエストを作成し署名するよりも、プロセスが簡素化し、大幅な時間の節約ができます。

  • ElasticsearchAPI への呼び出しを行うには、独自リクエストに署名する必要があります。サンプルコードについては、「プログラムによるインデックス作成」を参照してください。

リクエストに署名するには、暗号化ハッシュ関数を使用してデジタル署名を計算します。この関数は入力に基づいてハッシュ値を返します。入力には、リクエストのテキスト、およびシークレットアクセスキーが含まれます。ハッシュ関数から返されるハッシュ値をリクエストに署名として含めます。署名は、リクエストの Authorization ヘッダーの一部です。

Amazon ES は、リクエストを受け取ると、リクエストの署名に使用されたものと同じハッシュ関数と入力を使用して署名を再計算します。再計算された署名とリクエスト内の署名が一致した場合、Amazon ES はリクエストを処理します。それ以外の場合、Amazon ES はリクエストを拒否します。

Amazon ES は、AWS 署名バージョン 4 を使用した認証をサポートします。詳細については、「Signature Version 4 Signing Process」を参照してください。

注記

このサービスは、署名バージョン 4 で署名された HTTP POST リクエストの URL で渡されるパラメータを無視します。

複数のポリシーが衝突する場合

複数のポリシーが同意しない、あるいはユーザーを明示的に指定しない場合、困難が生じます。『IAM ユーザーガイド』の「IAM の詳細を理解します」では、ポリシーの評価ロジックの適切な概要が説明されています。

  • デフォルトでは、すべてのリクエストが拒否されます。

  • 明示的な許可はこのデフォルトに優先します。

  • 明示的な拒否はすべての許可に優先します。

たとえば、リソースベースのポリシーがドメインにアクセスを許可しているが、アイデンティティベースのポリシーはアクセスを拒否するため、アクセスは拒否されます。アイデンティティベースのポリシーとリソースベースのポリシーによってユーザーがアクセス許可を持つべきかを指定いない場合、アクセスは許可されます。すべての結果の概要における交差するポリシーの図を以下で参照してください。

リソースベースのポリシーで許可 リソースベースのポリシーで拒否 リソースベースのポリシーで許可あるいは拒否されない
アイデンティティベースのポリシーで許可

許可

拒否 許可
アイデンティティベースのポリシーで拒否 拒否 拒否 拒否
アイデンティティベースのポリシーで許可あるいは拒否されない 許可 拒否 拒否

ポリシーエレメントのレファレンス

Amazon ES は、「IAM ポリシーエレメントの参照」で説明されているすべてのポリシーエレメントをサポートしています。 次の表は、最も一般的なエレメントを示しています。

JSON ポリシーエレメント 概要
Version

ポリシー言語の最新バージョンは 2012-10-17 です。すべてのアクセスポリシーでこの値を指定する必要があります。

Effect

このエレメントは、指定されたアクションへのアクセスをステートメントが許可するか拒否するかを指定します。有効な値は Allow または Deny です。

Principal

この要素は、リソースへのアクセスを許可する AWS アカウント、あるいは IAM ユーザーまたはロールを指定し、いくつかの形式を取ることができます。

  • AWS アカウント: "Principal":{"AWS": ["123456789012"]} あるいは "Principal":{"AWS": ["arn:aws:iam::123456789012:root"]}

  • IAM ユーザー: "Principal":{"AWS": ["arn:aws:iam::123456789012:user/test-user"]}

  • IAM; ロール: "Principal":{"AWS": ["arn:aws:iam::123456789012:role/test-role"]}

* ワイルドカードを指定すると、ドメインへの匿名アクセスを有効にします。これは、IP ベース条件を追加しない限り、推奨されません。

Action

Amazon ES では、HTTP メソッドとして次のアクションを使用します。

  • es:ESHttpDelete

  • es:ESHttpGet

  • es:ESHttpHead

  • es:ESHttpPost

  • es:ESHttpPut

Amazon ES では、設定 API として次のアクションを使用します。

  • es:AddTags

  • es:CreateElasticsearchDomain

  • es:DeleteElasticsearchDomain

  • es:DeleteElasticsearchServiceRole

  • es:DescribeElasticsearchDomain

  • es:DescribeElasticsearchDomainConfig

  • es:DescribeElasticsearchDomains

  • es:DescribeElasticsearchInstanceTypeLimits

  • es:ListDomainNames

  • es:ListElasticsearchInstanceTypeDetails

  • es:ListElasticsearchInstanceTypes

  • es:ListElasticsearchVersions

  • es:ListTags

  • es:RemoveTags

  • es:UpdateElasticsearchDomainConfig

ヒント

ワイルドカードを使用してアクションのサブネットを指定できます ("Action":"es:*""Action":"es:Describe*" など)。

特定の es: アクションは、リソースレベルの許可をサポートします。たとえば、すべてのドメインを削除する許可を付与せずに、1 つの特定のドメインのみ削除する許可をユーザーに付与することができます。その他のアクションはサービス自体に適用されます。たとえば、es:ListDomainNames は単一ドメインのコンテキストでは意味を成しませんが、それでもワイルドカードを必要とします。

重要

リソースベースのポリシーは、リソースレベルのアクセス権限とは異なっています。リソースベースのポリシー は、ドメインにアタッチする完全な JSON ポリシーです。リソースレベルのアクセス許可は、特定のドメインあるいはサブリソースにアクションを制限します。実際には、リソースレベルのアクセス許可はリソース、あるいはアイデンティティベースのポリシーのオプションの一部として捉えることができます。

次のアイデンティティベースのポリシーはすべての es: アクションを一覧表示し、ドメインのサブリソース (test-domain/*)、ドメインの設定 (test-domain)、あるいはサービスのみ (*) に適用されるかによってアクションをグループ化します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "es:ESHttpDelete", "es:ESHttpGet", "es:ESHttpHead", "es:ESHttpPost", "es:ESHttpPut" ], "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*" }, { "Effect": "Allow", "Action": [ "es:CreateElasticsearchDomain", "es:DeleteElasticsearchDomain", "es:DescribeElasticsearchDomain", "es:DescribeElasticsearchDomainConfig", "es:DescribeElasticsearchDomains", "es:UpdateElasticsearchDomainConfig" ], "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain" }, { "Effect": "Allow", "Action": [ "es:AddTags", "es:DeleteElasticsearchServiceRole", "es:DescribeElasticsearchInstanceTypeLimits", "es:ListDomainNames", "es:ListElasticsearchInstanceTypeDetails", "es:ListElasticsearchInstanceTypes", "es:ListElasticsearchVersions", "es:ListTags", "es:RemoveTags" ], "Resource": "*" } ] }

注記

es:CreateElasticsearchDomain へのリソースレベルのアクセス権限は直観的ではなくみえることがあります— つまり、すでに存在するドメインを作成するアクセス権限を何故ユーザーに付与するのでしょう— ワイルドカードの使用でドメインに簡単な命名スキームを適用できます ("Resource": "arn:aws:es:us-west-1:987654321098:domain/my-team-name-*" など)。

もちろん、次のように、制限がより緩和されたリソース要素のアクションを含めることもできます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "es:ESHttpGet", "es:DescribeElasticsearchDomain" ], "Resource": "*" } ] }

アクションとリソースのペアリングについての詳細は、テーブルの Resource 要素を参照してください。

Condition

Amazon ES では、『IAM ユーザーガイド』の「使用できるグローバル条件キー」に記載されているほとんどの条件がサポートされています。重要な例外として、aws:SecureTransport キーは、Amazon ES でサポートされていません。

IP ベースのポリシーを設定する場合 、次に示すように、IP アドレスまたは CIDR ブロックを条件として指定します。

"Condition": { "IpAddress": { "aws:SourceIp": [ "192.0.2.0/32" ] } }
Resource

Amazon ES は、3 つの基本的な方法で Resource 要素を使用します。

  • es:ListDomainNames や フルアクセスを許可するといった、Amazon ES 自体に適用されるアクションには、次の構文を使用します。

    "Resource": "*"
  • es:DescribeElasticsearchDomain のように、ドメインの設定に関連するアクションには、次の構文を使用します。

    "Resource": "arn:aws:es:region:aws-account-id:domain/domain-name"
  • es:ESHttpGet のように、ドメインのサブリソースを適用するアクションには、次の構文を使用します。

    "Resource": "arn:aws:es:region:aws-account-id:domain/domain-name/*"

    ワイルドカードを使用する必要はありません。Amazon ES は、各 Elasticsearch インデックスまたは API に異なるアクセスポリシーを定義します。たとえば、test-index インデックスへのユーザーのアクセス許可を制限できます。

    "Resource": "arn:aws:es:region:aws-account-id:domain/domain-name/test-index"

    test-index へのフルアクセスの代わりに、検索 API のみにポリシーを制限することもできます。

    "Resource": "arn:aws:es:region:aws-account-id:domain/domain-name/test-index/_search"

    個々のドキュメントへのアクセスを制御することもできます。

    "Resource": "arn:aws:es:region:aws-account-id:domain/domain-name/test-index/test-type/1"

    基本的に、Elasticsearch がサブリソースをエンドポイントとして表現する場合、そのアクセスを制御できます。

どのアクションがリソースレベルのアクセス権限をサポートするかの詳細については、このテーブルの Action 要素を参照してください。

詳細オプションと API に関する考慮事項

Amazon ES にはいくつかの詳細オプションがあり、その 1 つにはアクセスコントロールが関連します (rest.action.multi.allow_explicit_index)。デフォルト設定の true では、特定の状況下でユーザーがサブリソースへのアクセス権限を回避することが許可されます。

たとえば、次のリソースベースのポリシーを考えます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/test-user" ] }, "Action": [ "es:ESHttp*" ], "Resource": [ "arn:aws:es:us-west-1:987654321098:domain/test-domain/test-index/*", "arn:aws:es:us-west-1:987654321098:domain/test-domain/_bulk" ] }, { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/test-user" ] }, "Action": [ "es:ESHttpGet" ], "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/restricted-index/*" } ] }

このポリシーは、test-usertest-index および Elasticsearch バルク API へのフルアクセスを付与します。また、restricted-index への GET リクエストを許可します。

次のインデックスリクエストは、見てわかるように、アクセス権限エラーによって失敗します。

PUT https://search-test-domain.us-west-1.es.amazonaws.com/restricted-index/movie/1 { "title": "Your Name", "director": "Makoto Shinkai", "year": "2016" }

インデックス API とは異なり、バルク API では、単一の呼び出しで多くのドキュメントの作成、更新、削除を実行できます。多くの場合、これらのオペレーションはリクエスト URL ではなく、リクエストの本文で指定します。Amazon ES が URL を使用してドメインサブリソースへのアクセスを制御するため、test-user は、結果的にバルク API を使用して restricted-index に変更を加えることができます。ユーザーにはインデックスで POST アクセス権限が欠如していますが、次のリクエストは成功します。

POST https://search-test-domain.us-west-1.es.amazonaws.com/_bulk { "index" : { "_index": "restricted-index", "_type" : "movie", "_id" : "1" } } { "title": "Your Name", "director": "Makoto Shinkai", "year": "2016" }

このような状況では、アクセスポリシーはその目的達成に失敗します。ユーザーがこれらの制限を回避することを防ぐためには、rest.action.multi.allow_explicit_index を false に変更できます。この値が false の場合、リクエストボディでインデックス名を指定するバルク、mget、および msearch API へのすべての呼び出し動作は停止します。つまり、_bulk への呼び出しは機能しなくなりますが、test-index/_bulk への呼び出しは動作します。この 2 番目のエンドポイントにはインデックス名が含まれるため、リクエストボディにそれを指定する必要はありません。

Kibana は mget および msearch に大きく依存しています。そのため、この変更後には正常に動作しないことが予想されます。部分的な解決策としては、rest.action.multi.allow_explicit_index を true のまま残して、特定のユーザーが 1 つ以上の API にアクセスすることを拒否します。

この設定の変更については、「詳細オプションの設定」を参照してください。

同様に、以下のリソースベースのポリシーには 2 つの小さな問題があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:user/test-user" }, "Action": "es:ESHttp*", "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*" }, { "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::123456789012:user/test-user" }, "Action": "es:*", "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/restricted-index/*" } ] }
  • 明示的な拒否にも関わらず、test-userGET https://search-test-domain.us-west-1.es.amazonaws.com/_all/_searchGET https://search-test-domain.us-west-1.es.amazonaws.com/*/_search などの呼び出しを実行して、restricted-index のドキュメントにアクセスできることです。

  • Resource エレメントレファレンス restricted-index/* により、test-user はインデックスのドキュメントに直接アクセスする権限がありません。しかし、ユーザーにはインデックス全体を削除する権限があります。アクセスと削除を防ぐには、このポリシーで restricted-index* を指定する必要があります。

広範囲な許可と一部の拒否を混合するよりは、最小限の権限の原則を守り、タスクを実行するために必要なアクセス権限のみを付与することが最も安全なアプローチです。

アクセス ポリシーの設定

  • リソースの作成あるいは変更、そして Amazon ES の IP ベースのポリシーに関する説明は、「アクセス ポリシーの設定」を参照してください。

  • IAM でアイデンティティベースのポリシーを作成または変更する方法については、『IAM ユーザーガイド』の「IAM ポリシーの作成」を参照してください 。

追加のサンプルポリシー

この章には多くのサンプルポリシーが含まれていますが、AWS アクセスコントロールは複雑なテーマであり、例を使用することが一番の理解方法です。詳細については、『IAM ユーザーガイド』の「ポリシーの例」を参照してください。