Amazon Elasticsearch Service Identity and Access Management - Amazon Elasticsearch Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Elasticsearch Service Identity and Access Management

Amazon Elasticsearch Service (Amazon ES) には、ドメインへのアクセスをコントロールするいくつかの方法が用意されています。このトピックでは、さまざまなポリシータイプ、それらが相互にやり取りする方法、独自のカスタムポリシーを作成する方法について説明します。

重要

VPC は Amazon ES のアクセス制御にいくつかの追加考慮事項の導入をサポートしています・ 詳細については、「VPC ドメインのアクセスポリシーについて」を参照してください。

ポリシーのタイプ

Amazon ES は、3 つのタイプのアクセスポリシーをサポートしています。

リソースベースのポリシー

ドメインを作成するときに、ドメインアクセスポリシーと呼ばれるリソースベースのポリシーを追加します。これらのポリシーは、ドメインのサブリソースでどのアクションをプリンシパルとして実行できるかを指定します。サブリソースにはElasticsearch インデックスおよび API

Principal 要素は、アクセスを許可するアカウント、ユーザー、またはロールを指定します。Resource 要素は、これらのプリンシパルがアクセスできるサブリソースを指定します。次のリソースベースのポリシーは、test-userフルアクセス (es:*) のサブリソースにtest-domain:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/test-user" ] }, "Action": [ "es:*" ], "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*" } ] }

このポリシーには、2 つの重要な考慮事項が適用されます。

  • これらの権限はこのドメインのみに適用されます。他のドメインで同様のポリシーを作成しない限り、test-userしかアクセスできないtest-domain

  • 末尾の/*()Resourceエレメントは重要であり、リソースベースのポリシーは、ドメイン自体ではなく、ドメインのサブリソースにのみ適用されることを示します。リソースベースのポリシーでは、es:*アクションは、es:ESHttp*

    たとえば、test-user はインデックス (GET https://search-test-domain.us-west-1.es.amazonaws.com/test-index) に対してリクエストを行うことができますが、ドメインの設定を更新できません (POST https://es.us-west-1.amazonaws.com/2015-01-01/es/domain/test-domain/config)。2 つのエンドポイント間の違いに注目してください。設定 API へのアクセスには、ID ベースのポリシーが必要です。

test-user をさらに制限するには、次のポリシーを適用することができます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/test-user" ] }, "Action": [ "es:ESHttpGet" ], "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/test-index/_search" } ] }

これで、test-user は 1 つのオペレーションのみを実行できます。test-index における検索です。ドメインのその他すべてのインデックスはアクセス不可となり、es:ESHttpPut あるいは es:ESHttpPost アクションを使用する許可なしでは、test-user はドキュメントを追加あるいは変更できません。

次に、パワーユーザーのロールを設定することができます。このポリシーは、power-user-role にインデックスのすべての URI に対する HTTP GET メソッドおよび PUT メソッドへのアクセスを付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::123456789012:role/power-user-role" ] }, "Action": [ "es:ESHttpGet", "es:ESHttpPut" ], "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/test-index/*" } ] }

ドメインが VPC 内にあるか、きめ細かなアクセスコントロールを使用している場合は、オープンドメインアクセスポリシーを使用できます。それ以外の場合、ドメインアクセスポリシーには、プリンシパルまたは IP アドレスによる制限が含まれている必要があります。

使用できるすべてのアクションの詳細については、「ポリシーエレメントのリファレンス」を参照してください。データをはるかに細かく制御するには、オープンドメインアクセスポリシーをきめ細かなアクセス制御

アイデンティティベースのポリシー

各 Amazon ES ドメインの一部であるリソースベースのポリシーとは異なり、アイデンティティベースのポリシーは AWS Identity and Access Management (IAM) サービスを使用してユーザーやロールにアタッチします。リソースベースのポリシーと同様に、アイデンティティベースのポリシーは、サービスに誰がアクセスできるか、どのアクションキーを実行できるか、そして該当する場合には、これらのアクションを実行できるリソースを指定します。

これらを実行する実際の義務はないため、アイデンティティベースのポリシーはより一般的になる傾向があります。これにより、多くの場合、ユーザーが実行できる設定 API アクションのみ管理されます。これらのポリシーが完了したら、リソースベースのポリシー (またはきめ細かなアクセス制御) を使用して、Elasticsearch インデックスおよび API へのアクセスをユーザーに提供できます。

注記

AWS 管理の AmazonESReadOnlyAccess ポリシーが適用されたユーザーは、コンソールでクラスターのヘルスステータスを確認できません。これらのユーザーがヘルスステータス (および他の Elasticsearch データ) を確認できるようにするには、es:ESHttpGetアクションをアクセスポリシーに追加して、これをユーザーのアカウントまたはロールにアタッチします。

アイデンティティベースのポリシーはユーザーあるいはロール (プリンシパル) にアタッチされるため、JSON はプリンシパルを指定しません。次のポリシーは、Describe および List で始まるアクションへのアクセスを付与します。このアクションの組み合わせはドメインの設定への読み取り専用のアクセスを提供しますが、ドメイン自体に保存されたデータへのアクセスは提供しません。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "es:Describe*", "es:List*" ], "Effect": "Allow", "Resource": "*" } ] }

管理者には、すべてのドメインに保存されたすべての Amazon ES およびすべてのデータへのフルアクセス権がある場合があります。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "es:*" ], "Effect": "Allow", "Resource": "*" } ] }

ID ベースのポリシーでは、タグを使用して設定 API (ないElasticsearch API)。たとえば、次のポリシーでは、アタッチされたプリンシパルがドメインの設定を表示および更新できるようにします。ドメインにteam:devopsタグ:

{ "Version": "2012-10-17", "Statement": [{ "Action": [ "es:UpdateElasticsearchDomainConfig", "es:DescribeElasticsearchDomain", "es:DescribeElasticsearchDomainConfig" ], "Effect": "Allow", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:ResourceTag/team": [ "devops" ] } } }] }

同様に、Amazon ES はRequestTagおよびTagKeys設定 API のグローバル条件キー。これらの条件は、リクエスト内にタグを含む API 呼び出しにのみ適用されます (CreateElasticsearchDomain,AddTags, およびRemoveTags。次のポリシーでは、アタッチされたプリンシパルにドメインを作成できますが、team:itタグをリクエストに追加します。

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "es:CreateElasticsearchDomain", "es:AddTags" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/team": [ "it" ] } } } }

アクセスコントロールにタグを使用する方法や、リソースベースのポリシーとアイデンティティベースのポリシーの違いについての詳細は、『IAM ユーザーガイド

IP ベースのポリシー

IP ベースのポリシーは、1 つ以上の IP アドレスあるいは CIDR ブロックにドメインへのアクセスを制限します。技術的には、IP ベースのポリシーは異なるタイプのポリシーではありません。代わりに、これらのポリシーは、匿名のプリンシパルを指定し、特別な Condition 要素を含む、リソースベースのポリシーです。

IP ベースのポリシーの最大の一つの魅力は、Amazon ES ドメインへの署名なしのリクエストを許可することにあり、これによりcurlおよびKibana と Amazon Elasticsearch Serviceプロキシサーバー経由でドメインにアクセスするのでしょう。詳細については、「プロキシを使用して Kibana から Amazon ES にアクセスする」を参照してください。

注記

ドメインで VPC アクセスを有効にすると、IP ベースのポリシーを設定することはできません。代わりに、どの IP アドレスがドメインにアクセスできるかを制御するセキュリティグループを使用できます。詳細については、「VPC ドメインのアクセスポリシーについて」を参照してください。

以下のポリシーは、指定された IP 範囲からのすべての HTTP リクエストが test-domain にアクセスする許可を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "es:ESHttp*" ], "Condition": { "IpAddress": { "aws:SourceIp": [ "192.0.2.0/24" ] } }, "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*" } ] }

ドメインにパブリックエンドポイントがあり、きめ細かなアクセスコントロールを使用しない場合は、IAM プリンシパルと IP アドレスを組み合わせることをお勧めします。このポリシーでは、指定した IP 範囲からのリクエストの場合にのみ、test-user HTTP アクセスを許可します。

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:user/test-user" ] }, "Action": [ "es:ESHttp*" ], "Condition": { "IpAddress": { "aws:SourceIp": [ "192.0.2.0/24" ] } }, "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*" }] }

Amazon ES リクエストの作成と署名

完全にオープンなリソースベースのポリシーを設定する場合、すべてAmazon ES 設定 API へのリクエストに署名する必要があります。ポリシーが IAM ユーザーまたはロールを指定する場合、Elasticsearch API へのリクエストも AWS 署名バージョン 4 を使用して署名されている必要があります。署名メソッドは API によって異なります。

  • Amazon ES 設定 API 呼び出しを行うには、AWS SDK。SDK を使用するほうが、独自のリクエストを作成し署名するよりも、プロセスが簡素化し、大幅な時間の節約ができます。API エンドポイント設定には次の形式を使用します。

    es.region.amazonaws.com/2015-01-01/

    たとえば、次のリクエストは、movies ドメインの設定を変更しますが、自分で署名する必要があります (お勧めしません)。

    POST https://es.us-east-1.amazonaws.com/2015-01-01/es/domain/movies/config { "ElasticsearchClusterConfig": { "InstanceType": "c5.xlarge.elasticsearch" } }

    Boto 3 などのいずれかの SDK を使用する場合、SDK はリクエスト署名を自動的に処理します。

    import boto3 client = boto3.client('es') response = client.update_elasticsearch_domain_config( DomainName='movies', ElasticsearchClusterConfig={ 'InstanceType': 'c5.xlarge.elasticsearch' } )

    Java コードの例については、「AWS SDK を使用して Amazon Elasticsearch Service 対話する」を参照してください。

  • Elasticsearch API への呼び出しを行うには、独自リクエストに署名する必要があります。各種言語のサンプルコードについては、「Amazon Elasticsearch Service への HTTP リクエストの」を参照してください。Elasticsearch API は、次の形式を使用します。

    domain-id.region.es.amazonaws.com

    たとえば、次のリクエストでは、moviesのインデックストール:

    GET https://my-domain.us-east-1.es.amazonaws.com/movies/_search?q=thor
注記

このサービスは、署名バージョン 4 で署名された HTTP POST リクエストの URL で渡されるパラメータを無視します。

ポリシーが衝突する場合

複数のポリシーが同意しない、あるいはユーザーを明示的に指定しない場合、困難が生じます。IAM の詳細を理解します。()IAM ユーザーガイドポリシー評価ロジックの簡潔な概要を説明します。

  • デフォルトでは、すべてのリクエストが拒否されます。

  • 明示的な許可はこのデフォルトに優先します。

  • 明示的な拒否はすべての許可に優先します。

たとえば、リソースベースのポリシーがドメインサブリソース (Elasticsearch インデックスや API) にアクセスを許可しているが、アイデンティティベースのポリシーはアクセスを拒否するため、アクセスは拒否されます。アイデンティティベースのポリシーとリソースベースのポリシーによってユーザーがアクセス許可を持つべきかを指定いない場合、アクセスは許可されます。ドメインサブリソースの結果の詳細な概要は、交差するポリシーに関する次の表を参照してください。

リソースベースのポリシーで許可 リソースベースのポリシーで拒否 リソースベースのポリシーで許可あるいは拒否されない
Allowed in Identity-based Policy

許可

Deny Allow
Denied in Identity-based Policy Deny Deny Deny
Neither Allowed nor Denied in Identity-based Policy Allow Deny Deny

ポリシーエレメントのリファレンス

Amazon ES では、ほとんどのポリシー要素をIAM ポリシーエレメントのリファレンスと定義されている。ただし、NotPrincipal。次の表は、最も一般的なエレメントを示しています。

JSON ポリシーエレメント 概要
Version

ポリシー言語の最新バージョンは 2012-10-17 です。すべてのアクセスポリシーでこの値を指定する必要があります。

Effect

このエレメントは、指定されたアクションへのアクセスをステートメントが許可するか拒否するかを指定します。有効な値は Allow または Deny です。

Principal

この要素は、リソースへのアクセスを許可する AWS アカウント、あるいは IAM ユーザーまたはロールを指定し、いくつかの形式を取ることができます。

  • AWS アカウント: "Principal":{"AWS": ["123456789012"]} または "Principal":{"AWS": ["arn:aws:iam::123456789012:root"]}

  • IAM ユーザー: "Principal":{"AWS": ["arn:aws:iam::123456789012:user/test-user"]}

  • IAM ロール: "Principal":{"AWS": ["arn:aws:iam::123456789012:role/test-role"]}

* ワイルドカードを指定すると、ドメインへの匿名アクセスが有効になります。これは IP ベースの条件を追加する、VPC サポートを使用する、またはきめ細かなアクセスコントロールを有効にしない限り、お勧めしません。

Action

Amazon ES では、HTTP メソッドとして次のアクションを使用します。

  • es:ESHttpDelete

  • es:ESHttpGet

  • es:ESHttpHead

  • es:ESHttpPost

  • es:ESHttpPut

  • es:ESHttpPatch

Amazon ES では、設定 API/:

  • es:AddTags

  • es:AssociatePackage

  • es:CreateElasticsearchDomain

  • es:CreateElasticsearchServiceRole

  • es:CreatePackage

  • es:DeleteElasticsearchDomain

  • es:DeleteElasticsearchServiceRole

  • es:DeletePackage

  • es:DescribeElasticsearchDomain

  • es:DescribeElasticsearchDomainConfig

  • es:DescribeElasticsearchDomains

  • es:DescribeElasticsearchInstanceTypeLimits

  • es:DescribeReservedElasticsearchInstanceOfferings

  • es:DescribeReservedElasticsearchInstances

  • es:DissociatePackage

  • es:ESCrossClusterGet

  • es:GetCompatibleElasticsearchVersions

  • es:ListDomainNames

  • es:ListElasticsearchInstanceTypeDetails

  • es:ListElasticsearchInstanceTypes

  • es:ListElasticsearchVersions

  • es:ListTags

  • es:PurchaseReservedElasticsearchInstanceOffering

  • es:RemoveTags

  • es:UpdateElasticsearchDomainConfig

ヒント

ワイルドカードを使用してアクションのサブネットを指定できます ("Action":"es:*""Action":"es:Describe*" など)。

特定の es: アクションは、リソースレベルの許可をサポートします。たとえば、すべてのドメインを削除する許可を付与せずに、1 つの特定のドメインのみ削除する許可をユーザーに付与することができます。その他のアクションはサービス自体に適用されます。たとえば、es:ListDomainNames は単一ドメインのコンテキストでは意味を成しませんが、それでもワイルドカードを必要とします。

重要

リソースベースのポリシーは、リソースレベルのアクセス権限とは異なっています。リソースベースのポリシー は、ドメインにアタッチする完全な JSON ポリシーです。リソースレベルのアクセス許可は、特定のドメインあるいはサブリソースにアクションを制限します。実際には、リソースレベルのアクセス許可はリソース、あるいはアイデンティティベースのポリシーのオプションの一部として捉えることができます。

次のアイデンティティベースのポリシーはすべての es: アクションを一覧表示し、ドメインのサブリソース (test-domain/*)、ドメインの設定 (test-domain)、あるいはサービスのみ (*) に適用されるかによってアクションをグループ化します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "es:ESHttpDelete", "es:ESHttpGet", "es:ESHttpHead", "es:ESHttpPost", "es:ESHttpPut", "es:ESHttpPatch" ], "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*" }, { "Effect": "Allow", "Action": [ "es:AssociatePackage", "es:CreateElasticsearchDomain", "es:DeleteElasticsearchDomain", "es:DescribeElasticsearchDomain", "es:DescribeElasticsearchDomainConfig", "es:DescribeElasticsearchDomains", "es:DissociatePackage", "es:ESCrossClusterGet", "es:GetCompatibleElasticsearchVersions", "es:UpdateElasticsearchDomainConfig" ], "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain" }, { "Effect": "Allow", "Action": [ "es:AddTags", "es:CreateElasticsearchServiceRole", "es:CreatePackage", "es:DeleteElasticsearchServiceRole", "es:DeletePackage", "es:DescribeElasticsearchInstanceTypeLimits", "es:DescribeReservedElasticsearchInstanceOfferings", "es:DescribeReservedElasticsearchInstances", "es:ESCrossClusterGet", "es:ListDomainNames", "es:ListElasticsearchInstanceTypeDetails", "es:ListElasticsearchInstanceTypes", "es:ListElasticsearchVersions", "es:ListTags", "es:PurchaseReservedElasticsearchInstanceOffering", "es:RemoveTags" ], "Resource": "*" } ] }
注記

へのリソースレベルのアクセス許可es:CreateElasticsearchDomain結局のところ、すでに存在するドメインを作成する権限をユーザーに与えるのはなぜですか? たとえば、ドメインに簡単な命名スキームを適用できます (など)。"Resource": "arn:aws:es:us-west-1:987654321098:domain/my-team-name-*"

もちろん、次のように、制限がより緩和されたリソース要素のアクションを含めることもできます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "es:ESHttpGet", "es:DescribeElasticsearchDomain" ], "Resource": "*" } ] }

アクションとリソースのペアリングについての詳細は、テーブルの Resource 要素を参照してください。

Condition

Amazon ES では、「」に記載されているほとんどの条件がサポートされています。使用できるグローバル条件キー()IAM ユーザーガイド。注目すべき例外には、aws:SecureTransportおよびaws:PrincipalTagキーを使用します。これは Amazon ES でサポートされていません。

IP ベースのポリシーを設定する場合、次に示すように、IP アドレスまたは CIDR ブロックを条件として指定します。

"Condition": { "IpAddress": { "aws:SourceIp": [ "192.0.2.0/32" ] } }

で述べたようにアイデンティティベースのポリシーとすると、aws:ResourceTag,aws:RequestTag, およびaws:TagKeys条件キーは設定 API にのみ適用され、Elasticsearch API には適用されません。

Resource

Amazon ESResource要素は、3 つの基本的な方法で要素を使用します。

  • Amazon ES 自体に適用されるアクションについては、es:ListDomainNamesへのフルアクセスを許可するには、次の構文を使用します。

    "Resource": "*"
  • es:DescribeElasticsearchDomain のように、ドメインの設定に関連するアクションには、次の構文を使用します。

    "Resource": "arn:aws:es:region:aws-account-id:domain/domain-name"
  • es:ESHttpGet のように、ドメインのサブリソースを適用するアクションには、次の構文を使用します。

    "Resource": "arn:aws:es:region:aws-account-id:domain/domain-name/*"

    ワイルドカードを使用する必要はありません。Amazon ES では、各 Elasticsearch インデックスまたは API に異なるアクセスポリシーを定義できます。たとえば、test-index インデックスへのユーザーのアクセス許可を制限できます。

    "Resource": "arn:aws:es:region:aws-account-id:domain/domain-name/test-index"

    test-index へのフルアクセスの代わりに、検索 API のみにポリシーを制限することもできます。

    "Resource": "arn:aws:es:region:aws-account-id:domain/domain-name/test-index/_search"

    個々のドキュメントへのアクセスを制御することもできます。

    "Resource": "arn:aws:es:region:aws-account-id:domain/domain-name/test-index/test-type/1"

    基本的に、Elasticsearch が URI としてサブリソースを表現する場合、アクセスポリシーを使用してサブリソースへのアクセスを制御できます。どのリソースにユーザーがアクセスできるかをさらに細かく制御するには、「Amazon Elasticsearch Service きめ細かなアクセス制御」を参照してください。

どのアクションがリソースレベルのアクセス権限をサポートするかの詳細については、このテーブルの Action 要素を参照してください。

AWS マネージドポリシー

Amazon ES には、AWS 管理の ID ベースの IAM ポリシーが 3 つあります。「」を参照してください。VPC アクセス用のサービスにリンクされたロールサービスにリンクされたロールの概要については (AWSServiceRoleForAmazonElasticsearchService)で、Amazon ES が VPC 内にドメインを配置するために使用されます。

AWS 管理ポリシー 説明

AmazonESFullAccess

Amazon ES 設定 API および Elasticsearch API のすべての HTTP メソッドへのフルアクセスを提供します。きめ細かなアクセス制御およびリソースベースのポリシーは引き続きアクセスを制限できます。

AmazonESReadOnlyAccess

Amazon ES 設定 API への読み取り専用アクセスを提供します (es:Describe*,es:List*, およびes:Get*) といいえElasticsearch API の HTTP メソッドへのアクセスを許可します。

AmazonESCognitoAccess

有効にするのに必要な Amazon Cognito の最小権限を提供します。Kibana の Amazon Cognito 認証を設定する

高度なオプションと API に関する考慮事項

Amazon ES にはいくつかの詳細オプションがあり、その 1 つにはアクセスコントロールが関連します。rest.action.multi.allow_explicit_index。 デフォルト設定の true では、特定の状況下でユーザーがサブリソースへのアクセス権限を回避することが許可されます。

たとえば、次のリソースベースのポリシーを考えます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/test-user" ] }, "Action": [ "es:ESHttp*" ], "Resource": [ "arn:aws:es:us-west-1:987654321098:domain/test-domain/test-index/*", "arn:aws:es:us-west-1:987654321098:domain/test-domain/_bulk" ] }, { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/test-user" ] }, "Action": [ "es:ESHttpGet" ], "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/restricted-index/*" } ] }

このポリシーはtest-userへのフルアクセスtest-indexとElasticsearch バルク API また、GET への restricted-index リクエストを許可します。

次のインデックスリクエストは、見てわかるように、アクセス権限エラーによって失敗します。

PUT https://search-test-domain.us-west-1.es.amazonaws.com/restricted-index/movie/1 { "title": "Your Name", "director": "Makoto Shinkai", "year": "2016" }

インデックス API とは異なり、バルク API では、単一の呼び出しで多くのドキュメントの作成、更新、削除を実行できます。多くの場合、これらのオペレーションはリクエスト URL ではなく、リクエストの本文で指定します。Amazon ES は URL を使用してドメインサブリソースへのアクセスを制御するため、test-user実際には、バルク API を使用してrestricted-index。ユーザーにはインデックスで POST アクセス権限が欠如していますが、次のリクエストは成功します。

POST https://search-test-domain.us-west-1.es.amazonaws.com/_bulk { "index" : { "_index": "restricted-index", "_type" : "movie", "_id" : "1" } } { "title": "Your Name", "director": "Makoto Shinkai", "year": "2016" }

このような状況では、アクセスポリシーはその目的達成に失敗します。ユーザーがこれらの制限を回避することを防ぐためには、rest.action.multi.allow_explicit_index を false に変更できます。この値が false の場合、リクエストボディでインデックス名を指定するバルク、mget、および msearch API へのすべての呼び出し動作は停止します。つまり、_bulk への呼び出しは機能しなくなりますが、test-index/_bulk への呼び出しは動作します。この 2 番目のエンドポイントにはインデックス名が含まれるため、リクエストボディにそれを指定する必要はありません。

Kibana は mget および msearch に大きく依存しています。そのため、この変更後には正常に動作しないことが予想されます。部分的な解決策としては、rest.action.multi.allow_explicit_index を true のまま残して、特定のユーザーが 1 つ以上の API にアクセスすることを拒否します。

この設定の変更については、「詳細オプション」を参照してください。

同様に、以下のリソースベースのポリシーには 2 つの小さな問題があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:user/test-user" }, "Action": "es:ESHttp*", "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*" }, { "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::123456789012:user/test-user" }, "Action": "es:ESHttp*", "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/restricted-index/*" } ] }
  • 明示的な拒否にも関わらず、test-userGET https://search-test-domain.us-west-1.es.amazonaws.com/_all/_searchGET https://search-test-domain.us-west-1.es.amazonaws.com/*/_search などの呼び出しを実行して、restricted-index のドキュメントにアクセスできることです。

  • Resource エレメントレファレンス restricted-index/* により、test-user はインデックスのドキュメントに直接アクセスする権限がありません。しかし、ユーザーにはインデックス全体を削除する権限があります。アクセスと削除を防ぐには、このポリシーで restricted-index* を指定する必要があります。

広範囲な許可と一部の拒否を混合するよりは、最小限の権限の原則を守り、タスクを実行するために必要なアクセス権限のみを付与することが最も安全なアプローチです。個々のインデックスまたは Elasticsearch オペレーションへのアクセスコントロールの詳細については、」Amazon Elasticsearch Service きめ細かなアクセス制御

アクセスポリシーの設定

  • Amazon ES でリソースの作成または変更、そして IP ベースのポリシーに関する説明は、「」を参照してください。アクセスポリシーの設定

  • IAM で Identity ベースのポリシーを作成または変更する方法については、「」を参照してください。IAM ポリシーの作成()IAM ユーザーガイド

追加ののサンプルポリシー

この章には多くのサンプルポリシーが含まれていますが、AWS アクセスコントロールは複雑なテーマであり、例を使用することが一番の理解方法です。詳細については、次を参照してください。ポリシーの例()IAM ユーザーガイド