Amazon ES のサービスにリンクされたロールの使用 - Amazon Elasticsearch Service

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

Amazon ES のサービスにリンクされたロールの使用

Amazon Elasticsearch Service は、AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、Amazon ES に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、Amazon ES で事前に定義されており、ユーザーに代わってサービスから他の AWS サービスを呼び出すために必要なすべてのアクセス権限を備えています。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、Amazon ES の設定が簡単になります。Amazon ES は、このサービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、Amazon ES のみがそのロールを引き受けることができます。定義されるアクセス許可には、信頼ポリシーやアクセス許可ポリシーなどがあります。アクセス許可ポリシーをその他の IAM エンティティにアタッチすることはできません。

サービスにリンクされたロールを削除するには、まずその関連リソースを削除します。これにより、リソースへの意図しないアクセスによるアクセス権限の削除が防止され、Amazon ES リソースは保護されます。

サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連携する AWS サービス」を参照の上、「サービスにリンクされたロール」列が「はい」になっているサービスを検索してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[はい] リンクを選択します。

Amazon ES のサービスにリンクされたロールのアクセス権限

Amazon ES では、AWSServiceRoleForAmazonElasticsearchService という名前のサービスにリンクされたロールを使用します。

AWSServiceRoleForAmazonElasticsearchService サービスにリンクされたロールは、ロールを引き受ける上で次のサービスを信頼します。

  • es.amazonaws.com

ロールのアクセス権限ポリシーは、指定したリソースに対して以下のアクションを完了することを Amazon ES に許可します。

  • アクション: ec2:CreateNetworkInterface*

  • アクション: ec2:DeleteNetworkInterface*

  • アクション: ec2:DescribeNetworkInterfaces*

  • アクション: ec2:ModifyNetworkInterfaceAttribute*

  • アクション: ec2:DescribeSecurityGroups*

  • アクション: ec2:DescribeSubnets*

  • アクション: ec2:DescribeVpcs*

  • アクション: elasticloadbalancing:AddListenerCertificates*

  • アクション: elasticloadbalancing:RemoveListenerCertificates*

IAM エンティティ (ユーザー、グループ、ロールなど) に対してサービスにリンクされたロールの作成、編集、削除を許可するように、アクセス権限を設定する必要があります。詳細については、https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissionsの「IAM ユーザーガイドサービスにリンクされたロールのアクセス権限」を参照してください。

のサービスにリンクされたロールの作成Amazon ES

サービスにリンクされたロールを手動で作成する必要はありません。AWS マネジメントコンソール を使用して VPC アクセスドメインを作成すると、Amazon ES によってサービスにリンクされたロールが作成されます。この自動作成を成功させるためには、es:CreateElasticsearchServiceRole および iam:CreateServiceLinkedRole アクションへのアクセス許可が必要です。

サービスにリンクされたこのロールを削除したが、再作成する必要がある場合は、同じプロセスで、アカウントにロールを再作成することができます。

サービスにリンクされたロールは、IAM コンソール、IAM CLI、または IAM API を使用して手動で作成することもできます。詳細については、https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-roleの「IAM ユーザーガイドサービスにリンクされたロールの作成」を参照してください。

Amazon ES のサービスにリンクされたロールの編集

Amazon ES では、 AWSServiceRoleForAmazonElasticsearchService サービスにリンクされたロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの編集」を参照してください。

Amazon ES のサービスにリンクされたロールの削除

サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。ただし、手動で削除する前に、サービスにリンクされたロールをクリーンアップする必要があります。

サービスにリンクされたロールのクリーンアップ

IAM を使用してサービスにリンクされたロールを削除するには、まずそのロールにアクティブなセッションがないことを確認し、そのロールで使用されているリソースをすべて削除する必要があります。

サービスにリンクされたロールが IAM コンソールでアクティブなセッションを持っているかどうかを確認するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. IAM コンソールの [Navigation Pane (ナビゲーションペイン)] で [Roles (ロール)] を選択します。次に、AWSServiceRoleForAmazonElasticsearchService ロールの名前 (チェックボックスではありません) を選択します。

  3. 選択したロールの [Summary] ページで、[Access Advisor] タブを選択します。

  4. [Access Advisor] タブで、サービスにリンクされたロールの最新のアクティビティを確認します。

    注記

    Amazon ES で AWSServiceRoleForAmazonElasticsearchService ロールが使用されているかどうかが不明な場合は、このロールの削除を試みることができます。サービスがロールを使用している場合、削除は失敗し、ロールが使用されているリージョンを表示できます。ロールが使用されている場合は、ロールを削除する前にセッションが終了するのを待つ必要があります。サービスにリンクされたロールのセッションを取り消すことはできません。

AWSServiceRoleForAmazonElasticsearchService が使用する Amazon ES リソースを削除するには

  1. AWS マネジメントコンソール にサインインして、Amazon ES コンソールを開きます。

  2. [Endpoint] 列の下で [VPC] と記載されているドメインをすべて削除します。

サービスにリンクされたロールの手動削除

AWSServiceRoleForAmazonElasticsearchService のサービスにリンクされたロールを削除するには、Amazon ES 設定 API を使用します。詳細については、DeleteElasticsearchServiceRole を参照してください。