翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon OpenSearch サーバーレスのセキュリティの概要
Amazon OpenSearch サーバーレスのセキュリティは、以下の点でAmazon OpenSearch Serviceのセキュリティと根本的に異なります。
| 機能 | OpenSearch サービス | OpenSearch サーバーレス |
|---|---|---|
| データアクセスコントロール | きめ細かなアクセスコントロールと IAM ポリシーによりデータアクセスが決定します。 | データアクセスポリシーによりデータアクセスが決定します。 |
| 保管時の暗号化 | ドメインの保管時の暗号化はオプションです。 | コレクションには保管時の暗号化が必要です。 |
| セキュリティの設定および管理者 | ネットワーク、暗号化、およびデータアクセスは、ドメインごとに個別に設定する必要があります。 | セキュリティポリシーを使用して、複数のコレクションのセキュリティ設定を大規模に管理できます。 |
次の図は、機能的なコレクションを設定するセキュリティのコンポーネントを示しています。コレクションには、暗号化キー、ネットワークアクセス設定、リソースへのアクセス許可を付与するデータアクセスポリシーが割り当てられている必要があります。
トピック
- 暗号化ポリシー
- ネットワークポリシー
- データアクセスポリシー
- IAM および SAML 認証
- インフラストラクチャセキュリティ
- Amazon OpenSearch Serverless でのセキュリティの開始方法
- Amazon OpenSearch Serverless の Identity and Access Management
- Amazon OpenSearch Serverless での暗号化
- Amazon OpenSearch Serverless のネットワークアクセス
- Amazon OpenSearch Serverless のデータアクセスコントロール
- インターフェイスエンドポイント (AWS PrivateLink) を使用して Amazon OpenSearch Serverless にアクセスする
- Amazon OpenSearch Serverless の SAML 認証
- Amazon OpenSearch Serverless のコンプライアンス検証
暗号化ポリシー
暗号化ポリシーは、 AWS 所有のキー コレクションを暗号化する鍵と顧客管理鍵のどちらで暗号化するかを定義します。暗号化ポリシーは、リソースパターンと暗号化キーの 2 つの要素で構成されます。リソースパターンは、ポリシーが適用される 1 つまたは複数のコレクションを定義します。暗号化キーは、関連するコレクションを保護する方法を決定します。
ポリシーを複数のコレクションに適用するには、ポリシーのルールにワイルドカード (*) を含めます。例えば、次のポリシーは、名前が「logs」で始まるすべてのコレクションに適用されます。
暗号化ポリシーは、特にプログラムで行う場合に、コレクションの作成と管理のプロセスを効率化します。コレクションは名前を指定するだけで作成でき、作成時に暗号化キーが自動的に割り当てられます。
ネットワークポリシー
ネットワークポリシーは、コレクションにプライベートにアクセスできるようにするか、パブリックネットワークからインターネット経由でアクセスするかを定義します。プライベートコレクションには、 OpenSearch サーバーレスで管理される VPC エンドポイントから、または Amazon Bedrock AWS サービス などの特定のエンドポイントからプライベートアクセスを使用してアクセスできます。AWS サービス ネットワークポリシーは、暗号化ポリシーと同様に複数のコレクションに適用できるため、多数のコレクションのネットワークアクセスを大規模に管理できます。
ネットワークポリシーは、アクセスタイプとリソースタイプの 2 つの要素で構成されます。アクセスタイプはパブリックでもプライベートでもかまいません。リソースタイプによって、選択したアクセスがコレクションエンドポイント、 OpenSearch ダッシュボードエンドポイント、またはその両方に適用されるかが決まります。
ネットワークポリシー内で VPC アクセスを設定する場合は、まず、OpenSearch サーバーレスで管理される VPC エンドポイントを 1 つ以上作成する必要があります。これらのエンドポイントを使用すると、インターネットゲートウェイ、NAT デバイス、VPN 接続、または接続を使用せずに、VPC OpenSearch 内にあるかのようにサーバーレスにアクセスできます。 AWS Direct Connect
AWS サービス OpenSearch へのプライベートアクセスはコレクションのエンドポイントにのみ適用でき、Dashboards エンドポイントには適用されません。 OpenSearch AWS サービス OpenSearch ダッシュボードへのアクセスは許可されません。
データアクセスポリシー
データアクセスポリシーは、ユーザーがコレクション内のデータにアクセスする方法を定義します。データアクセスポリシーは、特定のパターンに一致するコレクションとインデックスにアクセス許可を自動的に割り当てることにより、大規模なコレクションを管理するのに役立ちます。複数のポリシーを単一のリソースに適用できます。
データアクセスポリシーはルールのセットで構成され、それぞれに 3 つの構成要素 (リソースタイプ、付与されたリソース、およびアクセス許可のセット) があります。リソースタイプはコレクションでもインデックスでもかまいません。付与されたリソースは、コレクション名またはインデックス名、あるいはワイルドカード (*) 付きのパターンにすることができます。権限のリストでは、ポリシーがアクセスを許可する OpenSearch API オペレーションを指定します。さらにポリシーには、アクセスを許可する IAM ロール、ユーザー、SAML ID を指定するプリンシパルのリストが含まれています。
データアクセスポリシーの形式の詳細については、ポリシー構文を参照してください。
データアクセスポリシーを作成する前に、ポリシーでアクセスを提供するための、1 つ、または複数の IAM ロールもしくはユーザー、または SAML ID が必要です。詳細については、次のセクションを参照ください。
IAM および SAML 認証
IAM プリンシパルおよび SAML ID は、データアクセスポリシーの構成要素の 1 つです。アクセスポリシーの principal ステートメントには、IAM ロール、ユーザー、および SAML ID を含めることができます。その後、関連するポリシールールで指定したアクセス許可がこれらのプリンシパルに付与されます。
[ { "Rules":[ { "ResourceType":"index", "Resource":[ "index/marketing/orders*" ], "Permission":[ "aoss:*" ] } ], "Principal":[ "arn:aws:iam::123456789012:user/Dale", "arn:aws:iam::123456789012:role/RegulatoryCompliance", "saml/123456789012/myprovider/user/Annie" ] } ]
SAML OpenSearch 認証はサーバーレス内で直接設定します。詳細については、「Amazon OpenSearch Serverless の SAML 認証」を参照してください。
インフラストラクチャセキュリティ
Amazon OpenSearch Serverless AWS はグローバルネットワークセキュリティによって保護されています。 AWS
AWS セキュリティサービスとインフラストラクチャの保護方法については、「AWS クラウドセキュリティ
AWS 公開されている API 呼び出しを使用して、ネットワーク経由で Amazon OpenSearch サーバーレスにアクセスします。クライアントは Transport Layer Security (TLS) をサポートしている必要があります。TLS 1.2、できれば TLS 1.3 が必要です。TLS 1.3 でサポートされる暗号のリストについては、Elastic Load Balancing ドキュメントの「TLS プロトコルと暗号」を参照してください。
さらに、IAM プリンシパルに関連付けられたアクセスキー ID とシークレットアクセスキーを使用してリクエストに署名する必要があります。または、AWS Security Token Service (AWS STS) を使用して、一時セキュリティ認証情報を生成し、リクエストに署名することもできます。
