サービスにリンクされたロールを使用して OpenSearch Serverless コレクションを作成する

OpenSearch Serverless は AWS Identity and Access Management 、(IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、OpenSearch Service に直接リンクされた一意のタイプの (IAM) ロールです。サービスにリンクされたロールは、OpenSearch Service によって事前定義されており、ユーザーの代わりにサービスから他の AWS サービスを呼び出すために必要なアクセス許可をすべて含んでいます。

OpenSearch Serverless は、AWSServiceRoleForAmazonOpenSearchServerless と呼ばれるサービスにリンクされたロールを使用します。このロールは、サーバーレス関連の CloudWatch メトリクスをアカウントに発行するためにロールで必要なアクセス許可を提供します。AWSServiceRoleForAmazonOpenSearchServerless に関連付けられたロールアクセス許可ポリシーの名前は AmazonOpenSearchServerlessServiceRolePolicy です。ポリシーの詳細については、「AWS Managed Policy Reference Guide」の「AmazonOpenSearchServerlessServiceRolePolicy」を参照してください。

OpenSearch Serverless のサービスにリンクされたロールのアクセス許可

OpenSearch Serverless は、AWSServiceRoleForAmazonOpenSearchServerless という名前のサービスにリンクされたロールを使用します。これにより、OpenSearch Serverless はユーザーに代わって AWS のサービスを呼び出すことができます。

AWSServiceRoleForAmazonOpenSearchServerless サービスにリンクされたロールは、以下のサービスを信頼してロールを引き受けます。

• observability.aoss.amazonaws.com

AmazonOpenSearchServerlessServiceRolePolicy という名前のロール許可ポリシーによって、OpenSearch Serverless が次のアクションを指定されたリソースで完了できるようになります。

• アクション: すべての AWS リソースcloudwatch:PutMetricDataで

注記

ポリシーには条件キー {"StringEquals": {"cloudwatch:namespace": "AWS/AOSS"}} が含まれていますが、これはサービスにリンクされたロールが AWS/AOSS CloudWatch 名前空間にのみメトリクスデータを送信できることを意味します。

サービスリンク役割の作成、編集、削除を IAM エンティティ (ユーザー、グループ、役割など) に許可するにはアクセス許可を設定する必要があります。詳細については、「IAM User Guide」(IAM ユーザーガイド) の「Service-linked role permissions」(サービスにリンクされたロールのアクセス権限) を参照してください。

OpenSearch Serverless のサービスにリンクされたロールの作成

サービスリンクロールを手動で作成する必要はありません。 AWS Management Console、、 AWS CLIまたは AWS API で OpenSearch Serverless コレクションを作成すると、OpenSearch Serverless によってサービスにリンクされたロールが作成されます。

注記

コレクションを初めて作成するときは、ID ベースのポリシーで iam:CreateServiceLinkedRole を割り当てる必要があります。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。OpenSearch Serverless コレクションを作成すると、OpenSearch Serverless がサービスにリンクされたロールを再度作成します。

IAM コンソールを使用して、Amazon OpenSearch Serverless ユースケースでサービスリンクロールを作成することもできます。 AWS CLI または AWS API で、サービス名を使用してobservability.aoss.amazonaws.comサービスにリンクされたロールを作成します。

aws iam create-service-linked-role --aws-service-name "observability.aoss.amazonaws.com"

詳細については、「IAM ユーザーガイド」の「サービスリンクロールの作成」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。

OpenSearch Serverless のサービスにリンクされたロールの編集

OpenSearch Serverless では、AWSServiceRoleForAmazonOpenSearchServerless サービスリンクロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

OpenSearch Serverless のサービスにリンクされたロールの削除

サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを保持しないようにできます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

AWSServiceRoleForAmazonOpenSearchServerless を削除するには、まず 内のすべての OpenSearch Serverless コレクションを削除する必要があります AWS アカウント。

注記

リソースを削除しようとしたときに OpenSearch Serverless でロールが使用されている場合、削除が失敗することがあります。その場合は、数分待ってからオペレーションを再試行してください。

IAM を使用してサービスリンクロールを手動で削除するには

IAM コンソール、、または AWS API を使用して AWS CLI、AWSServiceRoleForAmazonOpenSearchServerless サービスにリンクされたロールを削除します。詳細については、 IAM ユーザーガイド の「サービスにリンクされたロールの削除」を参照してください。

OpenSearch Serverless のサービスにリンクされたロールがサポートされているリージョン

OpenSearch Serverless は、OpenSearch Serverless が利用可能なすべてのリージョンで、サービスにリンクされたロール AWSServiceRoleForAmazonOpenSearchServerless の使用をサポートしています。サポートされているリージョンのリストについては、「AWS 全般のリファレンス」の「Amazon OpenSearch Serverless endpoints and quotas」(Amazon OpenSearch Serverless エンドポイントとクォータ) を参照してください。