サービスにリンクされたロールを使用した OpenSearch サーバーレスコレクションの作成

OpenSearch サーバーレスは AWS Identity and Access Management (IAM) サービスにリンクされたロール を使用します。サービスにリンクされたロールは、 OpenSearch サービスに直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは OpenSearch 、サービスによって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。

OpenSearch Serverless は、 という名前のサービスにリンクされたロールを使用します。このロールはAWSServiceRoleForAmazonOpenSearchServerless、サーバーレス関連の CloudWatchメトリクスをアカウントに公開するために必要なアクセス許可を提供します。に関連付けられたロールのアクセス許可ポリシーの名前 AWSServiceRoleForAmazonOpenSearchServerless は ですAmazonOpenSearchServerlessServiceRolePolicy。ポリシーの詳細については、「 マネージドポリシーリファレンスガイドAmazonOpenSearchServerlessServiceRolePolicy」の「」を参照してください。 AWS

OpenSearch Serverless のサービスにリンクされたロールのアクセス許可

OpenSearch Serverless は、 という名前のサービスにリンクされたロールを使用します。これにより AWSServiceRoleForAmazonOpenSearchServerless、 OpenSearch サーバーレスはユーザーに代わって AWS のサービスを呼び出すことができます。

AWSServiceRoleForAmazonOpenSearchServerless サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。

• observability.aoss.amazonaws.com

という名前のロールアクセス許可ポリシーAmazonOpenSearchServerlessServiceRolePolicyにより、 OpenSearch サーバーレスは指定されたリソースに対して次のアクションを実行できます。

• アクション: すべての AWS リソースcloudwatch:PutMetricDataで

注記

ポリシーには条件キー が含まれています。つまり{"StringEquals": {"cloudwatch:namespace": "AWS/AOSS"}}、サービスにリンクされたロールは、メトリクスデータを AWS/AOSS CloudWatch名前空間にのみ送信できます。

サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「Service-linked role permissions」を参照してください。

OpenSearch Serverless のサービスにリンクされたロールの作成

サービスリンクロールを手動で作成する必要はありません。 AWS Management Console、、 AWS CLIまたは AWS API で OpenSearch Serverless コレクションを作成すると、 OpenSearch Serverless によってサービスにリンクされたロールが作成されます。

注記

コレクションを初めて作成するときは、ID ベースのポリシーで iam:CreateServiceLinkedRole を割り当てる必要があります。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。 OpenSearch サーバーレスコレクションを作成すると、 OpenSearch サーバーレスはサービスにリンクされたロールを再度作成します。

IAM コンソールを使用して、Amazon OpenSearch Serverless ユースケースでサービスにリンクされたロールを作成することもできます。 AWS CLI または AWS API で、サービス名を使用してobservability.aoss.amazonaws.comサービスにリンクされたロールを作成します。

aws iam create-service-linked-role --aws-service-name "observability.aoss.amazonaws.com"

詳細については、IAM ユーザーガイドの「サービスリンクロールの作成」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。

OpenSearch Serverless のサービスにリンクされたロールの編集

OpenSearch Serverless では、 AWSServiceRoleForAmazonOpenSearchServerless サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、IAM ユーザーガイドの「サービスリンクロールの編集」を参照してください。

OpenSearch Serverless のサービスにリンクされたロールの削除

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを保持しないようにできます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

を削除するには AWSServiceRoleForAmazonOpenSearchServerless、まず 内のすべての OpenSearch Serverless コレクションを削除する必要があります AWS アカウント。

注記

リソースを削除しようとしたときに OpenSearch Serverless がロールを使用している場合、削除が失敗する可能性があります。その場合は、数分待ってからオペレーションを再試行してください。

IAM を使用してサービスリンクロールを手動で削除するには

IAM コンソール、、または AWS API を使用して AWS CLI、サービスにリンクされたロールを削除します AWSServiceRoleForAmazonOpenSearchServerless。詳細については、IAM ユーザーガイドのサービスにリンクされたロールの削除を参照してください。

OpenSearch Serverless サービスにリンクされたロールでサポートされているリージョン

OpenSearch Serverless は、 OpenSearch Serverless が利用可能なすべてのリージョンで、 AWSServiceRoleForAmazonOpenSearchServerless サービスにリンクされたロールの使用をサポートしています。サポートされているリージョンのリストについては、「」の「Amazon OpenSearch Serverless エンドポイントとクォータ」を参照してくださいAWS 全般のリファレンス。