翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
サービスにリンクされたロールを使用して VPC ドメインを作成する
Amazon OpenSearch Service は AWS Identity and Access Management 、 (IAM) サービスにリンクされたロール を使用します。サービスにリンクされたロールは、 OpenSearch サービスに直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは OpenSearch 、サービスによって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
OpenSearch サービスは、 という名前のサービスにリンクされたロールを使用します。これによりAWSServiceRoleForAmazonOpenSearchService、ロールがドメインの VPC アクセスを有効にするために必要な最小限の Amazon EC2 および Elastic Load Balancing アクセス許可が提供されます。
従来の Elasticsearch ロール
Amazon OpenSearch Service は、 というサービスにリンクされたロールを使用しますAWSServiceRoleForAmazonOpenSearchService。アカウントには、AWSServiceRoleForAmazonElasticsearchService と呼ばれるサービスにリンクされたロールも含まれることがあります。これは、非推奨の Elasticsearch API エンドポイントと連携します。
レガシー Elasticsearch ロールがアカウントに存在しない場合、 OpenSearch サービスが OpenSearch ドメインを初めて作成するときに、新しい OpenSearch サービスにリンクされたロールを自動的に作成します。そうでない場合、アカウントでは Elasticsearch ロールが引き続き使用されます。この自動作成を成功させるためには、iam:CreateServiceLinkedRole アクションへのアクセス許可が必要です。
アクセス許可
AWSServiceRoleForAmazonOpenSearchService サービスにリンクされたロールは、ロールの引き受けについて以下のサービスを信頼します。
-
opensearchservice.amazonaws.com
という名前のロール許可ポリシーAmazonOpenSearchServiceRolePolicyにより、 OpenSearch サービスは指定されたリソースに対して次のアクションを実行できます。
-
アクション:
*上でacm:DescribeCertificate -
アクション:
*上でcloudwatch:PutMetricData -
アクション:
*上でec2:CreateNetworkInterface -
アクション:
*上でec2:DeleteNetworkInterface -
アクション:
*上でec2:DescribeNetworkInterfaces -
アクション:
*上でec2:ModifyNetworkInterfaceAttribute -
アクション:
*上でec2:DescribeSecurityGroups -
アクション:
*上でec2:DescribeSubnets -
アクション:
*上でec2:DescribeVpcs -
アクション: すべてのネットワークインターフェースと VPC エンドポイントで
ec2:CreateTags -
アクション:
*上でec2:DescribeTags -
アクション: すべての VPC、セキュリティグループ、サブネット、およびルートテーブル、ならびにリクエストにタグ
OpenSearchManaged=trueが含まれる場合、すべての VPC エンドポイントでec2:CreateVpcEndpoint -
アクション: すべての VPC、セキュリティグループ、サブネット、およびルートテーブル、ならびにリクエストにタグ
OpenSearchManaged=trueが含まれる場合、すべての VPC エンドポイントでec2:ModifyVpcEndpoint -
アクション: リクエストにタグ
OpenSearchManaged=trueが含まれる場合、すべてのエンドポイントでec2:DeleteVpcEndpoints -
アクション:
*上でec2:AssignIpv6Addresses -
アクション:
*上でec2:UnAssignIpv6Addresses -
アクション:
*上でelasticloadbalancing:AddListenerCertificates -
アクション:
elasticloadbalancing:RemoveListenerCertificates上で*
サービスにリンクされたロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、権限を設定する必要があります。詳細については、「IAM ユーザーガイド」の「Service-linked role permissions」を参照してください。
サービスリンクロールの作成
サービスリンクロールを手動で作成する必要はありません。を使用して VPC 対応ドメインを作成すると AWS Management Console、 OpenSearch サービスにリンクされたロールが自動的に作成されます。この自動作成を成功させるためには、iam:CreateServiceLinkedRole アクションへのアクセス許可が必要です。
サービスにリンクされたロールは、IAM コンソール、IAM CLI、または IAM API を使用して手動で作成することもできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの作成」を参照してください。
サービスにリンクされたロールを編集する
OpenSearch サービスでは、AWSServiceRoleForAmazonOpenSearchServiceサービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。
サービスリンクロールの削除
サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールをクリーンアップする必要があります。
サービスにリンクされたロールのクリーンアップ
IAM を使用してサービスにリンクされたロールを削除するには、まずそのロールにアクティブなセッションがないことを確認し、そのロールで使用されているリソースをすべて削除する必要があります。
サービスにリンクされたロールにアクティブなセッションがあるかどうかを、IAM コンソールで確認するには
にサインイン AWS Management Console し、https://console.aws.amazon.com/iam/
で IAM コンソールを開きます。 -
IAM コンソールのナビゲーションペインで [ロール] を選択します。次に、
AWSServiceRoleForAmazonOpenSearchServiceロールの名前 (チェックボックスではありません) を選択します。 -
選択したロールの [概要] ページで、[アクセスアドバイザー] タブを選択します。
-
アクセスアドバイザー タブで、サービスにリンクされたロールの最新のアクティビティを確認します。
注記
OpenSearch サービスが
AWSServiceRoleForAmazonOpenSearchServiceロールを使用しているかどうか不明な場合は、ロールを削除できます。サービスでロールが使用されている場合、削除は失敗し、ロールが使用されているリソースを表示できます。ロールが使用されている場合は、ロールを削除する前、またはロールを使用しているリソースを削除する前にセッションが終了するのを待つ必要があります。サービスにリンクされたロールのセッションを取り消すことはできません。
サービスにリンクされたロールの手動削除
IAM コンソール、API、または AWS CLI からサービスにリンクされたロールを削除します。手順については、IAM ユーザーガイド の「サービスにリンクされたロールの削除」を参照してください。
