サービスにリンクされたロールを使用した OpenSearch 取り込みパイプラインの作成 - Amazon OpenSearch サービス
アクセス許可 OpenSearch 取り込み用のサービスにリンクされたロールの作成 OpenSearch Ingestion のサービスにリンクされたロールの編集 OpenSearch Ingestion のサービスにリンクされたロールの削除

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サービスにリンクされたロールを使用した OpenSearch 取り込みパイプラインの作成

Amazon Ingestion OpenSearch は AWS Identity and Access Management 、 (IAM) サービスにリンクされたロール を使用します。サービスにリンクされたロールは、取り込みに直接リンクされた一意のタイプの IAM OpenSearch ロールです。サービスにリンクされたロールは Ingestion OpenSearch によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。

OpenSearch 取り込みでは、 という名前のサービスにリンクされたロールを使用します。ただしAWSServiceRoleForAmazonOpenSearchIngestionService、セルフマネージド VPC を使用する場合は、 という名前のサービスにリンクされたロールを使用しますAWSServiceRoleForOpensearchIngestionSelfManagedVpce。アタッチされたポリシーは、ロールがアカウントと Ingestion の間に Virtual Private Cloud (VPC) OpenSearch を作成し、 CloudWatchアカウントにメトリクスを発行するために必要なアクセス許可を提供します。

アクセス許可

AWSServiceRoleForAmazonOpenSearchIngestionService サービスにリンクされたロールは、ロールの引き受けについて以下のサービスを信頼します。

  • osis.amazon.com

という名前のロールアクセス許可ポリシーAmazonOpenSearchIngestionServiceRolePolicyは、指定されたリソースに対して以下のアクションを実行することを Ingestion OpenSearch に許可します。

  • アクション: * 上で ec2:DescribeSubnets

  • アクション: * 上で ec2:DescribeSecurityGroups

  • アクション: * 上で ec2:DeleteVpcEndpoints

  • アクション: * 上で ec2:CreateVpcEndpoint

  • アクション: * 上で ec2:DescribeVpcEndpoints

  • アクション: arn:aws:ec2:*:*:network-interface/* 上で ec2:CreateTags

  • アクション: cloudwatch:namespace": "AWS/OSIS" 上で cloudwatch:PutMetricData

AWSServiceRoleForOpensearchIngestionSelfManagedVpce サービスにリンクされたロールは、ロールの引き受けについて以下のサービスを信頼します。

  • self-managed-vpce.osis.amazon.com

という名前のロールアクセス許可ポリシーOpenSearchIngestionSelfManagedVpcePolicyは、指定されたリソースに対して以下のアクションを実行することを Ingestion OpenSearch に許可します。

  • アクション: * 上で ec2:DescribeSubnets

  • アクション: * 上で ec2:DescribeSecurityGroups

  • アクション: * 上で ec2:DescribeVpcEndpoints

  • アクション: cloudwatch:PutMetricData 上で cloudwatch:namespace": "AWS/OSIS"

サービスにリンクされたロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、権限を設定する必要があります。詳細については、「IAM ユーザーガイド」の「Service-linked role permissions」を参照してください。

OpenSearch 取り込み用のサービスにリンクされたロールの作成

サービスリンクロールを手動で作成する必要はありません。 AWS Management Console、、 AWS CLIまたは AWS API OpenSearch で Ingestion パイプラインを作成すると、Ingestion OpenSearch によってサービスにリンクされたロールが作成されます。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。Ingestion OpenSearch パイプラインを作成すると、Ingestion OpenSearch によってサービスにリンクされたロールが再度作成されます。

OpenSearch Ingestion のサービスにリンクされたロールの編集

OpenSearch 取り込みでは、AWSServiceRoleForAmazonOpenSearchIngestionServiceサービスにリンクされたロールを編集することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、IAM ユーザーガイドの「サービスリンクロールの編集」を参照してください。

OpenSearch Ingestion のサービスにリンクされたロールの削除

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

サービスリンクロールのクリーンアップ

IAM を使用してサービスリンクロールを削除するには、最初に、そのロールで使用されているリソースをすべて削除する必要があります。

注記

リソースを削除しようとしたときに Ingestion OpenSearch がロールを使用している場合、削除が失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。

AWSServiceRoleForAmazonOpenSearchIngestionService または AWSServiceRoleForOpensearchIngestionSelfManagedVpceロールが使用する OpenSearch 取り込みリソースを削除するには

  1. Amazon OpenSearch Service コンソールに移動し、取り込み を選択します。

  2. すべてのパイプラインを削除します。手順については、「Amazon OpenSearch Ingestion パイプラインの削除」を参照してください。

OpenSearch Ingestion のサービスにリンクされたロールを削除する

OpenSearch 取り込みコンソールを使用して、サービスにリンクされたロールを削除できます。

サービスにリンクされたロールを削除するには (コンソール)

  1. [IAM console] (IAM コンソール) に入ります。

  2. ロール を選択し、 AWSServiceRoleForAmazonOpenSearchIngestionServiceまたは AWSServiceRoleForOpensearchIngestionSelfManagedVpceロールを検索します。

  3. ロールを選択し、[Delete] (削除) をクリックします。