Amazon OpenSearch Service への接続の認可

適用先: Enterprise Edition

対象者: システム管理者

QuickSight データセット OpenSearch で を使用する前に、 OpenSearch 管理者がコンソールにアクセスできるユーザーの協力を得て完了 QuickSight するタスクがいくつかあります。

開始するには、接続する各 OpenSearch ドメインを特定します。次に、ドメインごとに次の情報を収集します。

• OpenSearch ドメインの名前。

• このドメインで使用される OpenSearch バージョン。

• OpenSearch ドメインの Amazon リソースネーム (ARN)。

• HTTPS エンドポイント

• OpenSearch Dashboards を使用する場合は、Dashboards URL。エンドポイントに「/dashboards/」を追加することで、ダッシュボードの URL を推定できます。

• ドメインに VPC エンドポイントがある場合は、 OpenSearch サービスコンソールの VPC タブですべての関連情報を収集します。

  • VPC ID。

  • VPC セキュリティグループ

  • 関連付けられた IAM ロール (1 つもしくは複数)

  • 関連付けられたアベイラビリティーゾーン

  • 関連付けられたサブネット

• ドメインが (VPC エンドポイントではなく) 通常のエンドポイントを持つ場合は、パブリックネットワークが使用されることに注意します。

• 毎日の自動スナップショットの開始時間 (ユーザーによる確認用)

続行する前に、 QuickSight 管理者は から OpenSearch サービス QuickSight への認可された接続を有効にします。このプロセスは、 から接続するすべての AWS サービスに必要です QuickSight。これは、データソースとして使用する AWS サービスごとに 1 AWS アカウント 回だけ行う必要があります。

OpenSearch サービスの場合、認証プロセスによって AWS 管理ポリシーが に追加AWSQuickSightOpenSearchPolicyされます AWS アカウント。

重要

OpenSearch ドメインの IAM ポリシーが のアクセス許可と競合していないことを確認しますAWSQuickSightOpenSearchPolicy。ドメインアクセスポリシーは、 OpenSearch サービスコンソールで確認できます。詳細については、「Amazon OpenSearch Service デベロッパーガイド」の「アクセスポリシーの設定」を参照してください。

から OpenSearch サービス QuickSight への接続を有効または無効にするには

1. Amazon 内で QuickSight、Administrator と Manage QuickSightを選択します。

2. [Security & Permissions (セキュリティとアクセス許可)] で、[Add or remove (追加または削除)] を選択します。

3. 接続を有効にするには、Amazon OpenSearch Service チェックボックスをオンにします。

   接続を無効にするには、Amazon OpenSearch Service チェックボックスをオフにします。

4. 選択内容を確認するには、[Update] (更新) を選択します。

VPC 接続の使用

場合によっては、 OpenSearch ドメインが Amazon VPC サービスに基づく Virtual Private Cloud (VPC) にあることがあります。その場合は、 OpenSearch ドメイン QuickSight が使用する VPC ID に がすでに接続されているかどうかを確認してください。既存の VPC 接続を再利用できます。動作しているかどうかわからない場合は、テストできます。詳細については、「VPC データソースへの接続のテスト」を参照してください。

使用する VPC QuickSight の で接続がまだ定義されていない場合は、接続を作成できます。このタスクは複数ステップからなるプロセスで、次の作業に移る前に完了する必要があります。を VPC QuickSight に追加し、 から VPC QuickSight への接続を追加する方法については、「」を参照してくださいAmazon で VPC に接続する QuickSight。

アクセス OpenSearch 許可の使用

OpenSearch サービスに接続する QuickSight ように を設定した後、 でアクセス許可を有効にする必要がある場合があります OpenSearch。セットアッププロセスのこの部分では、各 OpenSearch ドメインの OpenSearch Dashboards リンクを使用できます。必要なアクセス許可を決定するには、次のリストを使用します。

1. きめ細かなアクセスコントロールを使用するドメインの場合は、ロール形式でアクセス許可を設定します。このプロセスは、 でスコープダウンポリシーを使用するのと似ています QuickSight。

2. 役割を作成する各ドメインについて、ロールマッピングを追加します。

詳細については、以下を参照してください。

OpenSearch ドメインできめ細かなアクセスコントロールが有効になっている場合、ドメインに からアクセスできるように を設定するアクセス許可がいくつかあります QuickSight。使用するドメインごとに、これらの手順を実行します。

次の手順では、 で動作するオープンソースのツールである OpenSearch Dashboards を使用します OpenSearch。ダッシュボードへのリンクは、 OpenSearch サービスコンソールのドメインダッシュボードにあります。

からのアクセスを許可するアクセス許可をドメインに追加するには QuickSight

1. 使用する OpenSearch ドメインの OpenSearch ダッシュボードを開きます。URL は、opensearch-domain-endpoint/dashboards/ です。

2. ナビゲーションペインで、[セキュリティ] をクリックします。

   ナビゲーションペインが表示されない場合は、左上のメニューアイコンを使用してナビゲーションペインを開きます。メニューを開いたままにするには、左下の [Dock navigation] (ドックナビゲーション) を選択します。

3. [ロール]、[ロールの作成] を選択します。

4. ロールに quicksight_role という名前を付けます。

   別の名前を選択することもできますが、ドキュメントで使用し、サポートが容易なため、この名前をお勧めします。

5. [クラスターのアクセス許可] に、以下のアクセス許可を追加します。

   • cluster:monitor/main

   • cluster:monitor/health

   • cluster:monitor/state

   • indices:data/read/scroll

   • indices:data/read/scroll/clear,

6. [インデックスのアクセス許可] では、* をインデックスパターンに指定します。

7. [インデックスのアクセス許可] に、以下のアクセス許可を追加します。

   • indices:admin/get

   • indices:admin/mappings/fields/get*

   • indices:data/read/search*

8. [作成] を選択します。

9. 使用する予定の OpenSearch ドメインごとにこの手順を繰り返します。

前の手順で追加したアクセス許可にロールマッピングを追加するには、以下の手順を使用します。アクセス許可とロールマッピングを 1 つのプロセスの一部として追加する方が効率的です。明確にするため、各手順を個別に説明します。

追加した IAM ロールのロールマッピングを作成するには

1. 使用する OpenSearch ドメインの OpenSearch ダッシュボードを開きます。URL は、opensearch-domain-endpoint/dashboards/ です。

2. ナビゲーションペインで、[セキュリティ] をクリックします。

3. リストから quicksight_role を検索し、それを開きます。

4. [マップされたユーザー] タブで、[マッピングを管理] をクリックします。

5. 「バックエンドロール」セクションに、 の マネージド AWS IAM ロールの ARN を入力します QuickSight。次に例を示します。

   arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0

6. [マップ] をクリックします。

7. 使用する OpenSearch ドメインごとにこの手順を繰り返します。