翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon OpenSearch Service のアクション、リソース、および条件キー
Amazon OpenSearch Service (サービスプレフィックス: es) では、IAM 許可ポリシーで使用できるように、次のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。
リファレンス:
-
このサービスを設定する方法について説明します。
-
このサービスで使用可能な API オペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。
トピック
Amazon OpenSearch Service で定義されるアクション
IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。
[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。
注記
リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
| アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
|---|---|---|---|---|---|
| AcceptInboundConnection | インバウンドクロスクラスター検索接続リクエストを受け入れるためのアクセス許可を送信先ドメイン所有者に付与します | 書き込み | |||
| AcceptInboundCrossClusterSearchConnection | クロスクラスターでの検索接続に関するインバウンドリクエストを受け入れるためのアクセス許可を、送信先ドメインの所有者に付与する このアクセス許可は廃止されました。代わりに AcceptInboundConnection を使用してください。 | 書き込み | |||
| AddDataSource | OpenSearch Service ドメインのデータソースを追加するためのアクセス許可を付与 | 書き込み | |||
| AddTags | OpenSearch Service ドメインにリソースタグをアタッチするためのアクセス許可を付与する | タグ付け | |||
| AssociatePackage | パッケージを OpenSearch Service ドメインに関連付けるためのアクセス許可を付与する | 書き込み | |||
| AuthorizeVpcEndpointAccess | インターフェイス VPC エンドポイントを使用して Amazon OpenSearch Service ドメインへのアクセスを提供するアクセス許可を付与 | 書き込み | |||
| CancelDomainConfigChange | OpenSearch Service ドメインの変更をキャンセルするためのアクセス許可を付与 | 書き込み | |||
| CancelElasticsearchServiceSoftwareUpdate | ドメインのサービスソフトウェアに対する更新をキャンセルするためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに CancelServiceSoftwareUpdate を使用してください。 | 書き込み | |||
| CancelServiceSoftwareUpdate | ドメインのサービスソフトウェアに対する更新をキャンセルするためのアクセス許可を付与する | 書き込み | |||
| CreateDomain | Amazon OpenSearch Service ドメインを作成する許可を付与 | 書き込み | |||
| CreateElasticsearchDomain | OpenSearch Service ドメインを作成するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりにCreateDomain を使用してください。 | 書き込み | |||
| CreateElasticsearchServiceRole | VPC アクセスを使用する OpenSearch Service ドメインに必要な、サービスにリンクされたロールを作成するためのアクセス許可を付与する このアクセス許可は廃止されました。サービスにリンクされたロールは OpenSearch Service によって自動的に作成されます | 書き込み | |||
| CreateOutboundConnection | 送信元ドメインから送信先ドメインへの新しいクロスクラスター検索接続を作成するためのアクセス許可を付与します | 書き込み | |||
| CreateOutboundCrossClusterSearchConnection | 送信元ドメインから送信先ドメインに対する、クロスクラスターでの新しい検索接続を作成するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに CreateOutboundConnection を使用してください。 | 書き込み | |||
| CreatePackage | OpenSearch Service ドメインで使用するパッケージを追加するためのアクセス許可を付与する | 書き込み | |||
| CreateServiceRole | VPC アクセスを使用する Amazon OpenSearch Service ドメインに必要な、サービスにリンクされたロールを作成するためのアクセス許可を付与する | 書き込み | |||
| CreateVpcEndpoint | Amazon OpenSearch Service マネージド VPC エンドポイントを作成するアクセス許可を付与 | 書き込み | |||
| DeleteDataSource | OpenSearch Service ドメインのデータソースを削除するためのアクセス許可を付与 | 書き込み | |||
| DeleteDomain | Amazon OpenSearch Service ドメインとそのすべてのデータを削除するためのアクセス許可を付与する | 書き込み | |||
| DeleteElasticsearchDomain | OpenSearch Service ドメインとそのすべてのデータを削除するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに DeleteDomain を使用してください。 | 書き込み | |||
| DeleteElasticsearchServiceRole | VPC アクセスを使用する OpenSearch Service ドメインが使用している、サービスにリンクされたロールを削除するためのアクセス許可を付与する このアクセス許可は廃止されました。サービスにリンクされたロールを削除するには、IAM API を使用します。 | 書き込み | |||
| DeleteInboundConnection | 既存のインバウンドクロスクラスター検索接続を削除するためのアクセス許可を送信先ドメインの所有者に付与します | 書き込み | |||
| DeleteInboundCrossClusterSearchConnection | 既存のクロスクラスターでのインバウンド検索接続を削除するためのアクセス許可を、送信先ドメインの所有者に付与する このアクセス許可は廃止されました。代わりに DeleteInboundConnection を使用してください。 | 書き込み | |||
| DeleteOutboundConnection | 既存のアウトバウンドクロスクラスター検索接続を削除するためのアクセス許可をソースドメイン所有者に付与します。 | 書き込み | |||
| DeleteOutboundCrossClusterSearchConnection | 既存のクロスクラスターでのアウトバウンド検索接続を削除するためのアクセス許可を、送信元のドメイン所有者に付与する このアクセス許可は廃止されました。代わりに DeleteOutboundConnection を使用してください。 | 書き込み | |||
| DeletePackage | OpenSearch Service からパッケージを削除するためのアクセス許可を付与する パッケージは、どのドメインとも関連付けることはできません。 | 書き込み | |||
| DeleteVpcEndpoint | Amazon OpenSearch Service マネージドインターフェース VPC エンドポイントを削除するアクセス許可を付与 | 書き込み | |||
| DescribeDomain | 指定された OpenSearch Service ドメインについて、そのドメインの設定 (ドメインの ID、サービスエンドポイント、ARN など) を詳細表示するためのアクセス許可を付与する | 読み取り | |||
| DescribeDomainAutoTunes | 指定された OpenSearch Service ドメインについて、ドメインの Auto-Tune 設定 (Auto-Tune の状態やメンテナンススケジュールなど) を表示するためのアクセス許可を付与する | 読み取り | |||
| DescribeDomainChangeProgress | OpenSearch Service ドメインの詳細ステージの進行状況を表示する許可を付与 | 読み取り | |||
| DescribeDomainConfig | OpenSearch Service ドメインの設定オプションおよびステータスを詳細表示するためのアクセス許可を付与する | 読み取り | |||
| DescribeDomainHealth | ドメインとノードの状態、スタンバイアベイラビリティーゾーン、アベイラビリティーゾーンごとのノード数、ノードごとのシャード数に関する情報を表示するアクセス許可を付与します | 読み取り | |||
| DescribeDomainNodes | ドメインに設定されたノードと、その設定に関する情報 (ノード ID、ノードのタイプ、ノードのステータス、アベイラビリティーゾーン、インスタンスタイプ、ストレージ) を表示する許可を付与 | 読み取り | |||
| DescribeDomains | 指定された OpenSearch Service ドメイン (最大 5 個) についてドメイン設定を詳細表示するためのアクセス許可を付与する | リスト | |||
| DescribeDryRunProgress | OpenSearch Service ドメインの更新前検証チェックのステータスを記述するアクセス許可を付与 | 読み取り | |||
| DescribeElasticsearchDomain | 指定された OpenSearch Service ドメインについて、ドメイン設定 (ドメインの ID、サービスエンドポイント、および ARN など) を詳細表示するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに DescribeDomain を使用してください。 | 読み取り | |||
| DescribeElasticsearchDomainConfig | OpenSearch Service ドメインの設定とステータスを詳細表示するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに DescribeDomainConfig を使用してください。 | 読み取り | |||
| DescribeElasticsearchDomains | 指定された Amazon OpenSearch ドメイン (最大 5 個) について、ドメイン設定を詳細表示するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに DescribeDomains を使用してください。 | リスト | |||
| DescribeElasticsearchInstanceTypeLimits | 特定の OpenSearch バージョンとインスタンスタイプについて、インスタンス数、ストレージ、マスターノードの制限を表示するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに DescribeInstanceTypeLimits を使用してください。 | リスト | |||
| DescribeInboundConnections | 送信先ドメインのすべてのインバウンドクロスクラスター検索接続を一覧表示するためのアクセス許可を付与します | リスト | |||
| DescribeInboundCrossClusterSearchConnections | 送信先ドメインにおけるクロスクラスターでのすべてのインバウンド検索接続を、一覧表示するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに DescribeInboundConnections を使用してください。 | リスト | |||
| DescribeInstanceTypeLimits | 特定エンジンバージョンとインスタンスタイプについて、インスタンス数、ストレージ、マスターノードの制限を表示するためのアクセス許可を付与する | リスト | |||
| DescribeOutboundConnections | 送信元ドメインのすべてのアウトバウンドクロスクラスター検索接続を一覧表示するためのアクセス許可を付与します | リスト | |||
| DescribeOutboundCrossClusterSearchConnections | 送信元ドメインでの、クロスクラスターによるすべてのアウトバウンド検索接続を一覧表示するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに DescribeOutboundConnections を使用してください。 | リスト | |||
| DescribePackages | OpenSearch Service ドメインで利用可能な、すべてのパッケージについて詳細表示するためのアクセス許可を付与する | 読み取り | |||
| DescribeReservedElasticsearchInstanceOfferings | Amazon OpenSearch Service 向けに、リザーブドインスタンスのサービスを取得するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに DescribeReservedInstanceOfferings を使用してください。 | リスト | |||
| DescribeReservedElasticsearchInstances | 既に購入済みの OpenSearch Service リザーブドインスタンスを取得するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに DescribeReservedInstances を使用してください。 | リスト | |||
| DescribeReservedInstanceOfferings | OpenSearch Service 向けに、リザーブドインスタンスのサービスを取得するためのアクセス許可を付与する | リスト | |||
| DescribeReservedInstances | 既に購入済みの OpenSearch Service リザーブドインスタンスを取得するためのアクセス許可を付与する | リスト | |||
| DescribeVpcEndpoints | 1 つ以上の Amazon OpenSearch Service マネージド VPC エンドポイントを記述するアクセス許可を付与 | リスト | |||
| DissociatePackage | 指定された OpenSearch Service ドメインに対するパッケージの関連付けを、解除するためのアクセス許可を付与する | 書き込み | |||
| ESCrossClusterGet | クラスター間リクエストをターゲットドメインに送信する許可を付与 | Read | |||
| ESHttpDelete | OpenSearch API に HTTP DELETE リクエストを送信する許可を付与 | Write | |||
| ESHttpGet | OpenSearch API に HTTP GET リクエストを送信する許可を付与 | Read | |||
| ESHttpHead | OpenSearch API に HTTP HEAD リクエストを送信する許可を付与 | Read | |||
| ESHttpPatch | OpenSearch API に HTTP PATCH リクエストを送信する許可を付与 | Write | |||
| ESHttpPost | OpenSearch API に HTTP POST リクエストを送信する許可を付与 | Write | |||
| ESHttpPut | OpenSearch API に HTTP PUT リクエストを送信する許可を付与 | 書き込み | |||
| GetCompatibleElasticsearchVersions | OpenSearch Service ドメインをアップグレードできる互換性を持つ、OpenSearch と Elasticsearch バージョンのリストを取得するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに GetCompatibleVersions を使用してください。 | リスト | |||
| GetCompatibleVersions | OpenSearch Service ドメインをアップグレードできる互換性を持つ、エンジンバージョンのリストを取得するためのアクセス許可を付与する | リスト | |||
| GetDataSource | OpenSearch Service ドメインのデータソースを取得するためのアクセス許可を付与 | 読み取り | |||
| GetDomainMaintenanceStatus | ノードのメンテナンスアクションのステータスを取得するアクセス許可を付与します | 読み取り | |||
| GetPackageVersionHistory | パッケージのバージョン履歴を取得するためのアクセス許可を付与します | 読み取り | |||
| GetUpgradeHistory | 特定の OpenSearch Service ドメインの、アップグレードに関する履歴を取得するためのアクセス許可を付与する | 読み取り | |||
| GetUpgradeStatus | 特定の OpenSearch Service ドメインのアップグレード状況を取得するためのアクセス許可を付与する | 読み取り | |||
| ListDataSources | OpenSearch Service ドメインのデータソースのリストを取得するためのアクセス許可を付与 | リスト | |||
| ListDomainMaintenances | OpenSearch Service ドメインのメンテナンスアクションのリストを取得するアクセス許可を付与します | リスト | |||
| ListDomainNames | 現在のユーザーが所有している、すべての OpenSearch Service ドメインの名前を表示するためのアクセス許可を付与する | リスト | |||
| ListDomainsForPackage | パッケージが関連付けられている、すべての OpenSearch Service ドメインを一覧表示するためのアクセス許可を付与する | リスト | |||
| ListElasticsearchInstanceTypeDetails | 特定の OpenSearch バージョンの、すべてのインスタンスタイプと使用可能な機能を一覧表示するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに ListInstanceTypeDetails を使用してください。 | リスト | |||
| ListElasticsearchInstanceTypes | 特定の OpenSearch バージョンでサポートされている、すべての EC2 インスタンスタイプを一覧表示するためのアクセス許可を付与する | リスト | |||
| ListElasticsearchVersions | Amazon OpenSearch Service でサポートされている、すべての OpenSearch バージョンを一覧表示するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに ListVersions を使用してください。 | リスト | |||
| ListInstanceTypeDetails | 特定の OpenSearch もしくは Elasticsearch バージョンの、すべてのインスタンスタイプと使用可能な機能を一覧表示するためのアクセス許可を付与する | リスト | |||
| ListPackagesForDomain | OpenSearch Service ドメインに関連付けられている、すべてのパッケージを一覧表示するためのアクセス許可を付与する | リスト | |||
| ListScheduledActions | OpenSearch Service ドメインのためにスケジュールされている設定変更のリストを取得するための許可を付与します | リスト | |||
| ListTags | OpenSearch Service ドメインの、すべてのリソースタグを表示するためのアクセス許可を付与する | 読み取り | |||
| ListVersions | Amazon OpenSearch Service でサポートされている、すべての OpenSearch および Elasticsearch のバージョンを一覧表示するためのアクセス許可を付与する | リスト | |||
| ListVpcEndpointAccess | インターフェイス VPC エンドポイントを使用して特定の Amazon OpenSearch Service ドメインへのアクセスを許可されている各 AWS プリンシパルに関する情報を取得するアクセス許可を付与 | リスト | |||
| ListVpcEndpoints | 現在の AWS アカウント およびリージョンのすべての Amazon OpenSearch Service マネージド VPC エンドポイントを取得するアクセス許可を付与 | リスト | |||
| ListVpcEndpointsForDomain | 特定のドメインに関連付けられているすべての Amazon OpenSearch Service マネージド VPC エンドポイントを取得するアクセス許可を付与 | リスト | |||
| PurchaseReservedElasticsearchInstanceOffering | OpenSearch Service リザーブドインスタンスを購入するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに PurchaseReservedInstanceOffering を使用してください。 | 書き込み | |||
| PurchaseReservedInstanceOffering | OpenSearch リザーブドインスタンスを購入する許可を付与 | Write | |||
| RejectInboundConnection | インバウンドクロスクラスター検索接続リクエストを拒否するためのアクセス許可を送信先ドメインの所有者に付与します | 書き込み | |||
| RejectInboundCrossClusterSearchConnection | クロスクラスターでの検索接続に関するインバウンドリクエストを拒否するためのアクセス許可を、送信先ドメインの所有者に対し付与する このアクセス許可は廃止されました。代わりに RejectInboundConnection を使用してください。 | 書き込み | |||
| RemoveTags | OpenSearch Service ドメインからリソースタグを削除するためのアクセス許可を付与する | タグ付け | |||
| RevokeVpcEndpointAccess | インターフェイス VPC エンドポイントを使用して提供された Amazon OpenSearch Service ドメインへのアクセスを取り消すアクセス許可を付与 | 書き込み | |||
| StartDomainMaintenance | ノードのメンテナンスを開始するアクセス許可を付与します | 書き込み | |||
| StartElasticsearchServiceSoftwareUpdate | ドメインのサービスソフトウェアの更新を開始するためのアクセス許可を付与する。このアクセス許可は廃止されました。代わりに StartServiceSoftwareUpdate を使用してください。 | 書き込み | |||
| StartServiceSoftwareUpdate | ドメインのサービスソフトウェアの更新を開始するためのアクセス許可を付与する | 書き込み | |||
| UpdateDataSource | OpenSearch Service ドメインのデータソースを更新するためのアクセス許可を付与 | 書き込み | |||
| UpdateDomainConfig | OpenSearch Service ドメインの設定 (インスタンスタイプやインスタンス数など) を変更するためのアクセス許可を付与する | 書き込み | |||
| UpdateElasticsearchDomainConfig | OpenSearch Service ドメインの設定 (インスタンスタイプやインスタンス数など) を変更するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに UpdateDomainConfig を使用してください。 | 書き込み | |||
| UpdatePackage | OpenSearch Service ドメインで使用するパッケージを更新するためのアクセス許可を付与する | 書き込み | |||
| UpdateScheduledAction | 計画された OpenSearch Service ドメイン設定の変更を再スケジュールして遅らせるための許可を付与します | 書き込み | |||
| UpdateVpcEndpoint | Amazon OpenSearch Service マネージドインターフェース VPC エンドポイントを変更するアクセス許可を付与 | 書き込み | |||
| UpgradeDomain | OpenSearch Service ドメインにおいて、特定のバージョンへのアップグレードを開始するためのアクセス許可を付与する | 書き込み | |||
| UpgradeElasticsearchDomain | OpenSearch Service ドメインにおいて、指定されたバージョンへのアップグレードを開始するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに UpgradeDomain を使用してください。 | 書き込み |
Amazon OpenSearch Service で定義されるリソースタイプ
以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。
| リソースタイプ | ARN | 条件キー |
|---|---|---|
| domain |
arn:${Partition}:es:${Region}:${Account}:domain/${DomainName}
|
|
| es_role |
arn:${Partition}:iam::${Account}:role/aws-service-role/es.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService
|
|
| opensearchservice_role |
arn:${Partition}:iam::${Account}:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService
|
Amazon OpenSearch Service の条件キー
Amazon OpenSearch Service では、IAM ポリシーの Condition 要素で使用できる次の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。
すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。
| 条件キー | 説明 | タイプ |
|---|---|---|
| aws:RequestTag/${TagKey} | リクエストで渡されたタグに基づいてアクションをフィルタリングします | 文字列 |
| aws:ResourceTag/${TagKey} | リソースに関連付けられているタグに基づいてアクションをフィルタリングします | 文字列 |
| aws:TagKeys | リクエストで渡されたタグキーに基づいてアクションをフィルタリングします | ArrayOfString |
