Amazon OpenSearch Service (Amazon Elasticsearch Service の後継サービス) のアクション、リソース、および条件キー
Amazon OpenSearch Service (Amazon Elasticsearch Service の後継サービス) (サービスプレフィックス: es) では、IAM 許可ポリシーで使用できるように、以下のサービス固有のリソース、アクション、および条件コンテキストキーが用意されています。
リファレンス:
-
このサービスを設定する方法について説明します。
-
このサービスで使用可能な API オペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。
トピック
Amazon OpenSearch Service (Amazon Elasticsearch Service の後継サービス) によって定義されたアクション
IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource エレメントですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
| アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
|---|---|---|---|---|---|
| AcceptInboundConnection | インバウンドクロスクラスター検索接続リクエストを受け入れるためのアクセス許可を送信先ドメイン所有者に付与します | Write | |||
| AcceptInboundCrossClusterSearchConnection | クロスクラスターでの検索接続に関するインバウンドリクエストを受け入れるためのアクセス許可を、送信先ドメインの所有者に付与する このアクセス許可は廃止されました。代わりに AcceptInboundConnection を使用してください。 | Write | |||
| AddTags | OpenSearch Service ドメインにリソースタグをアタッチするためのアクセス許可を付与する | タグ付け | |||
| AssociatePackage | パッケージを OpenSearch Service ドメインに関連付けるためのアクセス許可を付与する | Write | |||
| CancelElasticsearchServiceSoftwareUpdate | ドメインのサービスソフトウェアに対する更新をキャンセルするためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに CancelServiceSoftwareUpdate を使用してください。 | Write | |||
| CancelServiceSoftwareUpdate | ドメインのサービスソフトウェアに対する更新をキャンセルするためのアクセス許可を付与する | Write | |||
| CreateDomain | Amazon OpenSearch Service ドメインを作成する許可を付与 | Write | |||
| CreateElasticsearchDomain | OpenSearch Service ドメインを作成するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりにCreateDomain を使用してください。 | Write | |||
| CreateElasticsearchServiceRole | VPC アクセスを使用する OpenSearch Service ドメインに必要な、サービスにリンクされたロールを作成するためのアクセス許可を付与する このアクセス許可は廃止されました。サービスにリンクされたロールは OpenSearch Service によって自動的に作成されます | Write | |||
| CreateOutboundConnection | 送信元ドメインから送信先ドメインへの新しいクロスクラスター検索接続を作成するためのアクセス許可を付与します | Write | |||
| CreateOutboundCrossClusterSearchConnection | 送信元ドメインから送信先ドメインに対する、クロスクラスターでの新しい検索接続を作成するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに CreateOutboundConnection を使用してください。 | Write | |||
| CreatePackage | OpenSearch Service ドメインで使用するパッケージを追加するためのアクセス許可を付与する | Write | |||
| CreateServiceRole | VPC アクセスを使用する Amazon OpenSearch Service ドメインに必要な、サービスにリンクされたロールを作成するためのアクセス許可を付与する | Write | |||
| DeleteDomain | Amazon OpenSearch Service ドメインとそのすべてのデータを削除するためのアクセス許可を付与する | Write | |||
| DeleteElasticsearchDomain | OpenSearch Service ドメインとそのすべてのデータを削除するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに DeleteDomain を使用してください。 | Write | |||
| DeleteElasticsearchServiceRole | VPC アクセスを使用する OpenSearch Service ドメインが使用している、サービスにリンクされたロールを削除するためのアクセス許可を付与する このアクセス許可は廃止されました。サービスにリンクされたロールを削除するには、IAM API を使用します。 | Write | |||
| DeleteInboundConnection | 既存のインバウンドクロスクラスター検索接続を削除するためのアクセス許可を送信先ドメインの所有者に付与します | Write | |||
| DeleteInboundCrossClusterSearchConnection | 既存のクロスクラスターでのインバウンド検索接続を削除するためのアクセス許可を、送信先ドメインの所有者に付与する このアクセス許可は廃止されました。代わりに DeleteInboundConnection を使用してください。 | Write | |||
| DeleteOutboundConnection | 既存のアウトバウンドクロスクラスター検索接続を削除するためのアクセス許可をソースドメイン所有者に付与します。 | Write | |||
| DeleteOutboundCrossClusterSearchConnection | 既存のクロスクラスターでのアウトバウンド検索接続を削除するためのアクセス許可を、送信元のドメイン所有者に付与する このアクセス許可は廃止されました。代わりに DeleteOutboundConnection を使用してください。 | Write | |||
| DeletePackage | OpenSearch Service からパッケージを削除するためのアクセス許可を付与する パッケージは、どのドメインとも関連付けることはできません。 | Write | |||
| DescribeDomain | 指定された OpenSearch Service ドメインについて、そのドメインの設定 (ドメインの ID、サービスエンドポイント、ARN など) を詳細表示するためのアクセス許可を付与する | Read | |||
| DescribeDomainAutoTunes | 指定された OpenSearch Service ドメインについて、ドメインの Auto-Tune 設定 (Auto-Tune の状態やメンテナンススケジュールなど) を表示するためのアクセス許可を付与する | Read | |||
| DescribeDomainChangeProgress | OpenSearch Service ドメインの詳細ステージの進行状況を表示する許可を付与 | Read | |||
| DescribeDomainConfig | OpenSearch Service ドメインの設定オプションおよびステータスを詳細表示するためのアクセス許可を付与する | Read | |||
| DescribeDomains | 指定された OpenSearch Service ドメイン (最大 5 個) についてドメイン設定を詳細表示するためのアクセス許可を付与する | リスト | |||
| DescribeElasticsearchDomain | 指定された OpenSearch Service ドメインについて、ドメイン設定 (ドメインの ID、サービスエンドポイント、および ARN など) を詳細表示するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに DescribeDomain を使用してください。 | Read | |||
| DescribeElasticsearchDomainConfig | OpenSearch Service ドメインの設定とステータスを詳細表示するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに DescribeDomainConfig を使用してください。 | Read | |||
| DescribeElasticsearchDomains | の指定された Amazon OpenSearch ドメイン (最大 5 個) について、ドメイン設定を詳細表示するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに DescribeDomains を使用してください。 | リスト | |||
| DescribeElasticsearchInstanceTypeLimits | 特定の OpenSearch バージョンとインスタンスタイプについて、インスタンス数、ストレージ、マスターノードの制限を表示するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに DescribeInstanceTypeLimits を使用してください。 | リスト | |||
| DescribeInboundConnections | 送信先ドメインのすべてのインバウンドクロスクラスター検索接続を一覧表示するためのアクセス許可を付与します | リスト | |||
| DescribeInboundCrossClusterSearchConnections | 送信先ドメインにおけるクロスクラスターでのすべてのインバウンド検索接続を、一覧表示するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに DescribeInboundConnections を使用してください。 | リスト | |||
| DescribeInstanceTypeLimits | 特定エンジンバージョンとインスタンスタイプについて、インスタンス数、ストレージ、マスターノードの制限を表示するためのアクセス許可を付与する | リスト | |||
| DescribeOutboundConnections | 送信元ドメインのすべてのアウトバウンドクロスクラスター検索接続を一覧表示するためのアクセス許可を付与します | リスト | |||
| DescribeOutboundCrossClusterSearchConnections | 送信元ドメインでの、クロスクラスターによるすべてのアウトバウンド検索接続を一覧表示するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに DescribeOutboundConnections を使用してください。 | リスト | |||
| DescribePackages | OpenSearch Service ドメインで利用可能な、すべてのパッケージについて詳細表示するためのアクセス許可を付与する | Read | |||
| DescribeReservedElasticsearchInstanceOfferings | Amazon OpenSearch Service 向けに、リザーブドインスタンスのサービスを取得するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに DescribeReservedInstanceOfferings を使用してください。 | リスト | |||
| DescribeReservedElasticsearchInstances | 既に購入済みの OpenSearch Service リザーブドインスタンスを取得するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに DescribeReservedInstances を使用してください。 | リスト | |||
| DescribeReservedInstanceOfferings | OpenSearch Service 向けに、リザーブドインスタンスのサービスを取得するためのアクセス許可を付与する | リスト | |||
| DescribeReservedInstances | 既に購入済みの OpenSearch Service リザーブドインスタンスを取得するためのアクセス許可を付与する | リスト | |||
| DissociatePackage | 指定された OpenSearch Service ドメインに対するパッケージの関連付けを、解除するためのアクセス許可を付与する | Write | |||
| ESCrossClusterGet | クラスター間リクエストをターゲットドメインに送信する許可を付与 | Read | |||
| ESHttpDelete | OpenSearch API に HTTP DELETE リクエストを送信する許可を付与 | Write | |||
| ESHttpGet | OpenSearch API に HTTP GET リクエストを送信する許可を付与 | Read | |||
| ESHttpHead | OpenSearch API に HTTP HEAD リクエストを送信する許可を付与 | Read | |||
| ESHttpPatch | OpenSearch API に HTTP PATCH リクエストを送信する許可を付与 | Write | |||
| ESHttpPost | OpenSearch API に HTTP POST リクエストを送信する許可を付与 | Write | |||
| ESHttpPut | OpenSearch API に HTTP PUT リクエストを送信する許可を付与 | Write | |||
| GetCompatibleElasticsearchVersions | OpenSearch Service ドメインをアップグレードできる互換性を持つ、OpenSearch と Elasticsearch バージョンのリストを取得するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに GetCompatibleVersions を使用してください。 | リスト | |||
| GetCompatibleVersions | OpenSearch Service ドメインをアップグレードできる互換性を持つ、エンジンバージョンのリストを取得するためのアクセス許可を付与する | リスト | |||
| GetPackageVersionHistory | パッケージのバージョン履歴を取得するためのアクセス許可を付与します | Read | |||
| GetUpgradeHistory | 特定の OpenSearch Service ドメインの、アップグレードに関する履歴を取得するためのアクセス許可を付与する | Read | |||
| GetUpgradeStatus | 特定の OpenSearch Service ドメインのアップグレード状況を取得するためのアクセス許可を付与する | Read | |||
| ListDomainNames | 現在のユーザーが所有している、すべての OpenSearch Service ドメインの名前を表示するためのアクセス許可を付与する | リスト | |||
| ListDomainsForPackage | パッケージが関連付けられている、すべての OpenSearch Service ドメインを一覧表示するためのアクセス許可を付与する | リスト | |||
| ListElasticsearchInstanceTypeDetails | 特定の OpenSearch バージョンの、すべてのインスタンスタイプと使用可能な機能を一覧表示するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに ListInstanceTypeDetails を使用してください。 | リスト | |||
| ListElasticsearchInstanceTypes | 特定の OpenSearch バージョンでサポートされている、すべての EC2 インスタンスタイプを一覧表示するためのアクセス許可を付与する | リスト | |||
| ListElasticsearchVersions | Amazon OpenSearch Service でサポートされている、すべての OpenSearch バージョンを一覧表示するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに ListVersions を使用してください。 | リスト | |||
| ListInstanceTypeDetails | 特定の OpenSearch もしくは Elasticsearch バージョンの、すべてのインスタンスタイプと使用可能な機能を一覧表示するためのアクセス許可を付与する | リスト | |||
| ListPackagesForDomain | OpenSearch Service ドメインに関連付けられている、すべてのパッケージを一覧表示するためのアクセス許可を付与する | リスト | |||
| ListTags | OpenSearch Service ドメインの、すべてのリソースタグを表示するためのアクセス許可を付与する | Read | |||
| ListVersions | Amazon OpenSearch Service でサポートされている、すべての OpenSearch および Elasticsearch のバージョンを一覧表示するためのアクセス許可を付与する | リスト | |||
| PurchaseReservedElasticsearchInstanceOffering | OpenSearch Service リザーブドインスタンスを購入するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに PurchaseReservedInstanceOffering を使用してください。 | Write | |||
| PurchaseReservedInstanceOffering | OpenSearch リザーブドインスタンスを購入する許可を付与 | Write | |||
| RejectInboundConnection | インバウンドクロスクラスター検索接続リクエストを拒否するためのアクセス許可を送信先ドメインの所有者に付与します | Write | |||
| RejectInboundCrossClusterSearchConnection | クロスクラスターでの検索接続に関するインバウンドリクエストを拒否するためのアクセス許可を、送信先ドメインの所有者に対し付与する このアクセス許可は廃止されました。代わりに RejectInboundConnection を使用してください。 | Write | |||
| RemoveTags | OpenSearch Service ドメインからリソースタグを削除するためのアクセス許可を付与する | タグ付け | |||
| StartElasticsearchServiceSoftwareUpdate | ドメインのサービスソフトウェアの更新を開始するためのアクセス許可を付与する。このアクセス許可は廃止されました。代わりに StartServiceSoftwareUpdate を使用してください。 | Write | |||
| StartServiceSoftwareUpdate | ドメインのサービスソフトウェアの更新を開始するためのアクセス許可を付与する | Write | |||
| UpdateDomainConfig | OpenSearch Service ドメインの設定 (インスタンスタイプやインスタンス数など) を変更するためのアクセス許可を付与する | Write | |||
| UpdateElasticsearchDomainConfig | OpenSearch Service ドメインの設定 (インスタンスタイプやインスタンス数など) を変更するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに UpdateDomainConfig を使用してください。 | Write | |||
| UpdatePackage | OpenSearch Service ドメインで使用するパッケージを更新するためのアクセス許可を付与する | Write | |||
| UpgradeDomain | OpenSearch Service ドメインにおいて、特定のバージョンへのアップグレードを開始するためのアクセス許可を付与する | Write | |||
| UpgradeElasticsearchDomain | OpenSearch Service ドメインにおいて、指定されたバージョンへのアップグレードを開始するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに UpgradeDomain を使用してください。 | Write |
Amazon OpenSearch Service (Amazon Elasticsearch Service の後継サービス) で定義されるリソースタイプ
以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。
| リソースタイプ | ARN | 条件キー |
|---|---|---|
| domain |
arn:${Partition}:es:${Region}:${Account}:domain/${DomainName}
|
|
| es_role |
arn:${Partition}:iam::${Account}:role/aws-service-role/es.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService
|
|
| opensearchservice_role |
arn:${Partition}:iam::${Account}:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService
|
Amazon OpenSearch Service (Amazon Elasticsearch Service の後継サービス) の条件キー
Amazon OpenSearch Service (Amazon Elasticsearch Service の後継サービス) は、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義しています。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。
すべてのサービスで使用できるグローバル条件キーを確認するには、使用できるグローバル条件キーを参照してください。
| 条件キー | 説明 | タイプ |
|---|---|---|
| aws:RequestTag/${TagKey} | リクエストで渡されたタグに基づいてアクションをフィルタリングする | 文字列 |
| aws:ResourceTag/${TagKey} | リソースに関連付けられているタグに基づいてアクションをフィルタリングする | 文字列 |
| aws:TagKeys | リクエストで渡されたタグキーに基づいてアクションをフィルタリングする | 文字列 |
