Amazon OpenSearch Service (Amazon Elasticsearch Service の後継サービス) のアクション、リソース、および条件キー - サービス認証リファレンス

Amazon OpenSearch Service (Amazon Elasticsearch Service の後継サービス) のアクション、リソース、および条件キー

Amazon OpenSearch Service (Amazon Elasticsearch Service の後継サービス) (サービスプレフィックス: es) では、IAM 許可ポリシーで使用できるように、以下のサービス固有のリソース、アクション、および条件コンテキストキーが用意されています。

リファレンス:

Amazon OpenSearch Service (Amazon Elasticsearch Service の後継サービス) によって定義されたアクション

IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource エレメントですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AcceptInboundConnection インバウンドクロスクラスター検索接続リクエストを受け入れるためのアクセス許可を送信先ドメイン所有者に付与します Write
AcceptInboundCrossClusterSearchConnection クロスクラスターでの検索接続に関するインバウンドリクエストを受け入れるためのアクセス許可を、送信先ドメインの所有者に付与する このアクセス許可は廃止されました。代わりに AcceptInboundConnection を使用してください。 Write
AddTags OpenSearch Service ドメインにリソースタグをアタッチするためのアクセス許可を付与する タグ付け

domain*

aws:RequestTag/${TagKey}

aws:TagKeys

AssociatePackage パッケージを OpenSearch Service ドメインに関連付けるためのアクセス許可を付与する Write

domain*

CancelElasticsearchServiceSoftwareUpdate ドメインのサービスソフトウェアに対する更新をキャンセルするためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに CancelServiceSoftwareUpdate を使用してください。 Write

domain*

CancelServiceSoftwareUpdate ドメインのサービスソフトウェアに対する更新をキャンセルするためのアクセス許可を付与する Write

domain*

CreateDomain Amazon OpenSearch Service ドメインを作成する許可を付与 Write

domain

aws:RequestTag/${TagKey}

aws:TagKeys

CreateElasticsearchDomain OpenSearch Service ドメインを作成するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりにCreateDomain を使用してください。 Write

domain

aws:RequestTag/${TagKey}

aws:TagKeys

CreateElasticsearchServiceRole VPC アクセスを使用する OpenSearch Service ドメインに必要な、サービスにリンクされたロールを作成するためのアクセス許可を付与する このアクセス許可は廃止されました。サービスにリンクされたロールは OpenSearch Service によって自動的に作成されます Write
CreateOutboundConnection 送信元ドメインから送信先ドメインへの新しいクロスクラスター検索接続を作成するためのアクセス許可を付与します Write

domain*

CreateOutboundCrossClusterSearchConnection 送信元ドメインから送信先ドメインに対する、クロスクラスターでの新しい検索接続を作成するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに CreateOutboundConnection を使用してください。 Write

domain*

CreatePackage OpenSearch Service ドメインで使用するパッケージを追加するためのアクセス許可を付与する Write
CreateServiceRole VPC アクセスを使用する Amazon OpenSearch Service ドメインに必要な、サービスにリンクされたロールを作成するためのアクセス許可を付与する Write
DeleteDomain Amazon OpenSearch Service ドメインとそのすべてのデータを削除するためのアクセス許可を付与する Write

domain*

DeleteElasticsearchDomain OpenSearch Service ドメインとそのすべてのデータを削除するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに DeleteDomain を使用してください。 Write

domain*

DeleteElasticsearchServiceRole VPC アクセスを使用する OpenSearch Service ドメインが使用している、サービスにリンクされたロールを削除するためのアクセス許可を付与する このアクセス許可は廃止されました。サービスにリンクされたロールを削除するには、IAM API を使用します。 Write
DeleteInboundConnection 既存のインバウンドクロスクラスター検索接続を削除するためのアクセス許可を送信先ドメインの所有者に付与します Write
DeleteInboundCrossClusterSearchConnection 既存のクロスクラスターでのインバウンド検索接続を削除するためのアクセス許可を、送信先ドメインの所有者に付与する このアクセス許可は廃止されました。代わりに DeleteInboundConnection を使用してください。 Write
DeleteOutboundConnection 既存のアウトバウンドクロスクラスター検索接続を削除するためのアクセス許可をソースドメイン所有者に付与します。 Write
DeleteOutboundCrossClusterSearchConnection 既存のクロスクラスターでのアウトバウンド検索接続を削除するためのアクセス許可を、送信元のドメイン所有者に付与する このアクセス許可は廃止されました。代わりに DeleteOutboundConnection を使用してください。 Write
DeletePackage OpenSearch Service からパッケージを削除するためのアクセス許可を付与する パッケージは、どのドメインとも関連付けることはできません。 Write
DescribeDomain 指定された OpenSearch Service ドメインについて、そのドメインの設定 (ドメインの ID、サービスエンドポイント、ARN など) を詳細表示するためのアクセス許可を付与する Read

domain*

DescribeDomainAutoTunes 指定された OpenSearch Service ドメインについて、ドメインの Auto-Tune 設定 (Auto-Tune の状態やメンテナンススケジュールなど) を表示するためのアクセス許可を付与する Read

domain*

DescribeDomainChangeProgress OpenSearch Service ドメインの詳細ステージの進行状況を表示する許可を付与 Read

domain*

DescribeDomainConfig OpenSearch Service ドメインの設定オプションおよびステータスを詳細表示するためのアクセス許可を付与する Read

domain*

DescribeDomains 指定された OpenSearch Service ドメイン (最大 5 個) についてドメイン設定を詳細表示するためのアクセス許可を付与する リスト

domain*

DescribeElasticsearchDomain 指定された OpenSearch Service ドメインについて、ドメイン設定 (ドメインの ID、サービスエンドポイント、および ARN など) を詳細表示するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに DescribeDomain を使用してください。 Read

domain*

DescribeElasticsearchDomainConfig OpenSearch Service ドメインの設定とステータスを詳細表示するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに DescribeDomainConfig を使用してください。 Read

domain*

DescribeElasticsearchDomains の指定された Amazon OpenSearch ドメイン (最大 5 個) について、ドメイン設定を詳細表示するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに DescribeDomains を使用してください。 リスト

domain*

DescribeElasticsearchInstanceTypeLimits 特定の OpenSearch バージョンとインスタンスタイプについて、インスタンス数、ストレージ、マスターノードの制限を表示するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに DescribeInstanceTypeLimits を使用してください。 リスト
DescribeInboundConnections 送信先ドメインのすべてのインバウンドクロスクラスター検索接続を一覧表示するためのアクセス許可を付与します リスト
DescribeInboundCrossClusterSearchConnections 送信先ドメインにおけるクロスクラスターでのすべてのインバウンド検索接続を、一覧表示するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに DescribeInboundConnections を使用してください。 リスト
DescribeInstanceTypeLimits 特定エンジンバージョンとインスタンスタイプについて、インスタンス数、ストレージ、マスターノードの制限を表示するためのアクセス許可を付与する リスト
DescribeOutboundConnections 送信元ドメインのすべてのアウトバウンドクロスクラスター検索接続を一覧表示するためのアクセス許可を付与します リスト
DescribeOutboundCrossClusterSearchConnections 送信元ドメインでの、クロスクラスターによるすべてのアウトバウンド検索接続を一覧表示するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに DescribeOutboundConnections を使用してください。 リスト
DescribePackages OpenSearch Service ドメインで利用可能な、すべてのパッケージについて詳細表示するためのアクセス許可を付与する Read
DescribeReservedElasticsearchInstanceOfferings Amazon OpenSearch Service 向けに、リザーブドインスタンスのサービスを取得するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに DescribeReservedInstanceOfferings を使用してください。 リスト
DescribeReservedElasticsearchInstances 既に購入済みの OpenSearch Service リザーブドインスタンスを取得するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに DescribeReservedInstances を使用してください。 リスト
DescribeReservedInstanceOfferings OpenSearch Service 向けに、リザーブドインスタンスのサービスを取得するためのアクセス許可を付与する リスト
DescribeReservedInstances 既に購入済みの OpenSearch Service リザーブドインスタンスを取得するためのアクセス許可を付与する リスト
DissociatePackage 指定された OpenSearch Service ドメインに対するパッケージの関連付けを、解除するためのアクセス許可を付与する Write

domain*

ESCrossClusterGet クラスター間リクエストをターゲットドメインに送信する許可を付与 Read

domain

ESHttpDelete OpenSearch API に HTTP DELETE リクエストを送信する許可を付与 Write

domain

ESHttpGet OpenSearch API に HTTP GET リクエストを送信する許可を付与 Read

domain

ESHttpHead OpenSearch API に HTTP HEAD リクエストを送信する許可を付与 Read

domain

ESHttpPatch OpenSearch API に HTTP PATCH リクエストを送信する許可を付与 Write

domain

ESHttpPost OpenSearch API に HTTP POST リクエストを送信する許可を付与 Write

domain

ESHttpPut OpenSearch API に HTTP PUT リクエストを送信する許可を付与 Write

domain

GetCompatibleElasticsearchVersions OpenSearch Service ドメインをアップグレードできる互換性を持つ、OpenSearch と Elasticsearch バージョンのリストを取得するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに GetCompatibleVersions を使用してください。 リスト

domain*

GetCompatibleVersions OpenSearch Service ドメインをアップグレードできる互換性を持つ、エンジンバージョンのリストを取得するためのアクセス許可を付与する リスト

domain*

GetPackageVersionHistory パッケージのバージョン履歴を取得するためのアクセス許可を付与します Read
GetUpgradeHistory 特定の OpenSearch Service ドメインの、アップグレードに関する履歴を取得するためのアクセス許可を付与する Read

domain*

GetUpgradeStatus 特定の OpenSearch Service ドメインのアップグレード状況を取得するためのアクセス許可を付与する Read

domain*

ListDomainNames 現在のユーザーが所有している、すべての OpenSearch Service ドメインの名前を表示するためのアクセス許可を付与する リスト
ListDomainsForPackage パッケージが関連付けられている、すべての OpenSearch Service ドメインを一覧表示するためのアクセス許可を付与する リスト
ListElasticsearchInstanceTypeDetails 特定の OpenSearch バージョンの、すべてのインスタンスタイプと使用可能な機能を一覧表示するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに ListInstanceTypeDetails を使用してください。 リスト
ListElasticsearchInstanceTypes 特定の OpenSearch バージョンでサポートされている、すべての EC2 インスタンスタイプを一覧表示するためのアクセス許可を付与する リスト
ListElasticsearchVersions Amazon OpenSearch Service でサポートされている、すべての OpenSearch バージョンを一覧表示するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに ListVersions を使用してください。 リスト
ListInstanceTypeDetails 特定の OpenSearch もしくは Elasticsearch バージョンの、すべてのインスタンスタイプと使用可能な機能を一覧表示するためのアクセス許可を付与する リスト
ListPackagesForDomain OpenSearch Service ドメインに関連付けられている、すべてのパッケージを一覧表示するためのアクセス許可を付与する リスト

domain*

ListTags OpenSearch Service ドメインの、すべてのリソースタグを表示するためのアクセス許可を付与する Read

domain*

ListVersions Amazon OpenSearch Service でサポートされている、すべての OpenSearch および Elasticsearch のバージョンを一覧表示するためのアクセス許可を付与する リスト
PurchaseReservedElasticsearchInstanceOffering OpenSearch Service リザーブドインスタンスを購入するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに PurchaseReservedInstanceOffering を使用してください。 Write
PurchaseReservedInstanceOffering OpenSearch リザーブドインスタンスを購入する許可を付与 Write
RejectInboundConnection インバウンドクロスクラスター検索接続リクエストを拒否するためのアクセス許可を送信先ドメインの所有者に付与します Write
RejectInboundCrossClusterSearchConnection クロスクラスターでの検索接続に関するインバウンドリクエストを拒否するためのアクセス許可を、送信先ドメインの所有者に対し付与する このアクセス許可は廃止されました。代わりに RejectInboundConnection を使用してください。 Write
RemoveTags OpenSearch Service ドメインからリソースタグを削除するためのアクセス許可を付与する タグ付け

domain*

aws:TagKeys

StartElasticsearchServiceSoftwareUpdate ドメインのサービスソフトウェアの更新を開始するためのアクセス許可を付与する。このアクセス許可は廃止されました。代わりに StartServiceSoftwareUpdate を使用してください。 Write

domain*

StartServiceSoftwareUpdate ドメインのサービスソフトウェアの更新を開始するためのアクセス許可を付与する Write

domain*

UpdateDomainConfig OpenSearch Service ドメインの設定 (インスタンスタイプやインスタンス数など) を変更するためのアクセス許可を付与する Write

domain*

UpdateElasticsearchDomainConfig OpenSearch Service ドメインの設定 (インスタンスタイプやインスタンス数など) を変更するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに UpdateDomainConfig を使用してください。 Write

domain*

UpdatePackage OpenSearch Service ドメインで使用するパッケージを更新するためのアクセス許可を付与する Write
UpgradeDomain OpenSearch Service ドメインにおいて、特定のバージョンへのアップグレードを開始するためのアクセス許可を付与する Write

domain*

UpgradeElasticsearchDomain OpenSearch Service ドメインにおいて、指定されたバージョンへのアップグレードを開始するためのアクセス許可を付与する このアクセス許可は廃止されました。代わりに UpgradeDomain を使用してください。 Write

domain*

Amazon OpenSearch Service (Amazon Elasticsearch Service の後継サービス) で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
domain arn:${Partition}:es:${Region}:${Account}:domain/${DomainName}

aws:ResourceTag/${TagKey}

es_role arn:${Partition}:iam::${Account}:role/aws-service-role/es.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService

aws:ResourceTag/${TagKey}

opensearchservice_role arn:${Partition}:iam::${Account}:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService

aws:ResourceTag/${TagKey}

Amazon OpenSearch Service (Amazon Elasticsearch Service の後継サービス) の条件キー

Amazon OpenSearch Service (Amazon Elasticsearch Service の後継サービス) は、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義しています。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、使用できるグローバル条件キーを参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} リクエストで渡されたタグに基づいてアクションをフィルタリングする 文字列
aws:ResourceTag/${TagKey} リソースに関連付けられているタグに基づいてアクションをフィルタリングする 文字列
aws:TagKeys リクエストで渡されたタグキーに基づいてアクションをフィルタリングする 文字列