翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon OpenSearch Service での Identity and Access Management
Amazon OpenSearch Service には、ドメインへのアクセスを制御するいくつかの方法が用意されています。このトピックでは、さまざまなポリシータイプ、それぞれがやり取りする方法、および独自のカスタムポリシーを作成する方法を説明します。
**重要**
VPC は OpenSearch Service のアクセス制御へのいくつかの追加考慮事項の導入をサポートしています。詳細については、「[VPC ドメインのアクセスポリシーについて](vpc.md#vpc-security)」を参照してください。
## ポリシーのタイプ
OpenSearch Service はアクセスポリシーの 3 つのタイプをサポートしています。
+ [リソースベースのポリシー](#ac-types-resource)
+ [アイデンティティベースのポリシー](#ac-types-identity)
+ [IP ベースのポリシー](#ac-types-ip)
### リソースベースのポリシー
ドメインを作成するときに、ドメインアクセスポリシーと呼ばれる場合があるリソースベースのポリシーを追加します。これらのポリシーは、ドメインの*サブリソース*でプリンシパルが実行するアクションを指定します ([cross-cluster 検索](cross-cluster-search.md#cross-cluster-search-walkthrough)を除く)。サブリソースには、OpenSearch インデックスおよび API が含まれます。IAM の [Principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) JSON ポリシー要素は、アクセスを許可するアカウント、ユーザー、またはロール (プリンシパル) を指定します。[Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) JSON ポリシー要素は、これらのプリンシパルがアクセスできるサブリソースを指定します。
例えば、次のリソースベースのポリシーでは、`test-domain` のサブリソースへのフルアクセス (`es:*`) が `test-user` に付与されます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/test-user"
]
},
"Action": [
"es:*"
],
"Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*"
}
]
}
```
------
このポリシーには、2 つの重要な考慮事項が適用されます。
+ これらの権限はこのドメインのみに適用されます。他のドメインで同様のポリシーを作成しない限り、`test-user` は `test-domain` にしかアクセスできません。
+ `Resource` 要素の末尾の `/*` は重要であり、リソースベースのポリシーがドメイン自体ではなく、ドメインのサブリソースにのみ適用されることを示します。リソースベースのポリシーでは、`es:*` アクションは `es:ESHttp*` と同等です。
例えば、`test-user` はインデックス (`GET https://search-test-domain.us-west-1.es.amazonaws.com/test-index`) に対してリクエストを行うことができますが、ドメインの設定を更新できません (`POST https://es.us-west-1.amazonaws.com/2021-01-01/opensearch/domain/test-domain/config`)。2 つのエンドポイント間の違いに注目してください。設定 API にアクセスするには [ID ベースのポリシー](#ac-types-identity)が必要です。
ワイルドカードを追加することで、インデックス名の一部を指定できます。次の例では、`commerce` で始まるすべてのインデックスを特定しています。
```
arn:aws:es:us-west-1:987654321098:domain/test-domain/commerce*
```
この場合、ワイルドカードの意味は、`commerce` で始まる名前の `test-domain` のインデックスに `test-user` がリクエストを送信できるということです。
`test-user` をさらに制限するには、次のポリシーを適用することができます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/test-user"
]
},
"Action": [
"es:ESHttpGet"
],
"Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/commerce-data/_search"
}
]
}
```
------
これにより、`test-user` は `commerce-data` インデックスに対する検索で、1 つのオペレーションのみを実行できます。ドメインのその他すべてのインデックスはアクセス不可となり、、`test-user` は、`es:ESHttpPut` または `es:ESHttpPost` アクションを使用する許可なしにドキュメントを追加あるいは変更できなくなります。
次に、パワーユーザーのロールを設定することができます。このポリシーは、`power-user-role` にインデックスのすべての URI に対する HTTP GET メソッドおよび PUT メソッドへのアクセスを付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:role/power-user-role"
]
},
"Action": [
"es:ESHttpGet",
"es:ESHttpPut"
],
"Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/commerce-data/*"
}
]
}
```
------
ドメインが VPC 内にあるか、きめ細かなアクセスコントロールを使用している場合は、オープンドメインアクセスポリシーを使用できます。それ以外の場合、ドメインアクセスポリシーには、プリンシパルまたは IP アドレスによる制限が含まれている必要があります。
使用できるすべてのアクションの詳細については、「[ポリシーエレメントのリファレンス](#ac-reference)」を参照してください。データをより細かく制御するには、[きめ細かなアクセスコントロール](fgac.md)とともにオープンドメインアクセスポリシーを使用します。
### アイデンティティベースのポリシー
各 OpenSearch Service ドメインの一部であるリソースベースのポリシーとは異なり、 AWS Identity and Access Management (IAM) サービスを使用してアイデンティティベースのポリシーをユーザーまたはロールにアタッチします。[リソースベースのポリシー](#ac-types-resource)と同様に、アイデンティティベースのポリシーは、サービスに誰がアクセスできるか、どのアクションキーを実行できるか、そして該当する場合には、これらのアクションを実行できるリソースを指定します。
これらを実行する実際の義務はないため、アイデンティティベースのポリシーはより一般的になる傾向があります。これにより、多くの場合、ユーザーが実行できる設定 API アクションのみ管理されます。これらのポリシーの配置が完了したら、OpenSearch Service でリソースベースのポリシー (または[きめ細かなアクセスコントロール](fgac.md)) を使用して、OpenSearch インデックスおよび API へのアクセスをユーザーに提供できます。
**注記**
AWS 管理`AmazonOpenSearchServiceReadOnlyAccess`ポリシーを持つユーザーは、 コンソールでクラスターのヘルスステータスを表示できません。これらのユーザーがヘルスステータス (および他の OpenSearch データ) を確認できるようにするには、アクセスポリシーに `es:ESHttpGet` アクションを追加し、これをユーザーのアカウントまたはロールにアタッチします。
アイデンティティベースのポリシーはユーザーあるいはロール (プリンシパル) にアタッチされるため、JSON はプリンシパルを指定しません。次のポリシーは、`Describe` および `List` で始まるアクションへのアクセスを付与します。このアクションの組み合わせはドメインの設定への読み取り専用のアクセスを提供しますが、ドメイン自体に保存されたデータへのアクセスは提供しません。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"es:Describe*",
"es:List*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
管理者には、OpenSearch Service およびすべてのドメインに保存された全データへのフルアクセス権がある場合があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"es:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
ID ベースのポリシーでは、タグを使用して設定 API へのアクセスを制御できます。例えば、次のポリシーでは、ドメインに `team:devops` タグがある場合、アタッチされたプリンシパルがドメインの設定を表示および更新できるようにします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"es:UpdateDomainConfig",
"es:DescribeDomain",
"es:DescribeDomainConfig"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:ResourceTag/team": [
"devops"
]
}
}
}]
}
```
------
タグを使用して、OpenSearch API へのアクセスを制御することもできます。OpenSearch API のタグベースのポリシーは、HTTP メソッドにのみ適用されます。例えば、次のポリシーでは、ドメインに `environment:production` タグがある場合、接続されたプリンシパルが GET および PUT リクエストを OpenSearch API に送信できます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"es:ESHttpGet",
"es:ESHttpPut"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:ResourceTag/environment": [
"production"
]
}
}
}]
}
```
------
OpenSearch API をよりきめ細かく制御するには、[きめ細かいアクセス制御](fgac.md) の使用を検討してください。
**注記**
1 つ以上の OpenSearch API をタグベースのポリシーに追加した後、変更をドメインで有効にするには、単一の [タグオペレーション](managedomains-awsresourcetagging.md) (タグの追加、削除、変更など) を実行する必要があります。タグベースのポリシーに OpenSearch API オペレーションを含めるには、サービスソフトウェア R20211203 以降を使用している必要があります。
OpenSearch サービスは、OpenSearch API ではなく、設定 API の `RequestTag` および `TagKeys` グローバル条件キーをサポートします。これらの条件は、リクエスト内にタグを含む API 呼び出し (`CreateDomain`、`AddTags`、および `RemoveTags` など) にのみ適用されます。次のポリシーでは、アタッチされたプリンシパルがドメインを作成できるようにしますが、それは、`team:it` タグをリクエストに含めた場合のみです。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"es:CreateDomain",
"es:AddTags"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/team": [
"it"
]
}
}
}
}
```
------
アクセスコントロールにタグを使用する方法と、リソースベースのポリシーとアイデンティティベースのポリシーの違いの詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。
### IP ベースのポリシー
IP ベースのポリシーは、1 つ以上の IP アドレスあるいは CIDR ブロックにドメインへのアクセスを制限します。技術的には、IP ベースのポリシーは異なるタイプのポリシーではありません。これらのポリシーは、匿名のプリンシパルを指定し、特別な Condition を含む、リソースベースのポリシーです。詳細については、「*IAM ユーザーガイド*」の「[IAM JSON ポリシー要素 Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)」を参照してください。
IP ベースのポリシーの最大の特徴は、OpenSearch Service ドメインへの署名なしのリクエストを許可することです。これにより、[curl](https://curl.haxx.se/) や [OpenSearch Dashboards](dashboards.md) などのクライアントを使用したり、プロキシサーバーを介してドメインにアクセスしたりすることができます。詳細については[プロキシを使用して Dashboards から OpenSearch Service にアクセスする](dashboards.md#dashboards-proxy)を参照してください。
**注記**
ドメインで VPC アクセスを有効にすると、IP ベースのポリシーを設定することはできません。代わりに、どの IP アドレスがドメインにアクセスできるかを制御する `security groups` を使用できます。詳細については、以下の各トピックを参照してください。
[VPC ドメインのアクセスポリシーについて](vpc.md#vpc-security)
*「Amazon VPC ユーザーガイド*」の[「セキュリティグループを使用して AWS リソースへのトラフィックを制御する](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)」
以下のポリシーは、指定された IP 範囲からのすべての HTTP リクエストが `test-domain` にアクセスする許可を付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"es:ESHttp*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24"
]
}
},
"Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*"
}
]
}
```
------
ドメインにパブリックエンドポイントがあり、[きめ細かなアクセスコントロール](fgac.md)を使用しない場合は、IAM プリンシパルと IP アドレスを組み合わせることをお勧めします。このポリシーでは、指定した IP 範囲からのリクエストの場合にのみ、`test-user` HTTP アクセスを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::987654321098:user/test-user"
]
},
"Action": [
"es:ESHttp*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24"
]
}
},
"Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*"
}]
}
```
------
# OpenSearch Service リクエストの作成と署名
完全にオープンなリソースベースのポリシーを設定する場合、OpenSearch Service 設定 API への*すべての*リクエストは署名付きである必要があります。ポリシーで IAM ロールまたはユーザーが指定されている場合、OpenSearch APIs へのリクエストも AWS 署名バージョン 4 を使用して署名する必要があります。署名メソッドは API によって異なります。
+ OpenSearch Service 設定 API 呼び出しを行うには、[AWS SDK](https://docs.aws.amazon.com/sdkref/latest/guide/overview.html) のいずれかを使用することが推奨されます。SDK を使用するほうが、独自のリクエストを作成し署名するよりも、プロセスが簡素化し、大幅な時間の節約ができます。API エンドポイント設定には次の形式を使用します。
```
es.region.amazonaws.com/2021-01-01/
```
例えば、次のリクエストは、`movies` ドメインの設定を変更しますが、自分で署名する必要があります (お勧めしません)。
```
POST https://es.us-east-1.amazonaws.com/2021-01-01/opensearch/domain/movies/config
{
"ClusterConfig": {
"InstanceType": "c5.xlarge.search"
}
}
```
[Boto 3](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/opensearch.html#OpenSearchService.Client.update_domain_config) などのいずれかの SDK を使用する場合、SDK はリクエスト署名を自動的に処理します。
```
import boto3
client = boto3.client(es)
response = client.update_domain_config(
DomainName='movies',
ClusterConfig={
'InstanceType': 'c5.xlarge.search'
}
)
```
Java コードの例については、「[AWS SDKs を使用して Amazon OpenSearch Service を操作する](configuration-samples.md)」を参照してください。
+ OpenSearch API への呼び出しを行うには、独自リクエストに署名する必要があります。OpenSearch API は、次の形式を使用します。
```
domain-id.region.es.amazonaws.com
```
例えば、次のリクエストは、*thor* の `movies` インデックスを検索します。
```
GET https://my-domain.us-east-1.es.amazonaws.com/movies/_search?q=thor
```
**注記**
このサービスは、署名バージョン 4 で署名された HTTP POST リクエストの URL で渡されるパラメータを無視します。
## 複数のポリシーが衝突する場合
複数のポリシーが同意しない、あるいはユーザーを明示的に指定しない場合、困難が生じます。「*IAM ユーザーガイド*」の「[IAM の仕組み](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html)」では、ポリシーの評価ロジックの簡略な概要を説明しています。
+ デフォルトでは、すべてのリクエストが拒否されます。
+ 明示的な許可はこのデフォルトに優先します。
+ 明示的な拒否はすべての許可に上書きされます。
例えば、リソースベースのポリシーがドメインサブリソース (OpenSearch インデックスまたは API) にアクセスを許可しているが、アイデンティティベースのポリシーはアクセスを拒否するため、アクセスは拒否されます。アイデンティティベースのポリシーとリソースベースのポリシーによってユーザーがアクセス許可を持つべきかを指定いない場合、アクセスは許可されます。ドメインサブリソースのすべての結果の概要における交差するポリシーの図を以下で参照してください。
****
| | リソースベースのポリシーで許可 | リソースベースのポリシーで拒否 | リソースベースのポリシーで許可あるいは拒否されない |
| --- |--- |--- |--- |
| **Allowed in identity-based policy** | 許可 | Deny | Allow |
| --- |--- |--- |--- |
| **Denied in identity-based policy** | Deny | Deny | Deny |
| --- |--- |--- |--- |
| **Neither allowed nor denied in identity-based policy** | Allow | Deny | Deny |
| --- |--- |--- |--- |
## ポリシーエレメントのリファレンス
OpenSearch Service では、「[IAM ポリシーエレメントのリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html)」のほとんどのポリシー要素がサポートされています (`NotPrincipal` は除く)。次の表は、最も一般的なエレメントを示しています。
****
| JSON ポリシーエレメント | 概要 |
| --- | --- |
| Version | ポリシー言語の最新バージョンは `2012-10-17` です。すべてのアクセスポリシーでこの値を指定する必要があります。 |
| Effect | このエレメントは、指定されたアクションへのアクセスをステートメントが許可するか拒否するかを指定します。有効な値は `Allow` または `Deny` です。 |
| Principal | この要素は、リソースへのアクセスを許可または拒否し、いくつかの形式を取ることができる AWS アカウント または IAM ロールまたはユーザーを指定します。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/opensearch-service/latest/developerguide/ac.html) `*` ワイルドカードを指定すると、ドメインへの匿名アクセスが有効になります。これは [IP ベースの条件](#ac-types-ip)を追加する、[VPC サポート](vpc.md)を使用する、または[きめ細かなアクセスコントロール](fgac.md)を有効にしない限り、お勧めしません。さらに、次のポリシーを注意深く調べて、広範なアクセスが許可されていないことを確かめてください。 関連する AWS プリンシパル (IAM ロールなど) にアタッチされているアイデンティティベースのポリシー 関連付けられた AWS リソースにアタッチされたリソースベースのポリシー ( AWS Key Management Service KMS キーなど) |
| Action | OpenSearch Service は、OpenSearch HTTP メソッドに対して `ESHttp*` アクションを使用します。残りのアクションは設定 API に適用されます。特定の `es:` アクションは、リソースレベルの許可をサポートします。例えば、*すべて*のドメインを削除する許可を付与せずに、1 つの特定のドメインのみ削除する許可をユーザーに付与することができます。その他のアクションはサービス自体に適用されます。例えば、`es:ListDomainNames` は単一ドメインのコンテキストでは意味を成しませんが、それでもワイルドカードを必要とします。使用可能なすべてのアクションのリストと、それらがドメインのサブリソース (`test-domain/*`) に適用されるのか、ドメイン設定 (`test-domain`) に適用されるのか、サービス (`*`) のみに適用されるのかについては、「*サービス認証リファレンス*」の「[Actions, resources, and condition keys for Amazon OpenSearch Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchservice.html)」を参照してくださいリソースベースのポリシーは、リソースレベルのアクセス権限とは異なっています。[リソースベースのポリシー](#ac-types-resource) は、ドメインにアタッチする完全な JSON ポリシーです。リソースレベルのアクセス許可は、特定のドメインあるいはサブリソースにアクションを制限します。実際には、リソースレベルのアクセス許可はリソース、あるいはアイデンティティベースのポリシーのオプションの一部として捉えることができます。`es:CreateDomain` へのリソースレベルのアクセス権限は直観的ではないように見えることがあります。(つまり、すでに存在するドメインを作成するアクセス権限をなぜユーザーに付与するのでしょうか?) ワイルドカードの使用でドメインに簡単な命名スキームを適用できます (`"Resource": "arn:aws:es:us-west-1:987654321098:domain/my-team-name-*"` など)。もちろん、次のように、制限がより緩和されたリソース要素のアクションを含めることもできます。 JSON
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"es:ESHttpGet",
"es:DescribeDomain"
],
"Resource": "*"
}
]
}
``` アクションとリソースのペアリングについての詳細は、テーブルの `Resource` 要素を参照してください。 |
| Condition | OpenSearch Service は、*IAM ユーザーガイド*の「[AWS グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#AvailableKeys)」に記載されているほとんどの条件をサポートします。注目すべき例外は、OpenSearch Service がサポートしていない `aws:PrincipalTag` キーがあることです。 [IP ベースのポリシー](#ac-types-ip)を設定する場合、次に示すように、IP アドレスまたは CIDR ブロックを条件として指定します。 "Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/32"
]
}
} [アイデンティティベースのポリシー](#ac-types-identity) に記載されているように、`aws:ResourceTag`、`aws:RequestTag`、および `aws:TagKeys` 条件キーは、設定 API と OpenSearch API に適用されます。 |
| Resource | OpenSearch サービスは、3 つの基本的な方法で `Resource` エレメントを使用します。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/opensearch-service/latest/developerguide/ac.html) どのアクションがリソースレベルのアクセス権限をサポートするかの詳細については、このテーブルの `Action` 要素を参照してください。 |
## 詳細オプションと API に関する考慮事項
OpenSearch Service にはいくつかの詳細オプションがあり、その 1 つにはアクセスコントロールが関連します (`rest.action.multi.allow_explicit_index`)。デフォルト設定の true では、特定の状況下でユーザーがサブリソースへのアクセス権限を回避することが許可されます。
例えば、次のリソースベースのポリシーを考えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/test-user"
]
},
"Action": [
"es:ESHttp*"
],
"Resource": [
"arn:aws:es:us-west-1:987654321098:domain/test-domain/test-index/*",
"arn:aws:es:us-west-1:987654321098:domain/test-domain/_bulk"
]
},
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/test-user"
]
},
"Action": [
"es:ESHttpGet"
],
"Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/restricted-index/*"
}
]
}
```
------
このポリシーは、`test-user` に `test-index` および OpenSearch バルク API へのフルアクセスを付与します。また、`GET` への `restricted-index` リクエストを許可します。
次のインデックスリクエストは、見てわかるように、アクセス権限エラーによって失敗します。
```
PUT https://search-test-domain.us-west-1.es.amazonaws.com/restricted-index/movie/1
{
"title": "Your Name",
"director": "Makoto Shinkai",
"year": "2016"
}
```
インデックス API とは異なり、バルク API では、単一の呼び出しで多くのドキュメントの作成、更新、削除を実行できます。多くの場合、これらのオペレーションはリクエスト URL ではなく、リクエストの本文で指定します。OpenSearch Service が URL を使用してドメインサブリソースへのアクセスを制御するため、`test-user` は、結果的にバルク API を使用して `restricted-index` に変更を加えることができます。ユーザーにはインデックスで `POST` アクセス権限が欠如していますが、次のリクエストは**成功**します。
```
POST https://search-test-domain.us-west-1.es.amazonaws.com/_bulk
{ "index" : { "_index": "restricted-index", "_type" : "movie", "_id" : "1" } }
{ "title": "Your Name", "director": "Makoto Shinkai", "year": "2016" }
```
このような状況では、アクセスポリシーはその目的達成に失敗します。ユーザーがこれらの制限を回避することを防ぐためには、`rest.action.multi.allow_explicit_index` を false に変更できます。この値が false の場合、リクエストボディでインデックス名を指定するバルク、mget、および msearch API へのすべての呼び出し動作は停止します。つまり、`_bulk` への呼び出しは機能しなくなりますが、`test-index/_bulk` への呼び出しは動作します。この 2 番目のエンドポイントにはインデックス名が含まれるため、リクエストボディにそれを指定する必要はありません。
[OpenSearch Dashboards](dashboards.md) は mget および msearch に大きく依存しています。そのため、この変更後には正常に動作しないことが予想されます。部分的な解決策としては、`rest.action.multi.allow_explicit_index` を true のまま残して、特定のユーザーが 1 つ以上の API にアクセスすることを拒否します。
この設定の変更については、「[高度なクラスター設定](createupdatedomains.md#createdomain-configure-advanced-options)」を参照してください。
同様に、以下のリソースベースのポリシーには 2 つの小さな問題があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/test-user"
},
"Action": "es:ESHttp*",
"Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*"
},
{
"Effect": "Deny",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/test-user"
},
"Action": "es:ESHttp*",
"Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/restricted-index/*"
}
]
}
```
------
+ 明示的な拒否にも関わらず、`test-user` が `GET https://search-test-domain.us-west-1.es.amazonaws.com/_all/_search` や `GET https://search-test-domain.us-west-1.es.amazonaws.com/*/_search` などの呼び出しを実行して、`restricted-index` のドキュメントにアクセスできることです。
+ `Resource` エレメントレファレンス `restricted-index/*` により、`test-user` はインデックスのドキュメントに直接アクセスする権限がありません。しかし、ユーザーには*インデックス全体を削除する*権限があります。アクセスと削除を防ぐには、このポリシーで `restricted-index*` を指定する必要があります。
広範囲な許可と一部の拒否を混合するよりは、[最小限の権限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)の原則を守り、タスクを実行するために必要なアクセス権限のみを付与することが最も安全なアプローチです。個々のインデックスまたは OpenSearch オペレーションに対するアクセスコントロールの詳細については、[Amazon OpenSearch Service のきめ細かなアクセスコントロール](fgac.md) を参照してください。
**重要**
\$1 ワイルドカードを指定すると、ドメインへの匿名アクセスが有効になります。ワイルドカードを使用することはお勧めしません。さらに、以下のポリシーを注意深く調べて、広範なアクセスが許可されていないことを確かめてください。
関連付けられた AWS プリンシパルにアタッチされたアイデンティティベースのポリシー (IAM ロールなど)
関連付けられたリソースにアタッチされた AWS リソースベースのポリシー ( AWS Key Management Service KMS キーなど)
## アクセスポリシーの設定
+ リソースの作成あるいは変更、そして OpenSearch Service の IP ベースのポリシーに関する説明は、「[アクセスポリシーの設定](createupdatedomains.md#createdomain-configure-access-policies)」を参照してください。
+ IAM でアイデンティティベースのポリシーを作成または変更する方法については、「*IAM ユーザーガイド*」の「[カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。
## 追加のサンプルポリシー
この章には多くのサンプルポリシーが含まれていますが、 AWS アクセスコントロールは複雑なテーマであり、例を通じて最もよく理解できます。詳細については、*IAM ユーザーガイド*の「[IAM アイデンティティベースのポリシーの例](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_examples.html)」を参照してください。
# Amazon OpenSearch Service API のアクセス許可リファレンス
[アクセスコントロール](ac.md)をセットアップするときに、IAM ID (アイデンティティベースのポリシー) にアタッチできるアクセス許可ポリシーを記述します。詳細なリファレンスについては「**サービス認可リファレンスガイド」で以下のトピックを参照してください。
+ [OpenSearch Service のアクション、リソース、条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchservice.html)
+ [OpenSearch Ingestion のアクション、リソース、条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_opensearchingestionservice.html)
このリファレンスには、IAM ポリシーで使用できる API オペレーションに関する情報が含まれています。また、アクセス許可を付与できる AWS リソースと、きめ細かなアクセスコントロールのために含めることができる条件キーも含まれます。
ポリシーの `Action` フィールドにアクションを、ポリシーの `Resource` フィールドにリソース値を、ポリシーの `Condition` フィールドに条件を指定します。OpenSearch Service のアクションを指定するには、API オペレーション名 (`es:CreateDomain` など) の前に `es:` プレフィックスを使用します。OpenSearch Ingestion のアクションを指定するには、API オペレーション (`osis:CreatePipeline` など) の前に `osis:` プレフィックスを使用します。
# AWS Amazon OpenSearch Service の マネージドポリシー
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を付与するように設計されています。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が高くなります。
詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
## AmazonOpenSearchDirectQueryGlueCreateAccess
Amazon OpenSearch Service Direct Query Service に、`CreateDatabase`、`CreatePartition``CreateTable`、および へのアクセスを許可します`BatchCreatePartition` AWS Glue API。
[AmazonOpenSearchDirectQueryGlueCreateAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchDirectQueryGlueCreateAccess) ポリシーは、IAM コンソールにあります。
## AmazonOpenSearchServiceFullAccess
AWS アカウントのために OpenSearch Service 設定 API オペレーションとリソースへのフルアクセス権を付与します。
[AmazonOpenSearchServiceFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServiceFullAccess) ポリシーは、IAM コンソールにあります。
## AmazonOpenSearchServiceReadOnlyAccess
のすべての OpenSearch Service リソースへの読み取り専用アクセスを許可します AWS アカウント。
[AmazonOpenSearchServiceReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServiceReadOnlyAccess) ポリシーは、IAM コンソールにあります。
## AmazonOpenSearchServiceRolePolicy
IAM エンティティに `AmazonOpenSearchServiceRolePolicy` をアタッチすることはできません。このポリシーは、OpenSearch Service がアカウントリソースにアクセスすることを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「[アクセス許可](slr-aos.md#slr-permissions)」を参照してください。
[AmazonOpenSearchServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServiceRolePolicy) ポリシーは、IAM コンソールにあります。
## AmazonOpenSearchServiceCognitoAccess
[Cognito 認証](cognito-auth.md)を有効にするために必要な最小限の Amazon Cognito の許可を提供します。
[AmazonOpenSearchServiceCognitoAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServiceCognitoAccess) ポリシーは、IAM コンソールにあります。
## AmazonOpenSearchIngestionServiceRolePolicy
IAM エンティティに `AmazonOpenSearchIngestionServiceRolePolicy` をアタッチすることはできません。このポリシーは、OpenSearch Ingestion が、インジェストパイプラインへの VPC アクセスを有効にし、タグを作成し、インジェスト関連の CloudWatch メトリクスをアカウントに公開することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「[Amazon OpenSearch Service 用のサービスにリンクされたロールの使用](slr.md)」を参照してください。
[AmazonOpenSearchServerlessServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionServiceRolePolicy) ポリシーは、IAM コンソールにあります。
## OpenSearchIngestionSelfManagedVpcePolicy
IAM エンティティに `OpenSearchIngestionSelfManagedVpcePolicy` をアタッチすることはできません。このポリシーは、OpenSearch Ingestion が、インジェストパイプラインへの セルフマネージド VPC アクセスを有効にし、タグを作成し、インジェスト関連の CloudWatch メトリクスをアカウントに公開することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「[Amazon OpenSearch Service 用のサービスにリンクされたロールの使用](slr.md)」を参照してください。
[OpenSearchIngestionSelfManagedVpcePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/OpenSearchIngestionSelfManagedVpcePolicy) ポリシーは IAM コンソールにあります。
## AmazonOpenSearchIngestionFullAccess
AWS アカウントのために、OpenSearch Ingestion API オペレーションとリソースへの完全なアクセスを許可します。
[AmazonOpenSearchIngestionFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionFullAccess) ポリシーは、IAM コンソールにあります。
## AmazonOpenSearchIngestionReadOnlyAccess
AWS アカウントのためにすべての OpenSearch Ingestion リソースへの読み取り専用アクセスを許可します。
[AmazonOpenSearchIngestionReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionReadOnlyAccess) ポリシーは、IAM コンソールにあります。
## AmazonOpenSearchServerlessServiceRolePolicy
OpenSearch Serverless メトリクスデータを CloudWatch に送信するために必要な最小限の Amazon CloudWatch アクセス許可を提供します。
[AmazonOpenSearchServerlessServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServerlessServiceRolePolicy) ポリシーは、IAM コンソールにあります。
## AWS 管理ポリシーに対する OpenSearch Service の更新
このサービスが変更の追跡を開始してからの OpenSearch Service の AWS マネージドポリシーの更新に関する詳細を表示します。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| `AmazonOpenSearchIngestionServiceRolePolicy` を更新しました | この更新により、OpenSearch Ingestion に対して OpenSearch が作成した VPC エンドポイントを変更するアクセス許可が付与され、VPC 間でパイプラインを共有することができるようになります。 ポリシーの JSON については、「[IAM コンソール](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionServiceRolePolicy)」を参照してください。 | 2025 年 8 月 28 日 |
| `AmazonOpenSearchServiceRolePolicy` を更新しました | 以下のステートメントをポリシーに追加しました。Amazon OpenSearch Service が `AWSServiceRoleForAmazonOpenSearchService` サービスにリンクされたロールを引き受けると、ポリシー内のこの新しいステートメントにより、OpenSearch は OpenSearch のみが管理する AWS IAM アイデンティティセンター アプリケーションのアクセス範囲を更新できます。{
"Effect": "Allow",
"Action": "sso:PutApplicationAccessScope",
"Resource": "arn:aws:sso::*:application/*/*",
"Condition": {
"StringEquals": {
"aws:ResourceOrgID": "${aws:PrincipalOrgID}"
}
}
} | 2025 年 3 月 31 日 |
| `AmazonOpenSearchServerlessServiceRolePolicy` を更新 | ポリシー `AmazonOpenSearchServerlessServiceRolePolicy` に SID `AllowAOSSCloudwatchMetrics` を追加しました。SID は、ポリシーステートメントのオプションの識別子として機能するステートメント ID です。 | 2024 年 7 月 12 日 |
| 「`OpenSearchIngestionSelfManagedVpcePolicy`」を追加 | OpenSearch Ingestion が、インジェストパイプラインへのセルフマネージド VPC アクセスを有効にし、タグを作成し、インジェスト関連の CloudWatch メトリクスをアカウントに公開することを許可する、新しいポリシーです。 ポリシーの JSON については、「[IAM コンソール](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionServiceRolePolicy)」を参照してください。 | 2024 年 6 月 12 日 |
| `AmazonOpenSearchDirectQueryGlueCreateAccess` を追加 | Amazon OpenSearch Service Direct Query Service に、`CreateDatabase`、`CreatePartition``CreateTable`、および へのアクセスを許可します`BatchCreatePartition` AWS Glue API。 | 2024 年 5 月 6 日 |
| 「`AmazonOpenSearchServiceRolePolicy`」と「`AmazonElasticsearchServiceRolePolicy`」の更新 | [サービスにリンクされたロール](slr-aos.md#slr-permissions)が IPv6 アドレスの割り当てと割り当て解除を行うために必要なアクセス許可が追加されました。 廃止された Elasticsearch ポリシー も下位互換性を確保するために更新されました。 | 2023 年 10 月 18 日 |
| 「`AmazonOpenSearchIngestionServiceRolePolicy`」を追加 | OpenSearch Ingestion が、インジェストパイプラインへの VPC アクセスを有効にし、タグを作成し、インジェスト関連の CloudWatch メトリクスをアカウントに公開することを許可する、新しいポリシーです。 ポリシーの JSON については、「[IAM コンソール](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionServiceRolePolicy)」を参照してください。 | 2023 年 4 月 26 日 |
| 「`AmazonOpenSearchIngestionFullAccess`」を追加 | AWS アカウントのために、OpenSearch Ingestion API オペレーションとリソースへの完全なアクセスを許可する新しいポリシーです。 ポリシーの JSON については、「[IAM コンソール](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionFullAccess)」を参照してください。 | 2023 年 4 月 26 日 |
| 「`AmazonOpenSearchIngestionReadOnlyAccess`」を追加 | AWS アカウントのためにすべての OpenSearch Ingestion リソースへの読み取り専用アクセスを許可する新しいポリシーです。 ポリシーの JSON については、「[IAM コンソール](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionReadOnlyAccess)」を参照してください。 | 2023 年 4 月 26 日 |
| 「`AmazonOpenSearchServerlessServiceRolePolicy`」を追加 | OpenSearch Serverless のメトリクスデータを Amazon CloudWatchに送信するために必要な最小限のアクセス許可を提供する新しいポリシーです。 ポリシーの JSON については、「[IAM コンソール](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServerlessServiceRolePolicy)」を参照してください。 | 2022 年 11 月 29 日 |
| 「`AmazonOpenSearchServiceRolePolicy`」と「`AmazonElasticsearchServiceRolePolicy`」の更新 | [サービスにリンクされたロール](slr-aos.md#slr-permissions)が [OpenSearch Service で管理される VPC エンドポイント](slr-aos.md#slr-permissions)を作成するために必要なアクセス許可を追加しました。アクションには、リクエストにタグ `OpenSearchManaged=true` が含まれていないと実行できないものがあります。 廃止された Elasticsearch ポリシー も下位互換性を確保するために更新されました。 | 2022 年 11 月 7 日 |
| 「`AmazonOpenSearchServiceRolePolicy`」と「`AmazonElasticsearchServiceRolePolicy`」の更新 | OpenSearch クラスターメトリクスを Amazon CloudWatch に発行するために必要な `PutMetricData` アクションのサポートが追加されました。 廃止された Elasticsearch ポリシー も下位互換性を確保するために更新されました。 ポリシーの JSON については、「[IAM コンソール](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServiceRolePolicy)」を参照してください。 | 2022 年 9 月 12 日 |
| 「`AmazonOpenSearchServiceRolePolicy`」と「`AmazonElasticsearchServiceRolePolicy`」の更新 | `acm` リソースタイプのサポートを追加しました。このポリシーは、[カスタムエンドポイント](customendpoint.md)が有効なドメインを作成および更新するために、[サービスにリンクされたロール](slr-aos.md#slr-permissions)が ACM リソースを検証および検証するために必要な最小限の AWS Certificate Manager (ACM) 読み取り専用アクセス許可を提供します。 非推奨の Elasticsearch ポリシーも、下位互換性を確保するために更新されました。 | 2022 年 7 月 28 日 |
| 「`AmazonOpenSearchServiceCognitoAccess`」および「`AmazonESCognitoAccess`」を更新しました。 | `UpdateUserPoolClient`アクション用のサポートを追加します。Elasticsearch から OpenSearch へのアップグレード時に、Cognito user pool を設定するために必要です。 `SetIdentityPoolRoles`すべてのリソースへのアクセスを許可するアクションの権限を修正しました。 非推奨の Elasticsearch ポリシーも、下位互換性を確保するために更新されました。 | 2021 年 12 月 20 日 |
| `AmazonOpenSearchServiceRolePolicy` を更新 | `security-group` リソースタイプのサポートを追加しました。このポリシーは、[VPC アクセス](cognito-auth.md)を有効にするために、[サービスにリンクされたロール](slr-aos.md#slr-permissions)で必要な最小限の Amazon EC2 および Elastic Load Balancing の許可を提供します。 | 2021 年 9 月 9 日 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/opensearch-service/latest/developerguide/ac-managed.html) | この新しいポリシーは、古いポリシーを置き換えるためのものです。どちらのポリシーも、OpenSearch Service 設定 API および OpenSearch API のすべての HTTP メソッドへのフルアクセスを提供します。[きめ細かなアクセスコントロール](fgac.md)および[リソースベースのポリシー](ac.md#ac-types-resource)は引き続きアクセスを制限できます。 | 2021 年 9 月 7 日 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/opensearch-service/latest/developerguide/ac-managed.html) | この新しいポリシーは、古いポリシーを置き換えるためのものです。どちらのポリシーも、OpenSearch Service 設定 API (`es:Describe*`、`es:List*`、および`es:Get*`) への読み取り専用アクセスを許可しますが、OpenSearch API の HTTP メソッドへのアクセスは許可*しません*。 | 2021 年 9 月 7 日 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/opensearch-service/latest/developerguide/ac-managed.html) | この新しいポリシーは、古いポリシーを置き換えるためのものです。どちらのポリシーも、[Cognito 認証](cognito-auth.md)を有効にするために必要な最小限の Amazon Cognito の許可を提供します。 | 2021 年 9 月 7 日 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/opensearch-service/latest/developerguide/ac-managed.html) | この新しいポリシーは、古いポリシーを置き換えるためのものです。どちらのポリシーも、[VPC アクセス](cognito-auth.md)を有効にするために、[サービスにリンクされたロール](slr-aos.md#slr-permissions)で必要な最小限の Amazon EC2 および Elastic Load Balancing の許可を提供します。 | 2021 年 9 月 7 日 |
| 変更の追跡を開始しました | Amazon OpenSearch Service は、 AWS管理ポリシーの変更を追跡するようになりました。 | 2021 年 9 月 7 日 |