VPC エンドポイントからの OpenSearch UI へのアクセスの管理 - Amazon OpenSearch Service
VPC と OpenSearch UI 間のプライベート接続の作成OpenSearch UI アプリケーションへのアクセスを許可するように VPC エンドポイントポリシーを更新するVPC エンドポイントポリシーでの OpenSearch UI へのアクセスの取り消し

VPC エンドポイントからの OpenSearch UI へのアクセスの管理

AWS PrivateLink を使用して、VPC と OpenSearch UI の間にプライベート接続を確立できます。この接続を使用すると、同じ VPC 内にあるかのように OpenSearch UI アプリケーションにアクセスできます。これにより、インターネットゲートウェイ、NAT デバイス、VPN 接続、または AWS Direct Connect を設定して接続を確立する必要はありません。VPC のインスタンスは、パブリック IP アドレスがなくても OpenSearch UI にアクセスできます。

このプライベート接続を確立するには、まず AWS PrivateLink を利用したインターフェイスエンドポイントを作成します。インターフェースエンドポイントに指定した各サブネットには、エンドポイント用のネットワークインターフェースが自動的に作成されます。これらはリクエスター管理型ネットワークインターフェースであり、OpenSearch UI アプリケーション宛てのトラフィックのエントリポイントとして機能します。

VPC と OpenSearch UI 間のプライベート接続の作成

AWS マネジメントコンソール または AWS CLI を使用して、VPC から OpenSearch UI にアクセスするためのプライベート接続を作成できます。

VPC と OpenSearch UI 間のプライベート接続の作成 (コンソール)

コンソールを使用して VPC と OpenSearch UI 間のプライベート接続を作成するには

  1. Amazon OpenSearch Service コンソール (https://console.aws.amazon.com/aos/home) にサインインします。

  2. 左側のナビゲーションの [サーバーレス] で、[VPC エンドポイント] を選択します。

  3. [Create VPC endpoint] (VPC エンドポイントの作成) を選択します。

  4. [名前] に、エンドポイントの名前を入力します。

  5. [VPC] で OpenSearch UI アプリケーションにアクセスする VPC を選択します。

  6. [サブネット] で、OpenSearch UI アプリケーションにアクセスするサブネットを 1 つ選択します。

    注記

    エンドポイントの IP アドレスと DNS タイプはサブネットタイプに基づいています:

    • デュアルスタック: すべてのサブネットに IPv4 および IPv6 のアドレス範囲が設定されている場合。

    • IPv6: すべてのサブネットが IPv6 のみのサブネットの場合。

    • IPv4: すべてのサブネットに IPv4 アドレス範囲がある場合。

  7. [セキュリティグループ] で、エンドポイントネットワークインターフェイスに関連付けるセキュリティグループを 1 つ以上選択します。

    注記

    このステップでは、エンドポイントに対して承認するインバウンドトラフィックのポート、プロトコル、およびソースを制限しています。OpenSearch UI アプリケーションとの通信に VPC エンドポイントを使用するリソースがエンドポイントのネットワークインターフェイスと通信できるように、セキュリティグループルールが設定されていることを確認します。

  8. 8. [エンドポイントの作成] を選択します。

VPC と OpenSearch UI 間のプライベート接続の作成 (AWS CLI)

AWS CLI を使用して VPC と OpenSearch UI 間のプライベート接続を作成するには

以下のコマンドを実行してください。プレースホルダー値を、ユーザー自身の情報に置き換えます。

aws opensearchserverless create-vpc-endpoint \
    --region region \
    --endpoint endpoint \
    --name vpc_endpoint_name \
    --vpc-id vpc_id \
    --subnet-ids subnet_ids

OpenSearch UI アプリケーションへのアクセスを許可するように VPC エンドポイントポリシーを更新する

プライベート接続を作成したら、VPC エンドポイントポリシーを更新して、アプリケーション ID を指定して VPC エンドポイントポリシーの OpenSearch UI アプリケーションへのアクセスを許可します。

VPC エンドポイントポリシーの更新ついては、「AWS PrivateLink ガイド」の「VPC エンドポイントポリシーの更新」を参照してください。

VPC エンドポイントポリシーに次のステートメントが含まれていることを確認します。プレースホルダー値を、ユーザー自身の情報に置き換えます。

{
    "Statement": [{
        "Action": ["opensearch:*"],
        "Effect": "Allow",
        "Principal": "*",
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "opensearch:ApplicationId": ["opensearch-ui-application-id"]
            }
        }
    }]
}

VPC エンドポイントポリシーでの OpenSearch UI へのアクセスの取り消し

OpenSearch UI では、ユーザーが VPC からアプリケーションにアクセスできるようにするには、VPC エンドポイントポリシーに明示的なアクセス許可が必要です。ユーザーが VPC から OpenSearch UI にアクセスする必要がなくなった場合は、エンドポイントポリシーのアクセス許可を削除できます。その後、OpenSearch UI にアクセスしようとすると、ユーザーに 403 forbidden エラーメッセージが表示されます。

VPC エンドポイントポリシーの更新ついては、「AWS PrivateLink ガイド」の「VPC エンドポイントポリシーの更新」を参照してください。

以下は、VPC からの UI アプリケーションへのアクセスを拒否する VPC エンドポイントポリシーの例です。

{
    "Statement": [{
        "Action": ["opensearch:*"],
        "Effect": "Allow",
        "Principal": "*",
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "opensearch:ApplicationId": [""]
            }
        }
    }]
}