Amazon OpenSearch Ingestion とインターフェイスエンドポイント API (AWS PrivateLink) - Amazon OpenSearch Service
考慮事項利用可能な状況インターフェイス VPC エンドポイントの作成VPC エンドポイントポリシーの作成

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon OpenSearch Ingestion とインターフェイスエンドポイント API (AWS PrivateLink)

インターフェイス VPC エンドポイントを作成することで、VPC と OpenSearch Ingestion API エンドポイント間のプライベート接続を確立できます。インターフェイスエンドポイントは を使用しますAWS PrivateLink

AWS PrivateLink を使用すると、インターネットゲートウェイ、NAT デバイス、VPN 接続、または Direct Connect 接続なしで、OpenSearch Ingestion API オペレーションにプライベートにアクセスできます。VPC 内のリソースは、パイプラインを作成、変更、または削除するために OpenSearch Ingestion API エンドポイントと通信するためにパブリック IP アドレスを必要としません。VPC と OpenSearch Ingestion 間のトラフィックは Amazon ネットワークを離れません。

注記

このトピックでは、OpenSearch Ingestion API にアクセスするための VPC エンドポイントについて説明します。これにより、VPC 内からパイプライン (作成、更新、削除) を管理できます。これは、VPC 内のソースからパイプラインにデータを取り込む方法を制御するパイプライン自体の VPC アクセスの設定とは異なります。パイプラインの VPC アクセスの設定については、「」を参照してくださいAmazon OpenSearch Ingestion パイプラインの VPC アクセスの設定

各インターフェイスエンドポイントは、サブネット内の 1 つ以上の Elastic Network Interface によって表されます。Elastic Network Interface の詳細については、Amazon EC2 ユーザーガイドの「Elastic Network Interface」を参照してください。

VPC エンドポイントの詳細については、「Amazon VPC ユーザーガイド」の「インターフェイス VPC エンドポイント (AWS PrivateLink)」を参照してください。OpenSearch Ingestion API オペレーションの詳細については、OpenSearch Ingestion API リファレンスを参照してください。

VPC エンドポイントに関する考慮事項

OpenSearch Ingestion API エンドポイントのインターフェイス VPC エンドポイントを設定する前に、Amazon VPC ユーザーガイドインターフェイスエンドポイントのプロパティと制限を確認してください。

OpenSearch Ingestion リソースの管理に関連するすべての OpenSearch Ingestion API オペレーションは、 を使用して VPC から使用できます AWS PrivateLink。

VPC エンドポイントポリシーは、OpenSearch Ingestion API エンドポイントでサポートされています。デフォルトでは、OpenSearch Ingestion API オペレーションへのフルアクセスはエンドポイントを介して許可されます。詳細については、「Amazon VPC ユーザーガイド」の「VPC エンドポイントによるサービスのアクセスコントロール」を参照してください。

利用可能な状況

OpenSearch Ingestion API は現在、すべての OpenSearch Ingestion リージョンで VPC エンドポイントをサポートしています。

現時点では、FIPS エンドポイントはサポートされていません。

OpenSearch Ingestion API 用のインターフェイス VPC エンドポイントの作成

OpenSearch Ingestion API の VPC エンドポイントは、Amazon VPC コンソールまたは AWS Command Line Interface () を使用して作成できますAWS CLI。詳細については、「Amazon VPC ユーザーガイド」のインターフェイスエンドポイントの作成を参照してください。

サービス名 を使用して OpenSearch Ingestion API の VPC エンドポイントを作成しますcom.amazonaws.region.osis

エンドポイントのプライベート DNS を有効にすると、 などの AWS リージョンのデフォルト DNS 名を使用して、VPC エンドポイントを使用して OpenSearch Ingestion に API リクエストを行うことができますosis.us-east-1.amazonaws.com

詳細については、「Amazon VPC ユーザーガイド」の「インターフェイスエンドポイントを介したサービスへのアクセス」を参照してください。

OpenSearch Ingestion API 用の VPC エンドポイントポリシーの作成

OpenSearch Ingestion API へのアクセスを制御するエンドポイントポリシーを VPC エンドポイントにアタッチできます。このポリシーでは、以下の情報を指定します。

  • アクションを実行できるプリンシパル。

  • 実行可能なアクション。

  • アクションを実行できるリソース。

詳細については、「Amazon VPC ユーザーガイド」の「VPC エンドポイントでサービスへのアクセスを制御する」を参照してください。

例: OpenSearch Ingestion API アクションの VPC エンドポイントポリシー

OpenSearch Ingestion API のエンドポイントポリシーの例を次に示します。エンドポイントにアタッチすると、このポリシーは、すべてのリソースのすべてのプリンシパルに対して、リストされている OpenSearch Ingestion API アクションへのアクセスを許可します。

{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "osis:CreatePipeline",
            "osis:UpdatePipeline",
            "osis:DeletePipeline"
         ],
         "Resource":"*"
      }
   ]
}
例: 指定された AWS アカウントからのすべてのアクセスを拒否する VPC エンドポイントポリシー

次の VPC エンドポイントポリシーは、エンドポイントを使用したリソースへの123456789012すべてのアクセスを AWS アカウントで拒否します。このポリシーは、他のアカウントからのすべてのアクションを許可します。

{
  "Statement": [
    {
      "Action": "*",
      "Effect": "Allow",
      "Resource": "*",
      "Principal": "*"
    },
    {
      "Action": "*",
      "Effect": "Deny",
      "Resource": "*",
      "Principal": { "AWS": [ "123456789012" ] }
     }
   ]
}