翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon OpenSearch Ingestion パイプラインにドメインへのアクセスを付与する
<a name="pipeline-domain-access"></a>

Amazon OpenSearch Ingestion パイプラインが、シンクとして設定されている OpenSearch Service ドメインに書き込みを行うには、アクセス許可が必要です。アクセスを提供するには、パイプラインがデータを送信しているドメインへのアクセスを制限する制限付きアクセス許可ポリシーで AWS Identity and Access Management (IAM) ロールを設定します。例えば、このユースケースをサポートするために必要なドメインとインデックスのみに、取り込みパイプラインを制限するとします。

**重要**  
パイプラインロールを手動で作成することも、パイプラインの作成時に OpenSearch Ingestion に作成させることもできます。自動ロール作成を選択した場合、OpenSearch Ingestion は、選択したソースとシンクに基づいて、パイプラインロールのアクセスポリシーに必要なすべてのアクセス許可を追加します。プレフィックス `OpenSearchIngestion-` と入力したサフィックスを使用して、IAM にパイプラインロールを作成します。詳細については、「[パイプラインロール](pipeline-security-overview.md#pipeline-security-sink)」を参照してください。  
OpenSearch Ingestion でパイプラインロールを作成している場合は、そのロールをドメインアクセスポリシーに含め、パイプラインの作成前または作成後にバックエンドロール (ドメインが詳細なアクセスコントロールを使用している場合) にマッピングする必要があります。手順については、ステップ 2 を参照してください。

**Topics**
+ [ステップ 1: パイプラインロールを作成する](#pipeline-access-configure)
+ [ステップ 2: ドメインのデータアクセスを設定する](#pipeline-access-domain)

## ステップ 1: パイプラインロールを作成する
<a name="pipeline-access-configure"></a>

パイプラインロールには、データをドメインシンクへ送信できるようにするアクセス許可ポリシーをアタッチしてある必要があります。また、OpenSearch Ingestion にこのロールの引き受けを許可する信頼関係も必要になります。ポリシーをロールにアタッチする方法については、「*IAM ユーザーガイド*」の「[IAM ID アクセス許可の追加](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)」を参照してください。

次のポリシー例では、単一ドメインへの書き込みを可能にするパイプラインで提供可能な[最小特権](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)が付与されています。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "es:DescribeDomain",
            "Resource": "arn:aws:es:*:111122223333:domain/*"
        },
        {
            "Effect": "Allow",
            "Action": "es:ESHttp*",
            "Resource": "arn:aws:es:*:111122223333:domain/domain-name/*"
        }
    ]
}
```

------

ロールを再利用して複数のドメインに書き込む場合は、ドメイン名をワイルドカード文字 (`*`) に置き換えることでポリシーの範囲を広げることができます。

このロールには次の[信頼関係](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy)が必要です。この信頼関係により、OpenSearch Ingestion はパイプラインのロールを引き受けることができます。

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"osis-pipelines.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}
```

------

## ステップ 2: ドメインのデータアクセスを設定する
<a name="pipeline-access-domain"></a>

パイプラインがドメインにデータを書き込むには、sts\$1role\$1arn パイプラインロールにドメインへのアクセスを許可する[ドメインレベルのアクセスポリシー](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource)が、このドメインに必要になります。

次のドメインアクセスポリシーの例では、`pipeline-role` と言う名前のパイプラインロールに、`ingestion-domain` と言う名前のドメインへのデータの書き込みが許可されています。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/pipeline-role"
            },
            "Action": [
                "es:DescribeDomain",
                "es:ESHttp*"
            ],
            "Resource": "arn:aws:es:us-east-1:111122223333:domain/domain-name/*"
        }
    ]
}
```

------

### パイプラインロールをマッピングする (詳細なアクセスコントロールを使用するドメインについてのみ)
<a name="pipeline-access-domain-fgac"></a>

ドメインが、認証用に[詳細なアクセス制御](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac.html)を使用している場合は、パイプラインにドメインへのアクセスを許可するには、追加の手順が必要になります。この手順は、ドメインの設定によって異なります。
+ **シナリオ 1: マスターロールとパイプラインロールが異なる** – IAM Amazon リソースネーム (ARN) をマスターユーザーとして使用し、これが、パイプラインロールとは*異なる*場合、パイプラインロールを OpenSearch `all_access` バックエンドロールにマッピングする必要があります。これにより、パイプラインロールが追加のマスターユーザーとして追加されます。詳細については、「[追加のマスターユーザー](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac.html#fgac-more-masters)」を参照してください。
+ **シナリオ 2: 内部ユーザーデータベースのマスターユーザー** — ドメインで内部ユーザーデータベースのマスターユーザーと、OpenSearch Dashboards の HTTP 基本認証を使用している場合、マスターユーザー名とパスワードを、パイプライン設定に直接渡すことはできません。代わりに、パイプラインロールを OpenSearch `all_access` バックエンドロールにマッピングします。これにより、パイプラインロールが追加のマスターユーザーとして追加されます。詳細については、「[追加のマスターユーザー](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac.html#fgac-more-masters)」を参照してください。
+ **シナリオ 3: マスターロールとパイプラインロールが同じ (まれなシナリオ)** – IAM ARN をマスターユーザーとして使用し、パイプラインロールとして使用している ARN がこれと同じである場合、追加の操作は必要ありません。このパイプラインは、ドメインへの書き込みに必要なアクセス許可がすでにあります。ほとんどの環境では、管理者ロールまたは他のロールをマスターロールとして使用するため、これはまれなシナリオです。

次の図は、パイプラインのロールをバックエンドロールにマッピングする方法を示したものです。

![\[Backend roles section showing an AWSIAM role ARN for a pipeline role with a Remove option.\]](http://docs.aws.amazon.com/ja_jp/opensearch-service/latest/developerguide/images/ingestion-fgac.png)