サービスにリンクされたロールを使用して OpenSearch Serverless コレクションを作成する - Amazon OpenSearch Service
OpenSearch Serverless のサービスにリンクされたロールのアクセス許可OpenSearch Serverless のサービスにリンクされたロールの作成OpenSearch Serverless のサービスにリンクされたロールの編集OpenSearch Serverless のサービスにリンクされたロールの削除OpenSearch Serverless のサービスにリンクされたロールがサポートされているリージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サービスにリンクされたロールを使用して OpenSearch Serverless コレクションを作成する

OpenSearch Serverless は AWS Identity and Access Management(IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、OpenSearch Service に直接リンクされた一意のタイプの (IAM) ロールです。サービスにリンクされたロールは、OpenSearch Service によって事前定義されており、ユーザーの代わりにサービスから他の AWS サービスを呼び出すために必要なアクセス許可をすべて含んでいます。

OpenSearch Serverless は、AWSServiceRoleForAmazonOpenSearchServerless と呼ばれるサービスにリンクされたロールを使用します。このロールは、サーバーレス関連の CloudWatch メトリクスをアカウントに発行するためにロールで必要なアクセス許可を提供します。AWSServiceRoleForAmazonOpenSearchServerless に関連付けられたロールアクセス許可ポリシーの名前は AmazonOpenSearchServerlessServiceRolePolicy です。ポリシーの詳細については、「AWS Managed Policy Reference Guide」の「AmazonOpenSearchServerlessServiceRolePolicy」を参照してください。

OpenSearch Serverless のサービスにリンクされたロールのアクセス許可

OpenSearch Serverless は、AWSServiceRoleForAmazonOpenSearchServerless と呼ばれるサービスにリンクされたロールを使用します。このロールにより、OpenSearch Serverless がユーザーに代わって AWS のサービスを呼び出すことができるようになります。

AWSServiceRoleForAmazonOpenSearchServerless サービスにリンクされたロールは、以下のサービスを信頼してロールを引き受けます。

  • observability.aoss.amazonaws.com

AmazonOpenSearchServerlessServiceRolePolicy という名前のロール許可ポリシーによって、OpenSearch Serverless が次のアクションを指定されたリソースで完了できるようになります。

  • アクション: すべての AWS リソースで cloudwatch:PutMetricData

注記

ポリシーには条件キー {"StringEquals": {"cloudwatch:namespace": "AWS/AOSS"}} が含まれていますが、これはサービスにリンクされたロールが AWS/AOSS CloudWatch 名前空間にのみメトリクスデータを送信できることを意味します。

サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細についてはIAM ユーザーガイド の「サービスにリンクされた役割のアクセス許可」を参照してください。

OpenSearch Serverless のサービスにリンクされたロールの作成

サービスリンクロールを手動で作成する必要はありません。AWS マネジメントコンソール、、AWS CLIまたは AWSAPI で OpenSearch Serverless コレクションを作成すると、OpenSearch Serverless によってサービスにリンクされたロールが作成されます。

注記

コレクションを初めて作成するときは、ID ベースのポリシーで iam:CreateServiceLinkedRole を割り当てる必要があります。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。OpenSearch Serverless コレクションを作成すると、OpenSearch Serverless がサービスにリンクされたロールを再度作成します。

IAM コンソールを使用して、Amazon OpenSearch Serverless ユースケースでサービスリンクロールを作成することもできます。AWS CLIまたは AWSAPI で、サービス名を使用してobservability.aoss.amazonaws.comサービスにリンクされたロールを作成します。

aws iam create-service-linked-role --aws-service-name "observability.aoss.amazonaws.com"

詳細については、「IAM ユーザーガイド」の「サービスリンクロールの作成」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。

OpenSearch Serverless のサービスにリンクされたロールの編集

OpenSearch Serverless では、AWSServiceRoleForAmazonOpenSearchServerless サービスリンクロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

OpenSearch Serverless のサービスにリンクされたロールの削除

サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを保持しないようにできます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

AWSServiceRoleForAmazonOpenSearchServerless を削除するには、まず 内のすべての OpenSearch Serverless コレクションを削除する必要がありますAWS アカウント。

注記

リソースを削除しようとしたときに OpenSearch Serverless でロールが使用されている場合、削除が失敗することがあります。その場合は、数分待ってからオペレーションを再試行してください。

IAM を使用してサービスリンクロールを手動で削除するには

IAM コンソール、AWS CLI、または AWSAPI を使用して、AWSServiceRoleForAmazonOpenSearchServerless サービスにリンクされたロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

OpenSearch Serverless のサービスにリンクされたロールがサポートされているリージョン

OpenSearch Serverless は、OpenSearch Serverless が利用可能なすべてのリージョンで、サービスにリンクされたロール AWSServiceRoleForAmazonOpenSearchServerless の使用をサポートしています。サポートされているリージョンのリストについては、「AWS 全般のリファレンス」の「Amazon OpenSearch Serverless endpoints and quotas」を参照してください。