を介したコントロールプレーンアクセス AWS PrivateLink - Amazon OpenSearch Service
コントロールプレーン AWS PrivateLink エンドポイントの作成

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を介したコントロールプレーンアクセス AWS PrivateLink

Amazon OpenSearch Serverless は、コントロールプレーンとデータプレーンオペレーションの 2 種類の AWS PrivateLink 接続をサポートしています。コントロールプレーンオペレーションには、コレクションの作成と削除、アクセスポリシーの管理が含まれます。データプレーンオペレーションは、コレクション内のデータのインデックス作成とクエリに使用します。このページでは、コントロールプレーン AWS PrivateLink エンドポイントについて説明します。データプレーン VPC エンドポイントの詳細については、「」を参照してくださいを介したデータプレーンアクセス AWS PrivateLink

インターフェイス VPC エンドポイントを使用するように OpenSearch Serverless を設定することで、VPC のセキュリティ体制を改善できます。インターフェイスエンドポイントは AWS PrivateLink を利用しています。このテクノロジーにより、インターネットゲートウェイ、NAT デバイス、VPN 接続、または AWS Direct Connect 接続なしで、OpenSearch Serverless APIs にプライベートにアクセスできます。

AWS PrivateLink と VPC エンドポイントの詳細については、「Amazon VPC ユーザーガイド」の「VPC エンドポイント」を参照してください。

考慮事項

  • VPC エンドポイントは、同じリージョン内でのみサポートされます。

  • VPC エンドポイントでは、Amazon Route 53 を介して Amazon 提供の DNS のみがサポートされています。

  • VPC エンドポイントは、OpenSearch Serverless コレクション、ポリシー、および VpcEndpoints へのアクセスを制御するエンドポイントポリシーをサポートします。

  • OpenSearch Serverless はインターフェイスエンドポイントのみをサポートします。ゲートウェイエンドポイントはサポートされていません。

VPC エンドポイントの作成

Amazon OpenSearch Serverless のコントロールプレーン VPC エンドポイントを作成するには、「Amazon VPC デベロッパーガイド」の「インターフェイス VPC エンドポイントを使用して AWS サービスにアクセスする」の手順を使用します。次のエンドポイントを作成します。

  • com.amazonaws.region.aoss

コンソールを使用してコントロールプレーン VPC エンドポイントを作成するには

  1. Amazon VPC コンソールの https://console.aws.amazon.com/vpc/ を開いてください。

  2. ナビゲーションペインで、[Endpoints] (エンドポイント) を選択します。

  3. [エンドポイントの作成] を選択します。

  4. [サービスカテゴリ] で、[AWS のサービス] を選択します。

  5. サービス で、 を選択しますcom.amazonaws.region.aoss。例えば、com.amazonaws.us-east-1.aoss

  6. [VPC] で、エンドポイントを作成する VPC を選択します。

  7. [サブネット] で、エンドポイントネットワークインターフェイスを作成する先のサブネット (アベイラビリティーゾーン) を選択します。

  8. セキュリティグループで、エンドポイントネットワークインターフェイスに関連付けるセキュリティグループを選択します。HTTPS (ポート 443) が許可されていることを確認します。

  9. ポリシー では、フルアクセスを選択してすべてのオペレーションを許可するか、カスタムを選択してカスタムポリシーをアタッチします。

  10. エンドポイントの作成 を選択します。

エンドポイントポリシーの作成

Amazon OpenSearch Serverless へのアクセスを制御するエンドポイントポリシーを VPC エンドポイントにアタッチできます。このポリシーでは、以下の情報を指定します。

  • アクションを実行できるプリンシパル。

  • 実行可能なアクション。

  • アクションを実行できるリソース。

詳細については、「Amazon VPC ユーザーガイド」の「VPC エンドポイントでサービスへのアクセスを制御する」を参照してください。

例 OpenSearch Serverless の VPC エンドポイントポリシー
{  
  "Version": "2012-10-17",		 	 	   
  "Statement": [  
    {  
      "Effect": "Allow",  
      "Principal": "*",  
      "Action": [  
        "aoss:ListCollections",  
        "aoss:BatchGetCollection"  
      ],  
      "Resource": "*"  
    }  
  ]  
}
例リストオペレーションのみを許可する制限ポリシー
{  
  "Version": "2012-10-17",		 	 	   
  "Statement": [  
    {  
      "Effect": "Allow",  
      "Principal": "*",  
      "Action": "aoss:ListCollections",  
      "Resource": "*"  
    }  
  ]  
}