Amazon OpenSearch Service のドメインセキュリティの設定 - Amazon Personalize
OpenSearch Service のユーザーまたはロールのポリシー例

Amazon OpenSearch Service のドメインセキュリティの設定

OpenSearch Service でプラグインを使用するには、ドメインにアクセスするユーザーまたはロールが、先ほど作成した OpenSearch Service 用の IAM サービスロールに対する PassRole アクセス許可を持っている必要があります。また、ユーザーまたはロールには、es:ESHttpGet および es:ESHttpPut アクションを実行するためのアクセス許可が必要です。

OpenSearch Service へのアクセス許可の設定については、「Amazon OpenSearch Service デベロッパーガイド」の「Amazon OpenSearch Service のセキュリティ」を参照してください。IAM ポリシーの例については、「OpenSearch Service のユーザーまたはロールのポリシー例」を参照してください。

OpenSearch Service のユーザーまたはロールのポリシー例

次の IAM ポリシーの例では、リソースが同じアカウントにある場合のアクセス許可の設定 で作成した OpenSearch Service 用の IAM サービスロールの PassRole アクセス許可をユーザーまたはロールに付与します。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::111122223333:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService"
        }
    ]
}

次の IAM ポリシーは、OpenSearch Service でパイプラインと検索クエリを作成するための最低限の許可を付与します。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "es:ESHttpGet",
                "es:ESHttpPut"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:ResourceTag/environment": [
                        "production"
                    ]
                }
            }
        }
    ]
}