Amazon OpenSearch Service のドメインセキュリティの設定 - Amazon Personalize
OpenSearch Service のユーザーまたはロールのポリシー例

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon OpenSearch Service のドメインセキュリティの設定

OpenSearch Service でプラグインを使用するには、ドメインにアクセスするユーザーまたはロールが、先ほど作成した OpenSearch Service 用の IAM サービスロールに対する PassRole アクセス許可を持っている必要があります。また、ユーザーまたはロールには、es:ESHttpGet および es:ESHttpPut アクションを実行するためのアクセス許可が必要です。

OpenSearch Service へのアクセス許可の設定については、「Amazon OpenSearch Service デベロッパーガイド」の「Amazon OpenSearch Service のセキュリティ」を参照してください。IAM ポリシーの例については、「OpenSearch Service のユーザーまたはロールのポリシー例」を参照してください。

OpenSearch Service のユーザーまたはロールのポリシー例

次の IAM ポリシーの例では、リソースが同じアカウントにある場合のアクセス許可の設定 で作成した OpenSearch Service 用の IAM サービスロールの PassRole アクセス許可をユーザーまたはロールに付与します。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "OpenSearch Service role ARN"
        }
    ]
}

次の IAM ポリシーは、OpenSearch Service でパイプラインと検索クエリを作成するための最低限の許可を付与します。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "es:ESHttpGet",
                "es:ESHttpPut"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:ResourceTag/environment": [
                        "production"
                    ]
                }
            }
        }
    ]
}