翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 運用とセキュリティ
<a name="operations-security"></a>

Amazon OpenSearch Service に移行すると、運用アクティビティは変化します。ノードのプロビジョニング、ストレージの追加、オペレーティングシステムのインストールとパッチ適用、高可用性、スケーリング、その他の低レベルのアクティビティの設定と維持について責任を負うことがなくなります。代わりに、ユースケースと新しいユーザーエクスペリエンスの構築に集中できます。

運用プロセスを最適化するには、Amazon OpenSearch Service が提供するログ記録、モニタリング、トラブルシューティング機能について深く理解する必要があります。

## ランブックと新しいプロセス
<a name="runbooks"></a>

計画段階の間に、変更または削除が必要な既存のプロセスを特定します。その後、以前には対応できなかった新しい運用プロセスを追加できます。

Amazon OpenSearch Service は差別化につながらない重労働を排除しますが、アプリケーションが最高のパフォーマンスを実現するように設計およびモニタリングされていることを確認する必要があることは変わりません。内部または外部要因による健全性の問題を完全に認識できるように、ドメインのモニタリングとアラートを設定する必要があります。最新バージョンへのアップグレードをスケジュールし、開始する必要があります。

このようなすべての運用アクティビティで、ランブックの作成と、既存のランブックの変更が必要になります。インフラストラクチャをモニタリングし、Amazon OpenSearch Service の運用メトリクスを分析するには、ランブックを維持することが重要です。ランブックを使用することで、コンプライアンスと規制要件に従った一貫した運用が実現します。ランブックを使用していない場合は、使用を検討することをお勧めします。事前に計画されたステップを定期的に実行するプロセスを作成し、アプリケーションのクラッシュや予期しない障害からの復旧などの修復プロセスが完全に自動化されるようにします。

## サポートとチケット発行システム
<a name="support"></a>

デプロイに関連するインシデントをキャプチャするには、チケット発行システムの計画と運用をお勧めします (既に実行しているかもしれません)。[AWS サポート](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html) でサポートチケットを作成する方法について、サポートスタッフにトレーニングを実施する必要がある場合があります。チケットのトリアージ中のエスカレーションプロセスを合理化することをお勧めします。

このガイドの後半の「[運用上の優秀性](stage-6-operational-excellence.md)」セクションでは、ランブックや構築プロセスで考慮すべき領域といくつかのベストプラクティスへのリンクを提供します。

## セキュリティ
<a name="security"></a>

AWS では、セキュリティを最優先事項としています。Amazon OpenSearch Service は、多層的なセキュリティを提供します。このサービスは、すべてのセキュリティパッチを処理し、VPC によるネットワーク分離、きめ細かなアクセスコントロール、マルチテナントサポートを提供します。保管時のデータは、AWS Key Management Service (AWS KMS) を通じて作成および管理するキーを使用して暗号化されます。ノード間の暗号化機能は、ドメイン内のインスタンス間のすべての通信に Transport Layer Security (TLS) を提供します。Amazon OpenSearch Service は HIPAA にも準拠しており、PCI DSS、SOC、ISO、および FedRAMP 標準に準拠しているため、業界固有の要件や規制要件を満たすことができます。

計画段階の間に、ドメインとやり取りするユーザーとプロセスを特定し、ネットワークトポロジを選択し、各プリンシパルの認証と認可を計画します。組織のセキュリティ要件とコンプライアンス要件に応じて、複数のセキュリティ機能を使用して、ビジネスニーズを満たす環境を作成できます。また、次の要素についても考慮してください。
+ **VPC** – AWS の仮想プライベートクラウド (VPC) 内で Amazon OpenSearch Service を設定できます。これは[推奨設定](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html)です。パブリックエンドポイントを使用してドメインを作成することはお勧めしません。クライアントアプリケーションとユーザーがターゲット環境にアクセスできるように、必要なネットワークアーキテクチャを作成するよう計画します。
+ **認証** – Amazon OpenSearch Service は、ユーザーまたはソフトウェアクライアントを認証する複数の方法をサポートしています。[OpenSearch Dashboards](https://docs.opensearch.org/latest/dashboards/) にアクセスするために、既存の ID プロバイダーによる [Amazon Cognito](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/cognito-auth.html) または [SAML 認証](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/saml.html)をサポートしています。また、IAM ID との統合と、[内部ユーザーデータベースを使用した基本的な HTTP 認証](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac-walkthrough-basic.html)も提供します。認証に適したオプションを設定してテストするように計画を立てる必要があります。詳細については、[OpenSearch Service セキュリティドキュメント](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/security.html)を参照してください。
+ **認可** – サービスへのアクセス権を設定する際は、最小特権の原則に従うことをお勧めします。Amazon OpenSearch Service は、ドキュメント、行、列レベルでアクセス権を設定できるきめ細かなアクセスコントロールを提供します。

セキュリティ機能について十分に理解し、PoC ステージの間にテストしてください。