Amazon OpenSearch Service への接続の認証 - Amazon Quick Suite
VPC 接続の使用OpenSearch のアクセス許可の使用

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon OpenSearch Service への接続の認証

 適用先: Enterprise Edition 
   対象者: システム管理者 

Amazon Quick Sight データセットで OpenSearch を使用する前に、Quick Suite 管理者が OpenSearch コンソールにアクセスできるユーザーの協力を得て完了するタスクがいくつかあります。

最初に、接続先の各 OpenSearch ドメインを特定します。次に、ドメインごとに次の情報を収集します。

  • OpenSearch ドメインの名前。

  • このドメインで使用される OpenSearch のバージョン。

  • OpenSearch ドメインの Amazon リソースネーム (ARN)。

  • HTTPS エンドポイント

  • OpenSearch ダッシュボードの URL (ダッシュボードを使用する場合)。エンドポイントに「/dashboards/」を追加することで、ダッシュボードの URL を推定できます。

  • ドメインに VPC エンドポイントがある場合は、OpenSearch Service コンソールの VPC タブで、以下の関連するすべての情報を収集します。

    • VPC ID。

    • VPC セキュリティグループ

    • 関連付けられた IAM ロール (1 つもしくは複数)

    • 関連付けられたアベイラビリティーゾーン

    • 関連付けられたサブネット

  • ドメインが (VPC エンドポイントではなく) 通常のエンドポイントを持つ場合は、パブリックネットワークが使用されることに注意します。

  • 毎日の自動スナップショットの開始時間 (ユーザーによる確認用)

続行する前に、Amazon Quick Suite 管理者は Amazon Quick Suite から OpenSearch Service への認可された接続を有効にします。このプロセスは、Amazon Quick Suite から接続するすべての AWS サービスに必要です。これは、データソースとして使用するサービス AWS アカウント ごとに AWS 1 回のみ実行する必要があります。

OpenSearch Service の場合、承認プロセスは AWS 管理ポリシーAWSQuickSightOpenSearchPolicyを に追加します AWS アカウント。

重要

OpenSearch ドメインの IAM ポリシーが、AWSQuickSightOpenSearchPolicy のアクセス許可と競合していないことを確認します。このドメインのアクセスポリシーは、OpenSearch Service コンソールに表示されています。詳細については、Amazon OpenSearch Service デベロッパー ガイドの「Configuring access policies」を参照してください。

Amazon Quick Suite から OpenSearch Service への接続を有効または無効にするには

  1. Amazon Quick Suite 内で、AdministratorManage Amazon Quick Suite を選択します。

  2. [Security & Permissions (セキュリティとアクセス許可)] で、[Add or remove (追加または削除)] を選択します。

  3. 接続を有効にするには、[Amazon OpenSearch Service] のチェックボックスをオンにします。

    接続を無効にするには、[Amazon OpenSearch Service] のチェックボックスをオフにします。

  4. 選択内容を確認するには、[Update] (更新) を選択します。

必要に応じて、以下のトピックを使用して、Amazon Quick Suite が OpenSearch にアクセスするための OpenSearch VPC OpenSearch 接続とアクセス許可を設定します。

VPC 接続の使用

一部の OpenSearch ドメインは、Amazon VPC サービスをベースにした仮想プライベートクラウド (VPC) 内に置かれている場合があります。その場合は、Amazon Quick Suite が OpenSearch ドメインが使用する VPC ID に既に接続されているかどうかを確認してください。既存の VPC 接続を再利用できます。動作しているかどうかわからない場合は、テストできます。詳細については、「Amazon VPC データソースへの接続のテスト」を参照してください。

使用する VPC の Amazon Quick Suite で接続がまだ定義されていない場合は、接続を作成できます。このタスクは複数ステップからなるプロセスで、次の作業に移る前に完了する必要があります。Amazon Quick Suite を VPC に追加し、Amazon Quick Suite から VPC への接続を追加する方法については、「Amazon Quick Suite を使用した Amazon VPC への接続」を参照してください。

OpenSearch のアクセス許可の使用

OpenSearch Service に接続するように Amazon Quick Suite を設定した後、OpenSearch でアクセス許可を有効にする必要がある場合があります。セットアッププロセスのこの手順では、各 OpenSearch ドメインの OpenSearch ダッシュボードリンクを使用できます。必要なアクセス許可を決定するには、次のリストを使用します。

  1. きめ細かなアクセスコントロールを使用するドメインの場合は、ロール形式でアクセス許可を設定します。このプロセスは、Amazon Quick Suite でスコープダウンポリシーを使用するのと似ています。

  2. 役割を作成する各ドメインについて、ロールマッピングを追加します。

詳細については、以下を参照してください。

OpenSearch ドメインできめ細かなアクセスコントロールが有効になっている場合、ドメインが Amazon Quick Suite からアクセスできるように を設定するアクセス許可がいくつかあります。使用するドメインごとに、これらの手順を実行します。

次の手順では、OpenSearch ダッシュボードを使用します。このダッシュボードは、OpenSearch で動作するオープンソースのツールです。このダッシュボードへのリンクは、OpenSearch Service コンソールのドメインダッシュボードに表示されています。

Amazon Quick Suite からのアクセスを許可するアクセス許可をドメインに追加するには

  1. 使用する OpenSearch ドメインで、OpenSearch ダッシュボードを開きます。URL は、opensearch-domain-endpoint/dashboards/ です。

  2. ナビゲーションペインで、[セキュリティ] をクリックします。

    ナビゲーションペインが表示されない場合は、左上のメニューアイコンを使用してナビゲーションペインを開きます。メニューを開いたままにするには、左下の [Dock navigation] (ドックナビゲーション) を選択します。

  3. [ロール]、[ロールの作成] を選択します。

  4. ロールに quicksight_role という名前を付けます。

    別の名前を選択することもできますが、ドキュメントで使用し、サポートが容易なため、この名前をお勧めします。

  5. [クラスターのアクセス許可] に、以下のアクセス許可を追加します。

    • cluster:monitor/main

    • cluster:monitor/health

    • cluster:monitor/state

    • indices:data/read/scroll

    • indices:data/read/scroll/clear,

  6. [インデックスのアクセス許可] では、* をインデックスパターンに指定します。

  7. [インデックスのアクセス許可] に、以下のアクセス許可を追加します。

    • indices:admin/get

    • indices:admin/mappings/get

    • indices:admin/mappings/fields/get*

    • indices:data/read/search*

    • indices:monitor/settings/get

  8. [作成] を選択します。

  9. 使用する予定の各 OpenSearch ドメインに対し、この手順を繰り返します。

前の手順で追加したアクセス許可にロールマッピングを追加するには、以下の手順を使用します。アクセス許可とロールマッピングを 1 つのプロセスの一部として追加する方が効率的です。明確にするため、各手順を個別に説明します。

追加した IAM ロールのロールマッピングを作成するには

  1. 使用する OpenSearch ドメインで、OpenSearch ダッシュボードを開きます。URL は、opensearch-domain-endpoint/dashboards/ です。

  2. ナビゲーションペインで、[セキュリティ] をクリックします。

  3. リストから quicksight_role を検索し、それを開きます。

  4. [マップされたユーザー] タブで、[マッピングを管理] をクリックします。

  5. バックエンドロールセクションで、Amazon Quick Suite の AWSマネージド IAM ロールの ARN を入力します。次に例を示します。

    arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0

  6. [マップ] をクリックします。

  7. 使用する各 OpenSearch ドメインについて、この手順を繰り返します。