サービスにリンクされたロールを使用して OpenSearch Serverless コレクションを作成する - Amazon OpenSearch サービス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サービスにリンクされたロールを使用して OpenSearch Serverless コレクションを作成する

OpenSearch Service は、AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、OpenSearch Service に直接リンクされた一意のタイプの (IAM) ロールです。サービスにリンクされたロールは、OpenSearch Service によって事前定義されており、ユーザーの代わりにサービスから他の AWS サービスを呼び出すために必要なアクセス許可をすべて含んでいます。

OpenSearch Serverless は、AWSServiceRoleForAmazonOpenSearchServerless と呼ばれるサービスにリンクされたロールを使用します。このロールは、サーバーレス関連の CloudWatch メトリクスをアカウントに発行するためにロールで必要なアクセス許可を提供します。AWSServiceRoleForAmazonOpenSearchServerless に関連付けられたロールアクセス許可ポリシーの名前は AmazonOpenSearchServerlessServiceRolePolicy です。ポリシーの詳細については、「AWS Managed Policy Reference Guide」の「AmazonOpenSearchServerlessServiceRolePolicy」を参照してください。

OpenSearch Serverless のサービスにリンクされたロールのアクセス許可

OpenSearch Serverless は、AWSServiceRoleForAmazonOpenSearchServerless と呼ばれるサービスにリンクされたロールを使用します。このロールにより、OpenSearch Serverless がユーザーに代わって AWS のサービスを呼び出すことができるようになります。

AWSServiceRoleForAmazonOpenSearchServerless サービスにリンクされたロールは、以下のサービスを信頼してロールを引き受けます。

  • observability.aoss.amazonaws.com

AmazonOpenSearchServerlessServiceRolePolicy という名前のロール許可ポリシーによって、OpenSearch Serverless が次のアクションを指定されたリソースで完了できるようになります。

  • アクション: すべての AWS リソースで cloudwatch:PutMetricData

注記

ポリシーには条件キー {"StringEquals": {"cloudwatch:namespace": "AWS/AOSS"}} が含まれていますが、これはサービスにリンクされたロールが AWS/AOSS CloudWatch 名前空間にのみメトリクスデータを送信できることを意味します。

サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、「IAM User Guide」(IAM ユーザーガイド) の「Service-linked role permissions」(サービスにリンクされたロールのアクセス権限) を参照してください。

OpenSearch Serverless のサービスにリンクされたロールの作成

サービスリンクロールを手動で作成する必要はありません。AWS Management Console、AWS CLI、または AWS API で OpenSearch Serverless コレクションを作成すると、OpenSearch Serverless がサービスにリンクされたロールを作成します。

注記

コレクションを初めて作成するときは、ID ベースのポリシーで iam:CreateServiceLinkedRole を割り当てる必要があります。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。OpenSearch Serverless コレクションを作成すると、OpenSearch Serverless がサービスにリンクされたロールを再度作成します。

IAM コンソールを使用して、Amazon OpenSearch Serverless ユースケースでサービスリンクロールを作成することもできます。AWS CLI または AWS API で、observability.aoss.amazonaws.com サービス名を使用してサービスリンクロールを作成します。

aws iam create-service-linked-role --aws-service-name "observability.aoss.amazonaws.com"

詳細については、IAM ユーザーガイドの「サービスリンクロールの作成」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。

OpenSearch Serverless のサービスにリンクされたロールの編集

OpenSearch Serverless では、AWSServiceRoleForAmazonOpenSearchServerless サービスリンクロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

OpenSearch Serverless のサービスにリンクされたロールの削除

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを保持しないようにできます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

AWSServiceRoleForAmazonOpenSearchServerless を削除するには、まず AWS アカウント の OpenSearch Serverless コレクションをすべて削除する必要があります。

注記

リソースを削除しようとしたときに OpenSearch Serverless でロールが使用されている場合、削除が失敗することがあります。その場合は、数分待ってからオペレーションを再試行してください。

IAM を使用してサービスリンクロールを手動で削除するには

IAM コンソール、AWS CLI、または AWS API を使用して、AWSServiceRoleForAmazonOpenSearchServerless サービスリンクロールを削除します。詳細については、 IAM ユーザーガイド の「サービスにリンクされたロールの削除」を参照してください。

OpenSearch Serverless のサービスにリンクされたロールがサポートされているリージョン

OpenSearch Serverless は、OpenSearch Serverless が利用可能なすべてのリージョンで、サービスにリンクされたロール AWSServiceRoleForAmazonOpenSearchServerless の使用をサポートしています。サポートされているリージョンのリストについては、「AWS 全般のリファレンス」の「Amazon OpenSearch Serverless endpoints and quotas」(Amazon OpenSearch Serverless エンドポイントとクォータ) を参照してください。