従来の Elasticsearch ロールアクセス許可サービスリンクロールの作成サービスリンクロールの編集サービスリンクロールの削除

サービスにリンクされたロールを使用してVPCドメインを作成し、クエリデータソースをダイレクトする

Amazon OpenSearch Service は AWS Identity and Access Management 、（IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、 OpenSearch サービスに直接リンクされた一意のタイプのIAMロールです。サービスにリンクされたロールは OpenSearch 、サービスによって事前定義されており、ユーザーに代わってサービスから他の AWS のサービスを呼び出すために必要なすべてのアクセス許可が含まれています。

OpenSearch サービスは、という名前のサービスにリンクされたロールを使用します。このロールはAWSServiceRoleForAmazonOpenSearchService、ドメインまたは直接クエリデータソースVPCへのアクセスを有効にするために必要な最小限の Amazon EC2および Elastic Load Balancing アクセス許可を提供します。

従来の Elasticsearch ロール

Amazon OpenSearch Service は、というサービスにリンクされたロールを使用しますAWSServiceRoleForAmazonOpenSearchService。アカウントには、廃止された Elasticsearch APIエンドポイントで動作する AWSServiceRoleForAmazonElasticsearchServiceというレガシーサービスにリンクされたロールが含まれている場合もあります。

レガシー Elasticsearch ロールがアカウントに存在しない場合、 OpenSearch ドメインを初めて作成するときに OpenSearch 、サービスによって新しい OpenSearch サービスにリンクされたロールが自動的に作成されます。そうでない場合、アカウントでは Elasticsearch ロールが引き続き使用されます。この自動作成を成功させるためには、iam:CreateServiceLinkedRole アクションへのアクセス許可が必要です。

アクセス許可

AWSServiceRoleForAmazonOpenSearchService サービスにリンクされたロールは、以下のサービスを信頼して、ロールを推測します。

opensearchservice.amazonaws.com

という名前のロールアクセス許可ポリシーAmazonOpenSearchServiceRolePolicyは、指定されたリソースに対して以下のアクションを実行することを OpenSearch サービスに許可します。

アクション: * 上で acm:DescribeCertificate
アクション: * 上で cloudwatch:PutMetricData
アクション: * 上で ec2:CreateNetworkInterface
アクション: * 上で ec2:DeleteNetworkInterface
アクション: * 上で ec2:DescribeNetworkInterfaces
アクション: * 上で ec2:ModifyNetworkInterfaceAttribute
アクション: * 上で ec2:DescribeSecurityGroups
アクション: * 上で ec2:DescribeSubnets
アクション: * 上で ec2:DescribeVpcs
アクション: すべてのネットワークインターフェイスとVPCエンドポイントec2:CreateTagsで
アクション: * 上で ec2:DescribeTags
アクション: リクエストec2:CreateVpcEndpointにタグが含まれている場合、すべての VPCs、セキュリティグループ、サブネット、ルートテーブル、およびすべてのVPCエンドポイントで OpenSearchManaged=true
アクション: リクエストec2:ModifyVpcEndpointにタグが含まれている場合、すべての VPCs、セキュリティグループ、サブネット、ルートテーブル、およびすべてのVPCエンドポイントで OpenSearchManaged=true
アクション: リクエストにタグ OpenSearchManaged=true が含まれる場合、すべてのエンドポイントで ec2:DeleteVpcEndpoints
アクション: * 上で ec2:AssignIpv6Addresses
アクション: * 上で ec2:UnAssignIpv6Addresses
アクション: * 上で elasticloadbalancing:AddListenerCertificates
アクション: * 上で elasticloadbalancing:RemoveListenerCertificates

IAM エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成、編集、削除できるようにするには、アクセス権限を設定する必要があります。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールのアクセス許可」を参照してください。

サービスリンクロールの作成

サービスにリンクされたロールを手動で作成する必要はありません。を使用して VPC対応ドメインまたは直接クエリデータソースを作成すると AWS Management Console、 OpenSearch サービスにリンクされたロールがサービスによって作成されます。この自動作成を成功させるためには、iam:CreateServiceLinkedRole アクションへのアクセス許可が必要です。

IAM コンソール、、または IAM を使用してCLI、サービスにリンクされたロールを手動でIAMAPI作成することもできます。詳細については、IAM ユーザーガイドのサービスにリンクされたロールの作成を参照してください。

サービスリンクロールの編集

OpenSearch サービスでは、AWSServiceRoleForAmazonOpenSearchServiceサービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

サービスリンクロールの削除

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールをクリーンアップする必要があります。

サービスにリンクされたロールのクリーンアップ

IAM を使用してサービスにリンクされたロールを削除するには、まずそのロールにアクティブなセッションがないことを確認し、そのロールで使用されているリソースをすべて削除する必要があります。

サービスにリンクされたロールが IAM コンソールでアクティブなセッションを持っているかどうかを確認するには

にサインイン AWS Management Console し、で IAMコンソールを開きますhttps://console.aws.amazon.com/iam/。
IAM コンソールのナビゲーションペインで [ロール] を選択します。次に、AWSServiceRoleForAmazonOpenSearchService ロールの名前 (チェックボックスではありません) を選択します。
選択したロールの [概要] ページで、[アクセスアドバイザー] タブを選択します。
アクセスアドバイザー タブで、サービスにリンクされたロールの最新のアクティビティを確認します。

注記
OpenSearch サービスがAWSServiceRoleForAmazonOpenSearchServiceロールを使用しているかどうか不明な場合は、ロールを削除できます。サービスでロールが使用されている場合、削除は失敗し、ロールが使用されているリソースを表示できます。ロールが使用されている場合は、ロールを削除する前、またはロールを使用しているリソースを削除する前にセッションが終了するのを待つ必要があります。サービスにリンクされたロールのセッションを取り消すことはできません。

サービスにリンクされたロールの手動削除

IAM コンソール、、APIまたはからサービスにリンクされたロールを削除します AWS CLI。手順については、「 IAMユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

サービスにリンクされたロールの使用

コレクション作成ロール