OpenSearch サービスマネージド VPC エンドポイント (AWS PrivateLink) を使用して Amazon OpenSearch サービスにアクセスする - Amazon OpenSearch サービス
考慮事項ドメインへのアクセスを提供するインターフェイス VPC エンドポイントを作成する OpenSearch サービス API オペレーションを使用した管理

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

OpenSearch サービスマネージド VPC エンドポイント (AWS PrivateLink) を使用して Amazon OpenSearch サービスにアクセスする

OpenSearch サービスマネージド VPC エンドポイント ( を使用 AWS PrivateLink) を設定することで、Amazon OpenSearch Service ドメインにアクセスできます。これらのエンドポイントは、VPC と Amazon OpenSearch Service の間にプライベート接続を作成します。インターネットゲートウェイ、NAT デバイス、VPN 接続、または AWS Direct Connect 接続を使用せずに、VPC 内にあるかのように OpenSearch サービス VPC ドメインにアクセスできます。VPC のインスタンスは、パブリック IP アドレスがなくても OpenSearch サービスにアクセスできます。

同じ VPC、異なる VPC、または異なる 内のパブリックサブネットまたはプライベートサブネットで実行されている追加のエンドポイントを公開するように OpenSearch サービスドメインを設定できます AWS アカウント。これにより、セキュリティレイヤーを追加して、どこで実行されているかにかかわらずドメインにアクセスできます。インフラストラクチャを管理する必要はありません。次の図は、同じ VPC 内の OpenSearch サービスマネージド VPC エンドポイントを示しています。

このプライベート接続を確立するには、 を使用する OpenSearch サービスマネージドインターフェイス VPC エンドポイント を作成します AWS PrivateLink。インターフェイス VPC エンドポイントに対して有効にする各サブネットにエンドポイントネットワークインターフェイスが作成されます。これらは、サービス宛てのトラフィックのエントリポイントとして機能する OpenSearch サービスマネージド型のネットワークインターフェイスです。で請求される OpenSearch サービスマネージド VPC エンドポイントには、標準のAWS PrivateLink インターフェイスエンドポイント料金が適用されます AWS PrivateLink。

OpenSearch および従来の Elasticsearch のすべてのバージョンを実行しているドメインの VPC エンドポイントを作成できます。詳細については、『AWS PrivateLink ガイド』の「AWS PrivateLinkによるアクセス」を参照してください。

OpenSearch サービスの考慮事項と制限事項

OpenSearch サービスのインターフェイス VPC エンドポイントを設定する前に、AWS PrivateLink 「 ガイド」の「考慮事項」を確認してください。

OpenSearch サービスマネージド VPC エンドポイントを使用する場合は、次の点を考慮してください。

  • VPC ドメインへの接続には、インターフェイス VPC エンドポイントのみを使用できます。パブリックドメインはサポートされません。

  • VPC エンドポイントは、同じ AWS リージョン内のドメインにのみ接続できます。

  • VPC エンドポイントでサポートされているプロトコルは HTTPS のみです。HTTP は許可されていません。

  • OpenSearch サービスは、インターフェイス VPC エンドポイントを介した、サポートされているすべての OpenSearch API オペレーションの呼び出しをサポートしています。

  • アカウントごとに最大 50 個のエンドポイント、ドメインごとに最大 10 個のエンドポイントを設定できます。1 つのドメインに含めることができる認証済みプリンシパルの数は、最大 10 です。

  • 現在、 AWS CloudFormation を使用してインターフェイス VPC エンドポイントを作成することはできません。

  • インターフェイス VPC エンドポイントは、 OpenSearch サービスコンソールまたはOpenSearch サービス API を使用してのみ作成できます。Amazon VPC コンソールを使用して OpenSearch サービスのインターフェイス VPC エンドポイントを作成することはできません。

  • OpenSearch サービスマネージド VPC エンドポイントには、インターネットからアクセスできません。 OpenSearch サービスマネージド VPC エンドポイントは、ルートテーブルとセキュリティグループで許可されているように、エンドポイントがプロビジョニングされている VPCs 内、またはエンドポイントがプロビジョニングされている VPC とピアリングされている VPC 内でのみアクセスできます。

  • VPC エンドポイントポリシーは、 OpenSearch サービスではサポートされていません。セキュリティグループをエンドポイントのネットワークインターフェイスに関連付けて、インターフェイス VPC エンドポイントを介した OpenSearch サービスへのトラフィックを制御できます。

  • サービスにリンクされたロールは、VPC エンドポイントの作成に使用するのと同じ AWS アカウントに存在する必要があります。

  • OpenSearch サービス VPC エンドポイントを作成、更新、削除するには、Amazon サービスのアクセス許可に加えて、次の Amazon EC2 アクセス許可が必要です。 OpenSearch

    • ec2:CreateVpcEndpoint

    • ec2:DescribeVpcEndpoints

    • ec2:ModifyVpcEndpoint

    • ec2:DeleteVpcEndpoints

    • ec2:CreateTags

    • ec2:DescribeTags

    • ec2:DescribeSubnets

    • ec2:DescribeSecurityGroups

    • ec2:DescribeVpcs

注記

現在、VPC エンドポイントの作成を OpenSearch サービスに制限することはできません。今後のアップデートでこれを可能にするよう取り組んでいます。

ドメインへのアクセスを提供する

ドメインにアクセスする VPC が別の にある場合は AWS アカウント、インターフェイス VPC エンドポイントを作成する前に、所有者のアカウントから承認する必要があります。

別の の VPC AWS アカウント にドメインへのアクセスを許可するには

  1. https://console.aws.amazon.com/aos/home/ で Amazon OpenSearch Service コンソールを開きます。

  2. ナビゲーションペインで、[Domains] (ドメイン) を選択し、アクセス権を付与するドメインを開きます。

  3. [VPC endpoints] (VPC エンドポイント) タブに移動すると、ドメインにアクセスできるアカウントと対応する VPC が表示されます。

  4. [Authorize principal] (プリンシパルを承認) を選択します。

  5. ドメインにアクセスするアカウントの AWS アカウント ID を入力します。このステップでは、指定されたアカウントがドメインに対して VPC エンドポイントを作成することを承認します。

  6. [承認] を選択します。

VPC ドメインのインターフェイス VPC エンドポイントを作成する

OpenSearch サービス用のインターフェイス VPC エンドポイントは、 OpenSearch サービスコンソールまたは AWS Command Line Interface () を使用して作成できますAWS CLI。

OpenSearch サービスドメインのインターフェイス VPC エンドポイントを作成するには

  1. https://console.aws.amazon.com/aos/home/ で Amazon OpenSearch Service コンソールを開きます。

  2. 左のナビゲーションペインで [VPC endpoints] (VPC エンドポイント) を選択します。

  3. [エンドポイントの作成] を選択します。

  4. 現在の のドメインに接続するか、別の のドメインに接続する AWS アカウント かを選択します AWS アカウント。

  5. このエンドポイントで接続するドメインを選択します。ドメインが現在の にある場合は AWS アカウント、ドロップダウンを使用してドメインを選択します。ドメインが別のアカウントにある場合は、接続するドメインの Amazon リソースネーム (ARN) を入力します。別のアカウントのドメインを選択するには、所有者にドメインへのアクセス権を付与してもらう必要があります。

  6. VPC の場合、 OpenSearch サービスにアクセスする VPC を選択します。

  7. サブネット で、 OpenSearch サービスにアクセスするサブネットを 1 つ以上選択します。

  8. [Security groups] (セキュリティグループ) で、エンドポイントネットワークインターフェイスに関連付けるセキュリティグループを選択します。これは、エンドポイントに対して承認するインバウンドトラフィックのポート、プロトコル、およびソースを制限する重要なステップです。セキュリティグループのルールでは、VPC エンドポイントを使用して OpenSearch サービスと通信し、エンドポイントネットワークインターフェイスと通信するリソースを許可する必要があります。

  9. [エンドポイントの作成] を選択します。エンドポイントは 2~5 分でアクティブになるはずです。

設定 API を使用した OpenSearch サービスマネージド VPC エンドポイントの操作

次の API オペレーションを使用して、 OpenSearch サービスマネージド VPC エンドポイントを作成および管理します。

VPC ドメインへのエンドポイントアクセスを管理するには、次の API オペレーションを使用します。