翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# OpenSearch Service で管理される VPC エンドポイントを使用して Amazon OpenSearch Service にアクセスする (AWS PrivateLink)
<a name="vpc-interface-endpoints"></a>

OpenSearch Service が管理する VPC エンドポイント ( を使用) を設定することで、Amazon OpenSearch Service ドメインにアクセスできます AWS PrivateLink。これらのエンドポイントにより、VPC と Amazon OpenSearch Service との間にプライベート接続が作成されます。OpenSearch Service VPC ドメインには、インターネットゲートウェイ、NAT デバイス、VPN 接続、または Direct Connect 接続を使用せずに、VPC 内にあるかのようにアクセスできます。VPC のインスタンスは、パブリック IP アドレスがなくても OpenSearch Service にアクセスできます。

OpenSearch Service ドメインは、同じ VPC、異なる VPC、または異なる AWS アカウント内のパブリックサブネットまたはプライベートサブネットで実行されている追加のエンドポイントを公開するように設定できます。これにより、セキュリティレイヤーを追加して、どこで実行されているかにかかわらずドメインにアクセスできます。インフラストラクチャを管理する必要はありません。次の図は、同じ VPC 内の OpenSearch Service で管理される VPC エンドポイントを示しています。

![\[VPC diagram showing Amazon PrivateLink in public subnet connecting to OpenSearch Service in private subnet.\]](http://docs.aws.amazon.com/ja_jp/opensearch-service/latest/developerguide/images/Privatelink-Diagram.png)


このプライベート接続を確立するには、OpenSearch Service で管理される*インターフェイス VPC エンドポイント* ( AWS PrivateLinkを使用) を作成します。インターフェイス VPC エンドポイントに対して有効にする各サブネットにエンドポイントネットワークインターフェイスが作成されます。これらは OpenSearch Service に送信されるトラフィックのエントリポイントとして機能する、サービス管理型のネットワークインターフェイスです。 AWS PrivateLinkで課金される OpenSearch Service 管理型 VPC エンドポイントには、標準 [AWS PrivateLink インターフェイスエンドポイント料金](https://aws.amazon.com/privatelink/pricing/)が適用されます。

OpenSearch と従来の Elasticsearch のすべてのバージョンを実行しているドメインに対して VPC エンドポイントを作成できます。詳細については、「*AWS PrivateLink ガイド*」の「[AWS PrivateLinkから AWS のサービス にアクセスする](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html)」を参照してください。

## OpenSearch Service に関する考慮事項と制約事項
<a name="vpc-endpoint-considerations"></a>

OpenSearch Service のインターフェイス VPC エンドポイントを設定する前に、「 *AWS PrivateLink ガイド*」の[「インターフェイス VPC エンドポイントを使用して AWS サービスにアクセスする](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)」を参照してください。

OpenSearch Service で管理される VPC エンドポイントを使用する場合は、次の点を考慮してください。
+ [VPC ドメイン](vpc.md)への接続には、インターフェイス VPC エンドポイントのみを使用できます。パブリックドメインはサポートされません。
+ VPC エンドポイントは、同じ AWS リージョン内のドメインにのみ接続できます。
+ VPC エンドポイントでサポートされているプロトコルは HTTPS のみです。HTTP は許可されていません。
+ OpenSearch Service は、すべての[サポートされている OpenSearch API オペレーション](supported-operations.md)をインターフェイス VPC エンドポイント経由で呼び出すことをサポートしています。
+ アカウントごとに最大 50 個のエンドポイント、ドメインごとに最大 10 個のエンドポイントを設定できます。1 つのドメインに含めることができる[認証済みプリンシパル](#vpc-endpoint-access)の数は、最大 10 です。
+ 現在、 AWS CloudFormation を使用してインターフェイス VPC エンドポイントを作成することはできません。
+ インターフェイス VPC エンドポイントは、OpenSearch Service コンソールまたは [OpenSearch Service API](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/Welcome.html) を使用してのみ作成できます。OpenSearch Service 用のインターフェイス VPC エンドポイントを、Amazon VPC コンソールを使用して作成することはできません。
+ OpenSearch Service で管理される VPC エンドポイントには、インターネットからアクセスできません。OpenSearch Service で管理される VPC エンドポイントは、エンドポイントがプロビジョニングされている VPC 内か、エンドポイントがプロビジョニングされている VPC とピア接続されている (ルートテーブルとセキュリティグループによって許可されている) VPC 内でのみアクセスできます。
+ OpenSearch Service では、VPC エンドポイントポリシーがサポートされません。セキュリティグループをエンドポイントのネットワークインターフェイスに関連付けて、インターフェイス VPC エンドポイント経由で OpenSearch Service へのトラフィックを制御できます。
+ [サービスにリンクされたロール](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/slr.html)は、VPC エンドポイントの作成に使用するのと同じ AWS アカウントに存在する必要があります。
+ OpenSearch Service VPC エンドポイントを作成、更新、削除するには、Amazon OpenSearch Service のアクセス許可に加えて、次の Amazon EC2 アクセス許可が必要です。
  + `ec2:CreateVpcEndpoint`
  + `ec2:DescribeVpcEndpoints`
  + `ec2:ModifyVpcEndpoint`
  + `ec2:DeleteVpcEndpoints`
  + `ec2:CreateTags`
  + `ec2:DescribeTags`
  + `ec2:DescribeSubnets`
  + `ec2:DescribeSecurityGroups`
  + `ec2:DescribeVpcs`

**注記**  
現在、VPC エンドポイントの作成を OpenSearch Service に限定することはできません。今後のアップデートでこれを可能にするよう取り組んでいます。

## ドメインへのアクセスを提供する
<a name="vpc-endpoint-access"></a>

ドメインにアクセスする VPC が別の にある場合は AWS アカウント、インターフェイス VPC エンドポイントを作成する前に、所有者のアカウントからドメインを承認する必要があります。

**別の の VPC がドメインにアクセス AWS アカウント できるようにするには**

1. [https://console.aws.amazon.com/aos/home/](https://console.aws.amazon.com/aos/home/) で Amazon OpenSearch Service コンソールを開きます。

1. ナビゲーションペインで、**[Domains]** (ドメイン) を選択し、アクセス権を付与するドメインを開きます。

1. **[VPC endpoints]** (VPC エンドポイント) タブに移動すると、ドメインにアクセスできるアカウントと対応する VPC が表示されます。

1. **[Authorize principal]** (プリンシパルを承認) を選択します。

1. ドメインにアクセスするアカウントの AWS アカウント ID を入力します。このステップでは、指定されたアカウントがドメインに対して VPC エンドポイントを作成することを承認します。

1. [**承認**] を選択します。

## VPC ドメインのインターフェイス VPC エンドポイントを作成する
<a name="vpc-endpoint-create"></a>

OpenSearch Service コンソールまたは AWS Command Line Interface () を使用して、OpenSearch Service のインターフェイス VPC エンドポイントを作成できますAWS CLI。

**OpenSearch Service ドメイン用のインターフェイス VPC エンドポイントを作成するには**

1. [https://console.aws.amazon.com/aos/home/](https://console.aws.amazon.com/aos/home/) で Amazon OpenSearch Service コンソールを開きます。

1. 左のナビゲーションペインで **[VPC endpoints]** (VPC エンドポイント) を選択します。

1. **エンドポイントの作成** を選択します。

1. 現在または AWS アカウント 別の のドメインを接続するかどうかを選択します AWS アカウント。

1. このエンドポイントで接続するドメインを選択します。ドメインが現在の にある場合は AWS アカウント、ドロップダウンを使用してドメインを選択します。ドメインが別のアカウントにある場合は、接続するドメインの Amazon リソースネーム (ARN) を入力します。別のアカウントのドメインを選択するには、所有者にドメインへの[アクセス権を付与](#vpc-endpoint-access)してもらう必要があります。

1. **[VPC]** で、OpenSearch Service へのアクセス元の VPC を選択します。

1. **[Subnets]** (サブネット) で、OpenSearch Service へのアクセス元のサブネットを 1 つまたは複数選択します。

1. **[Security groups]** (セキュリティグループ) で、エンドポイントネットワークインターフェイスに関連付けるセキュリティグループを選択します。これは、エンドポイントに対して承認するインバウンドトラフィックのポート、プロトコル、およびソースを制限する重要なステップです。セキュリティグループルールでは、OpenSearch Service と通信してエンドポイントのネットワークインターフェイスと通信するために、VPC エンドポイントを使用するリソースを許可する必要があります。

1. **エンドポイントの作成** を選択します。エンドポイントは 2～5 分でアクティブになるはずです。

## 設定 API を使用した OpenSearch Service で管理される VPC エンドポイントの操作
<a name="vpc-endpoint-api"></a>

次の API オペレーションを使用して、OpenSearch Service で管理される VPC エンドポイントを作成および管理します。
+ [CreateVpcEndpoint](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_CreateVpcEndpoint.html)
+ [ListVpcEndpoints](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_ListVpcEndpoints.html)
+ [UpdateVpcEndpoint](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateVpcEndpoint.html)
+ [DeleteVpcEndpoint](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DeleteVpcEndpoint.html)

VPC ドメインへのエンドポイントアクセスを管理するには、次の API オペレーションを使用します。
+ [AuthorizeVpcEndpointAccess](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_AuthorizeVpcEndpointAccess.html)
+ [ListVpcEndpointAccess](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_ListVpcEndpointAccess.html)
+ [ListVpcEndpointsForDomain](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_ListVpcEndpointsForDomain.html)
+ [RevokeVpcEndpointAccess](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_RevokeVpcEndpointAccess.html)