翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon OpenSearch Service への接続の認証
<a name="opensearch"></a>


|  | 
| --- |
|  適用先: Enterprise Edition  | 


|  | 
| --- |
|    対象者: システム管理者  | 

Amazon Quick Sight データセットで OpenSearch を使用する前に、クイック管理者が OpenSearch コンソールにアクセスできるユーザーの協力を得て完了するタスクがいくつかあります。

最初に、接続先の各 OpenSearch ドメインを特定します。次に、ドメインごとに次の情報を収集します。
+ OpenSearch ドメインの名前。
+ このドメインで使用される OpenSearch のバージョン。
+ OpenSearch ドメインの Amazon リソースネーム (ARN)。
+ HTTPS エンドポイント 
+ OpenSearch ダッシュボードの URL (ダッシュボードを使用する場合)。エンドポイントに「`/dashboards/`」を追加することで、ダッシュボードの URL を推定できます。
+ ドメインに VPC エンドポイントがある場合は、OpenSearch Service コンソールの VPC タブで、以下の関連するすべての情報を収集します。
  + VPC ID。
  + VPC セキュリティグループ
  + 関連付けられた IAM ロール (1 つもしくは複数)
  + 関連付けられたアベイラビリティーゾーン
  + 関連付けられたサブネット
+ ドメインが (VPC エンドポイントではなく) 通常のエンドポイントを持つ場合は、パブリックネットワークが使用されることに注意します。
+ 毎日の自動スナップショットの開始時間 (ユーザーによる確認用)

続行する前に、Amazon Quick 管理者は Amazon Quick から OpenSearch Service への認可された接続を有効にします。このプロセスは、Amazon Quick から接続するすべての AWS サービスに必要です。これは、データソースとして使用するサービス AWS アカウント ごとに AWS 1 回のみ実行する必要があります。

OpenSearch Service の場合、承認プロセスは AWS 管理ポリシー`AWSQuickSightOpenSearchPolicy`を に追加します AWS アカウント。

**重要**  
OpenSearch ドメインの IAM ポリシーが、`AWSQuickSightOpenSearchPolicy` のアクセス許可と競合していないことを確認します。このドメインのアクセスポリシーは、OpenSearch Service コンソールに表示されています。詳細については、*Amazon OpenSearch Service デベロッパー ガイド*の「[Configuring access policies](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-creating)」を参照してください。

**Amazon Quick から OpenSearch Service への接続を有効または無効にするには**

1. Amazon Quick 内で、**Administrator** と **Manage Amazon Quick** を選択します。

1. [**Security & Permissions (セキュリティとアクセス許可)**] で、[**Add or remove (追加または削除)**] を選択します。

1. 接続を有効にするには、[**Amazon OpenSearch Service**] のチェックボックスをオンにします。

   接続を無効にするには、[**Amazon OpenSearch Service**] のチェックボックスをオフにします。

1. 選択内容を確認するには、**[Update]** (更新) を選択します。

必要に応じて、以下のトピックを使用して、Amazon Quick が OpenSearch にアクセスするための OpenSearch VPC OpenSearch 接続とアクセス許可を設定します。

**Topics**
+ [VPC 接続の使用](#opensearch-and-vpc-connection)
+ [OpenSearch のアクセス許可の使用](#opensearch-permissions)

## VPC 接続の使用
<a name="opensearch-and-vpc-connection"></a>

一部の OpenSearch ドメインは、Amazon VPC サービスをベースにした仮想プライベートクラウド (VPC) 内に置かれている場合があります。その場合は、Amazon Quick が OpenSearch ドメインが使用する VPC ID に既に接続されているかどうかを確認してください。既存の VPC 接続を再利用できます。動作しているかどうかわからない場合は、テストできます。詳細については、[「Amazon VPC データソースへの接続のテスト](https://docs.aws.amazon.com/quicksight/latest/user/vpc-creating-a-quicksight-data-source-profile.html)」を参照してください。

使用する VPC の Amazon Quick で接続がまだ定義されていない場合は、接続を作成できます。このタスクは複数ステップからなるプロセスで、次の作業に移る前に完了する必要があります。Amazon Quick を VPC に追加し、Amazon Quick から VPC への接続を追加する方法については、「Amazon Quick [を使用した Amazon VPC への接続](https://docs.aws.amazon.com/quicksight/latest/user/working-with-aws-vpc.html)」を参照してください。

## OpenSearch のアクセス許可の使用
<a name="opensearch-permissions"></a>

OpenSearch Service に接続するように Amazon Quick を設定した後、OpenSearch でアクセス許可を有効にする必要がある場合があります。セットアッププロセスのこの手順では、各 OpenSearch ドメインの OpenSearch ダッシュボードリンクを使用できます。必要なアクセス許可を決定するには、次のリストを使用します。

1. きめ細かなアクセスコントロールを使用するドメインの場合は、ロール形式でアクセス許可を設定します。このプロセスは、Amazon Quick でスコープダウンポリシーを使用するのと似ています。

1. 役割を作成する各ドメインについて、ロールマッピングを追加します。

詳細については、以下を参照してください。

OpenSearch ドメインで[きめ細かなアクセスコントロール](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac.html)が有効になっている場合、ドメインに Amazon Quick からアクセスできるように を設定するアクセス許可がいくつかあります。使用するドメインごとに、これらの手順を実行します。

次の手順では、OpenSearch ダッシュボードを使用します。このダッシュボードは、OpenSearch で動作するオープンソースのツールです。このダッシュボードへのリンクは、OpenSearch Service コンソールのドメインダッシュボードに表示されています。

**Amazon Quick からのアクセスを許可するアクセス許可をドメインに追加するには**

1. 使用する OpenSearch ドメインで、OpenSearch ダッシュボードを開きます。URL は、`opensearch-domain-endpoint/dashboards/` です。

1. ナビゲーションペインで、[**セキュリティ**] をクリックします。

   ナビゲーションペインが表示されない場合は、左上のメニューアイコンを使用してナビゲーションペインを開きます。メニューを開いたままにするには、左下の **[Dock navigation]** (ドックナビゲーション) を選択します。

1. [**ロール**]、[**ロールの作成**] を選択します。

1. ロールに **quicksight\$1role** という名前を付けます。

   別の名前を選択することもできますが、ドキュメントで使用し、サポートが容易なため、この名前をお勧めします。

1. [**クラスターのアクセス許可**] に、以下のアクセス許可を追加します。
   + `cluster:monitor/main`
   + `cluster:monitor/health`
   + `cluster:monitor/state`
   + `indices:data/read/scroll`
   + `indices:data/read/scroll/clear`,

1. [**インデックスのアクセス許可**] では、**\$1** をインデックスパターンに指定します。

1. [**インデックスのアクセス許可**] に、以下のアクセス許可を追加します。
   + `indices:admin/get`
   + `indices:admin/mappings/get`
   + `indices:admin/mappings/fields/get*`
   + `indices:data/read/search*`
   + `indices:monitor/settings/get`

1. **[作成]** を選択します。

1. 使用する予定の各 OpenSearch ドメインに対し、この手順を繰り返します。

前の手順で追加したアクセス許可にロールマッピングを追加するには、以下の手順を使用します。アクセス許可とロールマッピングを 1 つのプロセスの一部として追加する方が効率的です。明確にするため、各手順を個別に説明します。

**追加した IAM ロールのロールマッピングを作成するには**

1. 使用する OpenSearch ドメインで、OpenSearch ダッシュボードを開きます。URL は、`opensearch-domain-endpoint/dashboards/` です。

1. ナビゲーションペインで、[**セキュリティ**] をクリックします。

1. リストから **quicksight\$1role** を検索し、それを開きます。

1. [**マップされたユーザー**] タブで、[**マッピングを管理**] をクリックします。

1. **バックエンドロール**セクションで、Amazon Quick の AWSマネージド IAM ロールの ARN を入力します。次に例を示します。

   ```
   arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0
   ```

1. [**マップ**] をクリックします。

1. 使用する各 OpenSearch ドメインについて、この手順を繰り返します。