翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon OpenSearch Ingestion の アイデンティティとアクセス管理
AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御 AWS のサービス するのに役立つ です。IAM 管理者は、どのユーザーに対して*認証* (サインイン受け入れ) を行い、OpenSearch Ingestion リソースの使用を*承認* (アクセス許可を付与) するかを制御します。IAM は、追加料金なしで使用できる AWS のサービス です。
**Topics**
+ [OpenSearch Ingestion でのアイデンティティベースのポリシー](#security-iam-ingestion-id-based-policies)
+ [OpenSearch Ingestion のポリシーアクション](#security-iam-ingestion-id-based-policies-actions)
+ [OpenSearch Ingestion のポリシーリソース](#security-iam-ingestion-id-based-policies-resources)
+ [Amazon OpenSearch Ingestion のポリシー条件キー](#security_iam_ingestion-conditionkeys)
+ [OpenSearch Ingestion での ABAC](#security_iam_ingestion-with-iam-tags)
+ [OpenSearch Ingestion での一時的な認証情報の使用](#security_iam_ingestion-tempcreds)
+ [OpenSearch Ingestion でのサービスにリンクされたロール](#security_iam_ingestion-slr)
+ [OpenSearch Ingestion での ID ベースのポリシー例](#security_iam_ingestion_id-based-policy-examples)
## OpenSearch Ingestion でのアイデンティティベースのポリシー
**アイデンティティベースのポリシーのサポート:** あり
アイデンティティベースポリシーは、IAM ユーザー、ユーザーグループ、ロールなど、アイデンティティにアタッチできる JSON 許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。アイデンティティベースポリシーの作成方法については、「*IAM ユーザーガイド*」の「[カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。
IAM アイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、およびアクションを許可または拒否する条件を指定できます。JSON ポリシーで使用できるすべての要素について学ぶには、「*IAM ユーザーガイド*」の「[IAM JSON ポリシーの要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
### OpenSearch Ingestion での ID ベースのポリシー例
OpenSearch Ingestion での ID ベースのポリシー例については、「[OpenSearch Ingestion での ID ベースのポリシー例](#security_iam_ingestion_id-based-policy-examples)」を参照してください。
## OpenSearch Ingestion のポリシーアクション
**ポリシーアクションのサポート:** あり
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。ポリシーアクションの名前は通常、関連付けられた AWS API オペレーションと同じです。一致する API オペレーションのない*許可のみのアクション*など、いくつかの例外があります。また、ポリシーに複数のアクションが必要なオペレーションもあります。これらの追加アクションは*依存アクション*と呼ばれます。
このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
OpenSearch Ingestion のポリシーアクションでは、アクションの前に次のプレフィックスを使用します。
```
osis
```
単一のステートメントで複数のアクションを指定するには、アクションをカンマで区切ります。
```
"Action": [
"osis:{{action1}}",
"osis:{{action2}}"
]
```
ワイルドカード文字 (\*) を使用すると、複数のアクションを指定することができます。例えば、`List` という単語で始まるすべてのアクションを指定するには次のアクションを含めます。
```
"Action": "osis:List*"
```
OpenSearch Ingestion での ID ベースのポリシー例については、「[OpenSearch Serverless での ID ベースのポリシー例](security-iam-serverless.md#security_iam_id-based-policy-examples)」を参照してください。
## OpenSearch Ingestion のポリシーリソース
**ポリシーリソースのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\*) を使用します。
```
"Resource": "*"
```
## Amazon OpenSearch Ingestion のポリシー条件キー
**サービス固有のポリシー条件キーへのサポート:** なし
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
OpenSearch Ingestion の条件キーのリストは、「*サービス認証リファレンス*」の「[Condition keys for Amazon OpenSearch Ingestion](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchingestion.html#amazonopensearchingestion-policy-keys)」でご確認ください。条件キーの使用が可能なアクションおよびリソースについては、「[Amazon OpenSearch Ingestion で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchingestion.html#amazonopensearchingestion-actions-as-permissions)」を参照してください。
## OpenSearch Ingestion での ABAC
**ABAC (ポリシー内のタグ) のサポート:** あり
属性ベースのアクセス制御 (ABAC) は、タグと呼ばれる属性に基づいてアクセス許可を定義する認可戦略です。IAM エンティティと AWS リソースにタグをアタッチし、プリンシパルのタグがリソースのタグと一致するときにオペレーションを許可するように ABAC ポリシーを設計できます。
タグに基づいてアクセスを管理するには、`aws:ResourceTag/{{key-name}}`、`aws:RequestTag/{{key-name}}`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。
サービスがすべてのリソースタイプに対して 3 つの条件キーすべてをサポートする場合、そのサービスの値は**あり**です。サービスが一部のリソースタイプに対してのみ 3 つの条件キーのすべてをサポートする場合、値は「**部分的**」になります。
ABAC の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可でアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。ABAC をセットアップする手順を説明するチュートリアルについては、「*IAM ユーザーガイド*」の「[属性ベースのアクセスコントロール (ABAC) を使用する](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)」を参照してください。
OpenSearch Ingestion リソースのタグ付けの詳細については、「[Amazon OpenSearch Ingestion パイプラインのタグ付け](tag-pipeline.md)」を参照してください。
## OpenSearch Ingestion での一時的な認証情報の使用
**一時的な認証情報のサポート:** あり
一時的な認証情報は、 AWS リソースへの短期的なアクセスを提供し、フェデレーションまたはスイッチロールの使用時に自動的に作成されます。長期的なアクセスキーを使用する代わりに、一時的な認証情報を動的に生成 AWS することをお勧めします。詳細については、「*IAM ユーザーガイド*」の「[IAM の一時的な認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)」および「[AWS のサービス と IAM との連携](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## OpenSearch Ingestion でのサービスにリンクされたロール
**サービスリンクロールのサポート:** あり
サービスにリンクされたロールは、 にリンクされたサービスロールの一種です AWS のサービス。サービスは、ユーザーに代わってアクションを実行するロールを引き受けることができます。サービスにリンクされたロールは に表示され AWS アカウント 、サービスによって所有されます。IAM 管理者は、サービスリンクロールのアクセス許可を表示できますが、編集することはできません。
OpenSearch Ingestion は、`AWSServiceRoleForAmazonOpenSearchIngestionService` と呼ばれるサービスにリンクされたロールを使用します。`AWSServiceRoleForOpensearchIngestionSelfManagedVpce` という名前のサービスにリンクされたロールは、セルフマネージド VPC エンドポイントを持つパイプラインでも使用できます。OpenSearch Ingestion でのサービスにリンクされたロールの作成または管理の詳細については、「[サービスにリンクされたロールを使用した OpenSearch Ingestion パイプラインの作成](slr-osis.md)」を参照してください。
## OpenSearch Ingestion での ID ベースのポリシー例
デフォルトでは、OpenSearch Ingestion リソースを作成または変更する許可は、ユーザーおよびロールに付与されていません。IAM 管理者は、リソースで必要なアクションを実行するための権限をユーザーに付与する IAM ポリシーを作成できます。
これらのサンプルの JSON ポリシードキュメントを使用して IAM アイデンティティベースのポリシーを作成する方法については、「*IAM ユーザーガイド*」の「[IAM ポリシーを作成する (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)」を参照してください。
Amazon OpenSearch Ingestion で定義されるアクションとリソースタイプ (リソースタイプごとの ARN の形式を含む) の詳細については、「*サービス認証リファレンス*」の「[Actions, resources, and condition keys for Amazon OpenSearch Ingestion](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchingestion.html)」を参照してください。
**Topics**
+ [ポリシーに関するベストプラクティス](#security_iam_ingestion-policy-best-practices)
+ [コンソールでの OpenSearch Ingestion の使用](#security_iam_ingestion_id-based-policy-examples-console)
+ [OpenSearch Ingestion パイプラインの管理](#security_iam_id-based-policy-examples-pipeline-admin)
+ [OpenSearch Ingestion パイプラインへのデータの取り込み](#security_iam_id-based-policy-examples-ingest-data)
### ポリシーに関するベストプラクティス
アイデンティティベースポリシーは非常に強力です。このポリシーは、アカウント内の OpenSearch Ingestion リソースを作成、アクセス、または削除することが可能なユーザーを決定します。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
アイデンティティベースのポリシーは、アカウント内の OpenSearch Ingestion リソースを作成、アクセス、または削除することが可能なユーザーを決定します。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行** – ユーザーとワークロードにアクセス許可の付与を開始するには、多くの一般的なユースケースにアクセス許可を付与する*AWS 管理ポリシー*を使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、*IAM ユーザーガイド* の [AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) または [ジョブ機能のAWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) を参照してください。
+ **最小特権を適用する** – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、*IAM ユーザーガイド* の [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用されている場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます CloudFormation。詳細については、*IAM ユーザーガイド* の [IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) を参照してください。
+ **IAM アクセスアナライザー を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM アクセスアナライザー は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、*IAM ユーザーガイド* の [IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) を参照してください。
+ **多要素認証 (MFA) を要求する** – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、セキュリティを強化するために MFA を有効にします。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、*IAM ユーザーガイド* の [MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) を参照してください。
IAM でのベストプラクティスの詳細については、*IAM ユーザーガイド* の [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) を参照してください。
### コンソールでの OpenSearch Ingestion の使用
OpenSearch Ingestion コンソールで OpenSearch Ingestion にアクセスするには、最小限のアクセス許可セットが必要です。これらのアクセス許可により、 AWS アカウントの OpenSearch Ingestion リソースの詳細を一覧表示および表示できます。必要最低限の許可よりも制限が厳しいアイデンティティベースポリシーを作成すると、そのポリシーを持つエンティティ (IAM ロールなど) に対してコンソールが意図したとおりに機能しなくなります。
AWS CLI または AWS API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスが許可されます。
次のポリシーでは、OpenSearch Ingestion コンソールで OpenSearch Ingestion にアクセスすることを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Resource": "*",
"Effect": "Allow",
"Action": [
"osis:ListPipelines",
"osis:GetPipeline",
"osis:ListPipelineBlueprints",
"osis:GetPipelineBlueprint",
"osis:GetPipelineChangeProgress"
]
}
]
}
```
------
または、 [AmazonOpenSearchIngestionReadOnlyAccess](ac-managed.md#AmazonOpenSearchIngestionReadOnlyAccess) AWS 管理ポリシーを使用して、 のすべての OpenSearch Ingestion リソースへの読み取り専用アクセスを許可することもできます AWS アカウント。
### OpenSearch Ingestion パイプラインの管理
このポリシーは、ユーザーに対して Amazon OpenSearch Ingestion パイプラインの管理および運用を許可する「パイプライン管理者」ポリシーの一例です。ユーザーはパイプラインの作成、表示、削除を行うことができます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Resource": "arn:aws:osis:{{us-east-1}}:{{111122223333}}:pipeline/*",
"Action": [
"osis:CreatePipeline",
"osis:DeletePipeline",
"osis:UpdatePipeline",
"osis:ValidatePipeline",
"osis:StartPipeline",
"osis:StopPipeline"
],
"Effect": "Allow"
},
{
"Resource": "*",
"Action": [
"osis:ListPipelines",
"osis:GetPipeline",
"osis:ListPipelineBlueprints",
"osis:GetPipelineBlueprint",
"osis:GetPipelineChangeProgress"
],
"Effect": "Allow"
}
]
}
```
------
### OpenSearch Ingestion パイプラインへのデータの取り込み
このポリシー例では、ユーザーまたは他のエンティティに対して、アカウント内の Amazon OpenSearch Ingestion パイプラインにデータを取り込むことを許可します。ユーザーがパイプラインを変更することはできません。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Resource": "arn:aws:osis:{{us-east-1}}:{{123456789012}}:pipeline/*",
"Action": [
"osis:Ingest"
],
"Effect": "Allow"
}
]
}
```
------