翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon OpenSearch Service のドメインセキュリティの設定
OpenSearch Service でプラグインを使用するには、ドメインにアクセスするユーザーまたはロールが、先ほど作成した [OpenSearch Service 用の IAM サービスロール](service-role-managed.md)に対する `PassRole` アクセス許可を持っている必要があります。また、ユーザーまたはロールには、`es:ESHttpGet` および `es:ESHttpPut` アクションを実行するためのアクセス許可が必要です。
OpenSearch Service へのアクセス許可の設定については、**「Amazon OpenSearch Service デベロッパーガイド」の「[Amazon OpenSearch Service のセキュリティ](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/security.html)」を参照してください。IAM ポリシーの例については、「[OpenSearch Service のユーザーまたはロールのポリシー例](#opensearch-domain-user-policy-examples)」を参照してください。
## OpenSearch Service のユーザーまたはロールのポリシー例
次の IAM ポリシーの例では、[リソースが同じアカウントにある場合のアクセス許可の設定](service-role-managed.md) で作成した OpenSearch Service 用の IAM サービスロールの `PassRole` アクセス許可をユーザーまたはロールに付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::{{111122223333}}:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService"
}
]
}
```
------
次の IAM ポリシーは、OpenSearch Service でパイプラインと検索クエリを作成するための最低限の許可を付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"es:ESHttpGet",
"es:ESHttpPut"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:ResourceTag/environment": [
"production"
]
}
}
}
]
}
```
------