Amazon Virtual Private Cloud (Amazon VPC) エンドポイントを使用して Amazon OpenSearch Serverless コレクションをセットアップし、コレクションのダッシュボードにアクセスしたいです。
簡単な説明
Amazon VPC と OpenSearch Serverless コレクションの間にプライベート接続を作成するには、コレクションへのネットワークアクセスが可能な Amazon VPC を設定します。
データを閲覧および管理するには、認証タイプに基づいて OpenSearch ダッシュボードにアクセスします。
解決策
Amazon VPC ネットワークアクセスを使用して OpenSearch Serverless コレクションをセットアップする
Amazon VPC ネットワークアクセスを使用して OpenSearch Serverless コレクションを作成するには、次の手順を実行します。
Amazon VPC、サブネット、および関連リソースを作成する
Amazon VPC と関連リソースを作成するには、次の手順を実行します。
- Amazon VPC コンソールを開きます。
- Amazon VPC を作成します。次の設定を使用します。
[DNS 設定] で、[DNS resolutionInfo を有効にする] および [DNS hostnamesInfo を有効にする] を選択します。
- インターネットゲートウェイを作成してから、Amazon VPC にアタッチします。
- Amazon VPC で、サブネットを作成します。
- サブネットに関連付けられているルートテーブルで、すべてのトラフィック (0.0.0.0/0) がインターネットゲートウェイを通過するルートを追加します。
- Amazon VPC のセキュリティグループを作成します。
- すべてのインバウンドトラフィック (0.0.0.0/0) を許可するイングレスルールをセキュリティグループに追加します。
注: Amazon VPC で特定の IP アドレスまたはリソースのみを許可するには、ユースケースに合わせてインバウンドルールを変更します。
** Amazon VPC エンドポイントを使用して OpenSearch Serverless コレクションを作成する**
OpenSearch Serverless コレクションを作成するには、以下の手順を実行します。
- Amazon OpenSearch コンソールを開き、[コレクション] を選択します。
- [コレクションを作成] を選択します。
- コレクション名、説明、コレクションタイプを入力します。
- [セキュリティ] で [標準作成] を選択します。
- ネットワークアクセス設定には、[VPC (推奨)] を選択します。
- [VPC エンドポイントの作成] を選択し、Amazon VPC、サブネット、セキュリティグループを選択します。
- [リソースタイプ] で、[OpenSearch エンドポイントへのアクセスを有効にする] および [OpenSearch ダッシュボード] を選択します。
- [次へ] を選択します。
- [データアクセスの設定] で、OpenSearch Serverless コレクションにアクセスできるロール、ユーザー、グループにアクセス許可を付与します。詳細については、「データアクセスポリシーの作成 (コンソール)」を参照してください。
- [次へ] を選択し、データアクセスポリシーの名前を入力します。
- 設定を確認したら、[送信] を選択します。
IAM アクセス許可を付与する
コレクションのデータアクセスポリシーでアクセス許可を付与したプリンシパルには、追加の AWS Identity and Access Management (IAM) アクセス許可を付与する必要があります。プリンシパルがデータプレーン API と OpenSearch ダッシュボードにアクセスするには、これらのアクセス許可が必要です。IAM または SAML ID のみが OpenSearch ダッシュボードにアクセスできます。
次のサンプルポリシーには、必要なアクセス許可が記載されています。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "aoss:APIAccessAll",
"Resource": "arn:aws:aoss:region:account-id:collection/collection-id"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "aoss:DashboardsAccessAll",
"Resource": "arn:aws:aoss:region:account-id:dashboards/default"
}
]
}
OpenSearch ダッシュボードに関連する特定のアクションにアクセス許可を付与することもできます。詳細については、「OpenSearch Serverless 用のアイデンティティベースのポリシー例」を参照してください。
OpenSearch Serverless に SAML 認証を使用する場合、OpenSearch エンドポイントへのシングルサインオン (SSO) アクセスには既存のアイデンティティプロバイダーを使用できます。
コレクションのダッシュボードにアクセスする
コレクションのダッシュボードにアクセスするには、次のステップを実行して Amazon VPC に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを作成します。
- コレクションのエンドポイントを作成したときと同じ Amazon VPC に EC2 インスタンスを作成します。
- AWS マネジメントコンソールで [VPC] に移動し、[セキュリティグループ] を選択します。
- エンドポイントに関連付けられているセキュリティグループのインバウンドルールで、Amazon EC2 インスタンスにアタッチされているセキュリティグループを許可します。
- EC2 インスタンスを起動します。
- インスタンスで、ブラウザを開きます。次に、認証タイプに応じて次の手順を実行します。
IAM 認証を行うには、お使いの IAM ID で AWS マネジメントコンソールにサインインします。次に、Amazon OpenSearch コンソールから [OpenSearch ダッシュボード URL] を選択します。
または、
SAML 認証の場合は、OpenSearch エンドポイントを開いてリダイレクトし、認証の詳細を入力します。
関連情報
VPC エンドポイントを使用して Amazon OpenSearch Serverless コレクションにアクセスする
インターフェイスエンドポイント (AWS PrivateLink) を使用して Amazon OpenSearch Serverless にアクセスする
データアクセスポリシーと IAM ポリシーの比較