サービスにリンクされたロールを使用した OpenSearch Serverless コレクションの作成 - Amazon OpenSearch サービス
OpenSearch Serverless のサービスにリンクされたロールのアクセス許可 OpenSearch Serverless のサービスにリンクされたロールの作成 OpenSearch Serverless のサービスにリンクされたロールの編集 OpenSearch Serverless のサービスにリンクされたロールの削除 OpenSearch Serverless サービスにリンクされたロールでサポートされているリージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サービスにリンクされたロールを使用した OpenSearch Serverless コレクションの作成

OpenSearch Serverless は AWS Identity and Access Management 、(IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、 OpenSearch サービスに直接リンクされた一意のタイプのIAMロールです。サービスにリンクされたロールは OpenSearch 、サービスによって事前定義されており、ユーザーに代わってサービスから他の AWS のサービスを呼び出すために必要なすべてのアクセス許可が含まれています。

OpenSearch Serverless は、 という名前のサービスにリンクされたロールを使用します。これによりAWSServiceRoleForAmazonOpenSearchServerless、ロールがサーバーレス関連の CloudWatchメトリクスをアカウントに発行するために必要なアクセス許可が提供されます。に関連付けられたロールのアクセス許可ポリシーの名前 AWSServiceRoleForAmazonOpenSearchServerless は ですAmazonOpenSearchServerlessServiceRolePolicy。ポリシーの詳細については、AWS 「 マネージドポリシーリファレンスガイドAmazonOpenSearchServerlessServiceRolePolicy」の「」を参照してください。

OpenSearch Serverless のサービスにリンクされたロールのアクセス許可

OpenSearch Serverless は、 という名前のサービスにリンクされたロールを使用します。これにより AWSServiceRoleForAmazonOpenSearchServerless、 OpenSearch サーバーレスはユーザーに代わって AWS のサービスを呼び出すことができます。

AWSServiceRoleForAmazonOpenSearchServerless サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。

  • observability.aoss.amazonaws.com

という名前のロールアクセス許可ポリシーAmazonOpenSearchServerlessServiceRolePolicyは、 OpenSearch Serverless が指定されたリソースに対して以下のアクションを実行することを許可します。

  • アクション: すべての AWS リソースcloudwatch:PutMetricData

注記

ポリシーには 条件キー が含まれています。つまり{"StringEquals": {"cloudwatch:namespace": "AWS/AOSS"}}、サービスにリンクされたロールは AWS/AOSS CloudWatch名前空間にのみメトリクスデータを送信できます。

IAM エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成、編集、削除できるようにするには、アクセス権限を設定する必要があります。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールのアクセス許可」を参照してください。

OpenSearch Serverless のサービスにリンクされたロールの作成

サービスにリンクされたロールを手動で作成する必要はありません。 AWS Management Console、、 AWS CLIまたは で OpenSearch サーバーレスコレクションを作成すると AWS API、 OpenSearch サーバーレスはサービスにリンクされたロールを作成します。

注記

コレクションを初めて作成するときは、ID ベースのポリシーで iam:CreateServiceLinkedRole を割り当てる必要があります。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。 OpenSearch サーバーレスコレクションを作成すると、 OpenSearch サーバーレスはサービスにリンクされたロールを再度作成します。

IAM コンソールを使用して、Amazon OpenSearch Serverless ユースケースでサービスにリンクされたロールを作成することもできます。 AWS CLI または で AWS API、サービス名を使用してobservability.aoss.amazonaws.comサービスにリンクされたロールを作成します。

aws iam create-service-linked-role --aws-service-name "observability.aoss.amazonaws.com"

詳細については、IAM ユーザーガイドサービスにリンクされたロールの作成を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。

OpenSearch Serverless のサービスにリンクされたロールの編集

OpenSearch Serverless では、 AWSServiceRoleForAmazonOpenSearchServerless サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

OpenSearch Serverless のサービスにリンクされたロールの削除

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを保持しないようにできます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

を削除するには AWSServiceRoleForAmazonOpenSearchServerless、まず 内のすべての OpenSearch Serverless コレクションを削除する必要があります AWS アカウント。

注記

リソースを削除しようとしたときに OpenSearch Serverless がロールを使用している場合、削除が失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。

IAM を使用して、サービスにリンクされたロールを手動で削除するには

IAM コンソール、 AWS CLI、または AWS API を使用して、サービスにリンクされたロールを削除します AWSServiceRoleForAmazonOpenSearchServerless。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

OpenSearch Serverless サービスにリンクされたロールでサポートされているリージョン

OpenSearch Serverless は、 OpenSearch Serverless が利用可能なすべてのリージョンで、 AWSServiceRoleForAmazonOpenSearchServerless サービスにリンクされたロールの使用をサポートします。サポートされているリージョンのリストについては、「」の「Amazon OpenSearch Serverless エンドポイントとクォータ」を参照してくださいAWS 全般のリファレンス