OpenSearchを使用した検索でのロールベースのアクセス制御
OpenSearchクラスタでのロールベースのアクセス制御の使用について学習します。
OpenSearchを使用したOCI検索には、OpenSearchクラスタへのロールベースのアクセスを可能にするOpenSearchセキュリティ・プラグインが含まれています。ロールベースのアクセス制御を使用すると、OpenSearchクラスタに接続するときにユーザーがアクセスおよび構成できるものを定義および制御できます。ロールベースのアクセス制御では、クラスタへの接続時またはクラスタのOpenSearchダッシュボードへのアクセス時に、ユーザー名とパスワードを指定する必要があります。
役割ベースのアクセス制御の構成
ロールベースのアクセス制御を使用するには、クラスタで機能を有効にする必要があります。ロールベースのアクセス制御はデフォルトで有効になっており、コンソールで作成されたすべての新規クラスタに必要です。
コンソールで作成されていない既存のクラスタおよびクラスタの場合、ロールベースのアクセス制御機能が有効になっているかどうかわからない場合は、セキュリティ・モードの検証で有効になっているかどうかを確認する方法を参照してください。役割ベースのアクセス制御がクラスタで有効になっていない場合、有効にするには、Upgrading an Existing Cluster for Role-Based Access Controlで説明されている手順を実行する必要があります。
新しいクラスタを作成する場合は、プライマリ・ユーザー・アカウントのユーザー名とパスワードを指定します。これは、クラスタまたはクラスタのOpenSearchダッシュボードに接続して、クラスタの他のユーザーおよびロールを作成および構成するために使用する管理者タイプのアカウントです。詳細は、次を参照してください:
追加のユーザーを作成しない場合は、OpenSearchクラスタに接続するたびにこのアカウントを使用できますが、クラスタをより細かく制御できるように、追加のアカウントを構成することをお薦めします。プライマリ・ユーザー・アカウントの名前は変更できません。パスワードを変更するには、「プライマリ・アカウントのパスワードの変更」を参照してください。
制限事項および考慮事項
- OpenSearchで検索すると、ロールベースのアクセス制御でOpenSearchの内部ユーザーのみがサポートされます。現時点では、サービスは他の認証プロトコルをサポートしていません。
- プライマリ・アカウントのユーザー名では大文字と小文字が区別されず、プライマリ・ユーザー名としてadminを指定できません。
- クラスタの作成時またはアップグレード時に指定したプライマリ・アカウントのユーザー名は変更できません。
- 他のすべてのOpenSearchユーザー・アカウントは、OpenSearchクラスタまたはクラスタのOpenSearchダッシュボードから管理します。
プライマリアカウントのパスワードの変更
役割ベースアクセスのプライマリアカウントのパスワードを変更するには、次の手順を実行します。
- 「クラスタ」リスト・ページで、操作するクラスタを選択します。リスト・ページまたはクラスタの検索に関するヘルプが必要な場合は、OpenSearchクラスタのリストを参照してください。
- 「クラスタ」リストで、アカウントのパスワードを変更するクラスタの名前として指定します。
- 「セキュリティ情報」タブで、「セキュリティ情報の更新」を選択します。
- 新しいパスワードを指定してから、「パスワードの確認」に新しいパスワードを再入力します。
- 「Save changes」を選択します。