Oracle Cloud Infrastructureドキュメント

OpenSearch IAMポリシーによる検索

OpenSearchを使用したSearchに必要なIAMポリシーおよび権限の詳細について学習します。

ユーザー許可

クラスタを作成または管理するには、OpenSearchリソースを使用して検索を作成および管理する権限に加えて、必要なネットワーキング・リソースを作成および管理するためのアクセス権をユーザーに付与する権限を構成する必要があります。ネットワーキング・リソースを含むコンパートメントにネットワーキング権限を構成する必要があるため、クラスタがVCNおよびサブネットとは異なるコンパートメントにある場合は、VCNおよびサブネットを含むコンパートメントにネットワーキング権限が構成されていることを確認します。

次のポリシーの例には、カスタム・グループSearchOpenSearchAdminsに必要な権限が含まれています。 

Allow group SearchOpenSearchAdmins to manage vnics in compartment <NETWORK_RESOURCES_COMPARTMENT>
Allow group SearchOpenSearchAdmins to manage vcns in compartment <NETWORK_RESOURCES_COMPARTMENT>
Allow group SearchOpenSearchAdmins to manage subnets in compartment <NETWORK_RESOURCES_COMPARTMENT>
Allow group SearchOpenSearchAdmins to use network-security-groups in compartment <NETWORK_RESOURCES_COMPARTMENT>
Allow group SearchOpenSearchAdmins to manage opensearch-family in compartment <CLUSTER_RESOURCES_COMPARTMENT>
ヒント

この例のSearchOpenSearchAdminsグループは、作成するカスタム・グループを参照します。詳細は、グループの管理を参照してください。

この例に含まれるネットワーキング・リソースに対する権限は、指定どおりに必要です。この例の最後の行で指定されたOpenSearchリソースを使用して、検索の権限をより細かく構成できます。

リソース・タイプ

OpenSearchで検索すると、ポリシーを記述するための集約リソース・タイプと個別リソース・タイプの両方が提供されます。

集約リソース・タイプ
opensearch-family
個々のリソース・タイプ
opensearch-clusters
opensearch-cluster-backups
opensearch-work-requests

集約リソース・タイプを使用すると、記述するポリシーの数を削減できます。opensearch-familyを使用するポリシーは、個々のリソース・タイプごとに個別のステートメントを使用して記述することと同じです。

サンプル・ポリシー

次のポリシーは、グループSearchOpenSearchAdminsへのアクセス権を付与し、Search with OpenSearchリソースですべてのOCIを作成および管理します。

ヒント

これらの例のSearchOpenSearchAdminsグループは、作成するカスタム・グループを参照します。詳細は、グループの管理を参照してください。
Allow group SearchOpenSearchAdmins to manage opensearch-family in compartment <YOUR_COMPARTMENT>

単一のリソース・タイプへのアクセスを制限するには、次のいずれかのポリシーを使用します。

Allow group SearchOpenSearchAdmins to manage opensearch-clusters in compartment <YOUR_COMPARTMENT>
Allow group SearchOpenSearchAdmins to manage opensearch-cluster-backups in compartment <YOUR_COMPARTMENT>
Allow group SearchOpenSearchAdmins to manage opensearch-work-requests in compartment <YOUR_COMPARTMENT>

ポリシーを初めて使用する場合は、ポリシーの開始および共通ポリシーを参照してください。

API操作に必要な権限

次の表は、論理的な順序で、リソース・タイプ別にグループ化してAPI操作を示しています。

API操作 操作の使用に必要な権限
BackupElasticsearchCluster OPENSEARCH_CLUSTER_MANAGE
ChangeElasticsearchClusterCompartment OPENSEARCH_CLUSTER_MANAGE
CreateElasticsearchCluster OPENSEARCH_CLUSTER_MANAGE
DeleteElasticsearchCluster OPENSEARCH_CLUSTER_MANAGE
GetElasticsearchCluster OPENSEARCH_CLUSTER_INSPECT
ListElasticsearchClusters OPENSEARCH_CLUSTER_INSPECT
ResizeElasticsearchCluster OPENSEARCH_CLUSTER_USE
RestoreElasticsearchCluster OPENSEARCH_CLUSTER_USE
UpdateElasticsearchCluster OPENSEARCH_CLUSTER_USE
UpgradeElasticsearchCluster OPENSEARCH_CLUSTER_USE
ChangeElasticsearchClusterBackupCompartment OPENSEARCH_CLUSTER_BACKUP_MANAGE
DeleteElasticsearchClusterBackup OPENSEARCH_CLUSTER_BACKUP_MANAGE
ExportElasticsearchClusterBackup OPENSEARCH_CLUSTER_BACKUP_USE
GetElasticsearchClusterBackup OPENSEARCH_CLUSTER_BACKUP_INSPECT
ListElasticsearchClusterBackups OPENSEARCH_CLUSTER_BACKUP_INSPECT
RestoreElasticsearchClusterBackup OPENSEARCH_CLUSTER_BACKUP_USE
UpdateElasticsearchClusterBackup OPENSEARCH_CLUSTER_BACKUP_USE
GetElasticsearchClusterNode OPENSEARCH_CLUSTER_NODE_INSPECT
ListElasticsearchClusterNodes OPENSEARCH_CLUSTER_NODE_INSPECT
GetWorkRequest OPENSEARCH_WORK_REQUEST_INSPECT
ListWorkRequestErrors OPENSEARCH_WORK_REQUEST_INSPECT
ListWorkRequestLogs OPENSEARCH_WORK_REQUEST_INSPECT
ListWorkRequests OPENSEARCH_WORK_REQUEST_INSPECT