OpenSearch クラスターのセキュリティを確保する
詳細なアクセス制御
セキュリティのベストプラクティスのためのアクションの 1 つは、制限付きのロールベースのポリシーを適用して、詳細なアクセス制御を設定することです。
Jira は、次の権限を持つロールを必要とします。
"cluster_permissions": [
"cluster:admin/script/put",
"indices:data/write/bulk",
"cluster:monitor/*",
"indices:data/read/scroll/clear"
],
"index_permissions":[
{
"index_patterns": ["jira-issues*"],
"allowed_actions": [
"indices:admin/aliases",
"indices:admin/create",
"indices:admin/delete",
"indices:admin/get",
"indices:admin/mapping/put",
"indices:admin/mappings/*",
"indices:admin/refresh*",
"indices:admin/settings/update",
"indices:data/read/*",
"indices:data/write/*",
"indices:monitor/settings/get",
"indices:monitor/stats"
]
}
]
}AWS リソースベースのポリシー
AWS OpenSearch サービスを使用している場合は、制限付きのリソースベースのアクセス ポリシーを適用することもお勧めします。
Jira は、次のアクションを許可するリソースベースのポリシーを持つ AWS プリンシパルを必要とします。
"Action": [
"es:ESHttpPut",
"es:ESHttpPost",
"es:ESHttpGet",
"es:ESHttpDelete",
"es:ESHttpHead"
]TLS/SSL
本番環境では、転送中にデータを確実に暗号化するために TLS/SSL を使用する必要があります。証明書の設定方法に関する詳細は「TLS 証明書を設定する」をご確認ください。自己署名証明書、または既定の CA 証明書に含まれていない証明書を使用している場合は、各 Jira ノードの JRE のトラストストアに証明書を追加してください。
認証
AWS がホストする OpenSearch では IAM 認証のご利用をお勧めします。これは、opensearch.aws.region プロパティを構成ファイル jira-config.properties で指定することで実現できます。また、ご利用の OpenSearch ドメインに対して、制限付きのリソースベースのアクセス ポリシーを適用することもお勧めします。
AWS でホストされていない OpenSearch では、ユーザー名とパスワードを指定して基本認証を行うことをお勧めします。構成の詳細については、「HTTP 基本認証」のページをご覧ください。ユーザー名とパスワードは、opensearch.username と opensearch.password にある、各ノードの構成ファイル jira-config.properties で指定する必要があります。jira-config.properties ファイルで opensearch.username と opensearch.password を設定して Jira を起動すると、Jira はプレーン テキストの値を暗号化して、安全なシークレット プレースホルダー {ATL_SECURED} に置き換えます。保護されたシークレットの詳細についてはこちらをご覧ください。