OpenSearch クラスターのセキュリティを確保する
OpenSearch によるセキュリティのベストプラクティス
Confluence では、検索とインデックス作成に OpenSearch を使用するように設定できます。セキュリティのベストプラクティスに関する Opensearch のページの手順に従って、データのセキュリティを強化してください。
監査ログ
さらに、監査ログを有効にすることをお勧めします。
各ノードの
opensearch.ymlに次の行を追加してください。plugins.security.audit.type: internal_opensearchこの設定では現在のクラスターに監査ログが保存されます。その他のストレージ オプションについては、「監査ログのストレージ タイプ」を参照してください。
各ノードを再起動します。
詳細なアクセス制御
セキュリティのベストプラクティスのためのアクションの 1 つは、制限付きのロールベースのポリシーを適用して、詳細なアクセス制御を設定することです。
Confluence には以下の権限を持つロールが必要です。
{
"cluster_permissions": [
"cluster:admin/script/put",
"indices:data/write/bulk",
"cluster:monitor/*"
],
"index_permissions":[
{
"index_patterns": ["confluence-*"],
"allowed_actions": [
"indices:admin/aliases",
"indices:admin/create",
"indices:admin/delete",
"indices:admin/get",
"indices:admin/mapping/put",
"indices:admin/mappings/*",
"indices:admin/settings/update",
"indices:data/read/*",
"indices:data/write/*",
"indices:monitor/settings/get",
"indices:monitor/stats"
]
}
]
}AWS リソースベースのポリシー
AWS OpenSearch サービスを使用している場合は、制限付きのリソースベースのアクセス ポリシーを適用することもお勧めします。
Confluenceには、以下のアクションを許可するリソースベースのポリシーを持つ AWS プリンシパルが必要です。
"Action": [
"es:ESHttpPut",
"es:ESHttpPost",
"es:ESHttpGet",
"es:ESHttpDelete",
"es:ESHttpHead"
]TLS/SSL
本番環境では、転送中にデータを確実に暗号化するために TLS/SSL を使用する必要があります。証明書の構成方法の詳細は「TLS 証明書の構成」で確認できます。自己署名証明書、または既定の CA 証明書に含まれていない証明書を使用している場合は、各 Confluence ノードの JRE のトラストストアに証明書を追加してください。
認証
AWS がホストする OpenSearch では IAM 認証を使用することをお勧めします。これは、opensearch.aws.region プロパティを構成ファイル confluence.cfg.xml で指定するか、システム プロパティとして指定することで実現されます。また、OpenSearch ドメインでは、制限付きのリソースベースのアクセス ポリシーを適用することをお勧めします。
AWS でホストされていない OpenSearchでは、ユーザー名/パスワードを指定して基本認証を行うことをお勧めします。構成の詳細については、「HTTP 基本認証」のページをご覧ください。ユーザー名とパスワードは、各ノードの設定ファイル confluence.cfg.xml (opensearch.username と opensearch.password の下でそれぞれ) 指定する必要があります。システム プロパティとして設定することもできます。その場合は構成ファイルの内容がすべて上書きされます。