OpenSearch クラスターのセキュリティを確保する

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

OpenSearch によるセキュリティのベストプラクティス

Confluence では、検索とインデックス作成に OpenSearch を使用するように設定できます。セキュリティのベストプラクティスに関する Opensearch のページの手順に従って、データのセキュリティを強化してください。

監査ログ

さらに、監査ログを有効にすることをお勧めします。

  1. 各ノードの opensearch.yml に次の行を追加してください。

    plugins.security.audit.type: internal_opensearch

    この設定では現在のクラスターに監査ログが保存されます。その他のストレージ オプションについては、「監査ログのストレージ タイプ」を参照してください。

  2. 各ノードを再起動します。

詳細なアクセス制御

セキュリティのベストプラクティスのためのアクションの 1 つは、制限付きのロールベースのポリシーを適用して、詳細なアクセス制御を設定することです。

Confluence には以下の権限を持つロールが必要です。

{
    "cluster_permissions": [       
        "cluster:admin/script/put",
        "indices:data/write/bulk",
        "cluster:monitor/*"
    ],
    "index_permissions":[
        {
            "index_patterns": ["confluence-*"],
            "allowed_actions": [
                "indices:admin/aliases",
                "indices:admin/create",
                "indices:admin/delete",
                "indices:admin/get",
                "indices:admin/mapping/put",
                "indices:admin/mappings/*",
                "indices:admin/settings/update",
                "indices:data/read/*",
                "indices:data/write/*",
                "indices:monitor/settings/get",
                "indices:monitor/stats"
            ]
        }
    ]
}

AWS リソースベースのポリシー

AWS OpenSearch サービスを使用している場合は、制限付きのリソースベースのアクセス ポリシーを適用することもお勧めします。

Confluenceには、以下のアクションを許可するリソースベースのポリシーを持つ AWS プリンシパルが必要です。

"Action": [
  "es:ESHttpPut",
  "es:ESHttpPost",
  "es:ESHttpGet",
  "es:ESHttpDelete",
  "es:ESHttpHead"
]

TLS/SSL

本番環境では、転送中にデータを確実に暗号化するために TLS/SSL を使用する必要があります。証明書の構成方法の詳細は「TLS 証明書の構成」で確認できます。自己署名証明書、または既定の CA 証明書に含まれていない証明書を使用している場合は、各 Confluence ノードの JRE のトラストストアに証明書を追加してください。

認証

AWS がホストする OpenSearch では IAM 認証を使用することをお勧めします。これは、opensearch.aws.region プロパティを構成ファイル confluence.cfg.xml で指定するか、システム プロパティとして指定することで実現されます。また、OpenSearch ドメインでは、制限付きのリソースベースのアクセス ポリシーを適用することをお勧めします。

AWS でホストされていない OpenSearchでは、ユーザー名/パスワードを指定して基本認証を行うことをお勧めします。構成の詳細については、「HTTP 基本認証」のページをご覧ください。ユーザー名とパスワードは、各ノードの設定ファイル confluence.cfg.xml (opensearch.username opensearch.password の下でそれぞれ) 指定する必要があります。システム プロパティとして設定することもできます。その場合は構成ファイルの内容がすべて上書きされます。

最終更新日: 2024 年 10 月 3 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.