OpenSearch クラスターのセキュリティを確保する
このページは OpenSearch アーリー アクセス プログラム (EAP) 向けです。
現在、OpenSearch はサポートされていません。EAP 期間中は、本番環境でのご利用をお控えください。一部の機能が使用できなくなります。これらはこのページの最後に記載されています。
OpenSearch EAP に関するご質問がある場合や、サポートが必要な場合は、こちらからお問い合わせください。
OpenSearch によるセキュリティのベストプラクティス
Confluence では、検索とインデックス作成に OpenSearch を使用するように設定できます。セキュリティのベストプラクティスに関する Opensearch のページの手順に従って、データのセキュリティを強化してください。
さらに、監査ログを有効にすることをお勧めします。
各ノードの
opensearch.ymlに次の行を追加してください。plugins.security.audit.type: internal_opensearchこの設定は、現在のクラスターに監査ログを保存します。その他のストレージ オプションについては、監査ログのストレージ タイプを参照してください
各ノードを再起動します。
詳細なアクセス制御
セキュリティのベストプラクティスのためのアクションの 1 つは、制限付きのロールベースのポリシーを適用して、詳細なアクセス制御を設定することです。
Confluence には以下の権限を持つロールが必要です。
{
"cluster_permissions": [
"cluster:admin/script/put",
"indices:data/write/bulk"
],
"index_permissions":[
{
"index_patterns": ["confluence-*"],
"allowed_actions": [
"indices:data/write/*",
"indices:data/read/search",
"indices:admin/create",
"indices:admin/get",
"indices:admin/mapping/put",
"indices:admin/mappings/*",
"indices:admin/delete",
"indices:monitor/settings/get",
"indices:monitor/stats",
"indices:admin/settings/update"
]
}
]
}AWS リソースベースのポリシー
AWS OpenSearch サービスを使用している場合は、制限付きのリソースベースのアクセス ポリシーを適用することもお勧めします。
Confluenceには、以下のアクションを許可するリソースベースのポリシーを持つ AWS プリンシパルが必要です。
"Action": [
"es:ESHttpPut",
"es:ESHttpPost",
"es:ESHttpGet",
"es:ESHttpDelete",
"es:ESHttpHead"
]
最終更新日 2024 年 4 月 2 日
Powered by Confluence and Scroll Viewport.