首次在AWS上创建Elasticsearch时的角色、策略和权限设置。

序言

• この記事は自分が Elasticsaerch 作成にあたって権限周りでわからなかったことをまとめた記事です。

詳細・最新・正確な情報などは公式ドキュメントに全部書いてあるので、基本的にそちらを参照ください。

我想做的事情

Elasticsearch on AWS を Create Domain から新しく始めるとき、仕組みを理解した上でロールの設定をしたい。

先下结论

• もしService-linked Roleについて理解してないなら、これをきちんと理解するのが大事だった。（というか、この記事的にもあまりES関係ない）

• IAM にてロールを作成して、下記２つのアクションを許可したポリシーも持たせる。

es:CreateElasticsearchServiceRole
iam:CreateServiceLinkedRole
（REF: Amazon ES のサービスにリンクされたロールの使用 – Amazon Elasticsearch Service）

下記のロールはユーザーへの割り当ては不要。（ユーザーに付与する用途ではなくて、自動的に Elasticsearch に対して付与される用途のものだから。）

AWSServiceRoleForAmazonElasticsearchService

关于服务相关角色

在进行这个设置之前，需要先理解服务链接角色。

请参考此处以获取IAM角色和服务关联角色的比较和详细说明。

【アップデート】AWS サービスに権限付与する「Service-Linked Roles」が IAM の要素に追加されました！ | Developers.IO

然而，对于我个人来说，仅凭这些信息很难形成具体的想法，因此我需要边考虑具体例子边理解。

具体的例子：前提

• 具体例として扱うサービスは Elasticsearch（以後、ElasticsearchかES）

「Elasticsearch を作成する」を実現していく。

例如：一个具体的例子是，

「何かの操作」をしたときに、Service-linked Role は「自動的」に作成される。

今回の例だと「ES の作成」の操作をすることで、Serviced-linked Roleも自動的に作成される。

Serviced-Linked Role の具体的な内容（アクションなど）はサービス・操作によって違う。

今回の例だと「ES の作成」の場合は、AmazonElasticsearchServiceRolePolicy のロールも自動的に作成される。（そのためService-linked roleの作成権限もユーザーに必要。後述する）
このロールと ES はリンクされる。その結果、ES はAmazonElasticsearchServiceRolePolicyにて許可されてる範囲の操作も行えるようになる。

具体实例：在事情发生之前

因此，在这种案例中，对于正在尝试创建ES的用户，需要提前获得以下操作许可。

es:CreateElasticsearchServiceRole

Elasticsaerch自体を作成する権限

iam:CreateServiceLinkedRole

Service-linked Role を作成する権限

最后

因为要建立Elasticsearch的基础架构，所以我从零开始进行了调查。
最后，导致问题的原因不是对ES周边知识的理解不深，而是对服务关联角色的理解不够。通过进行基础架构建设和撰写这篇文章，使我能够整理思路，因此我将其作为一篇文章整理在这里。

请用中文将以下内容进行改写：

参考来源

• 【アップデート】AWS サービスに権限付与する「Service-Linked Roles」が IAM の要素に追加されました！ | Developers.IO

• Amazon ES のサービスにリンクされたロールの使用 – Amazon Elasticsearch Service

Amazon Elasticsearch Service ドメインの作成と設定 – Amazon Elasticsearch Service