Amazon CloudSearchのfull IAM Integrationについて

先日AWSのSecurity Blogで↓のPostがありました。
Amazon CloudSearch: Now with More Granular Access Control for Domains
日本語でいうと『ドメインに対して、もっときめ細やかなアクセス制御が出来るようになりました』といったところ。
内容的には、今までIPアドレスによる制御だったところも含めて、全ての動作をIAMと連携させて制御出来るようになりましたよ〜、と。
 
リリースノートはこちら↓
・CloudSearchのリリースノート
http://aws.amazon.com/releasenotes/Amazon-CloudSearch/1871900091956327
・CloudSearchに関するSDKのリリースノート
http://aws.amazon.com/releasenotes/JavaScript/9496928936129263
http://aws.amazon.com/releasenotes/Java/2138336306646950
http://aws.amazon.com/releasenotes/.NET/3056128390492459
http://aws.amazon.com/releasenotes/Ruby/4398926695262630
 
 
ということで、感触を掴むために実際に試してみたいと思います。
 
 
■ 検索ドメインの作成
 
検索ドメインを作っていくところでアクセス制御のところの見た目がだいぶ変わっています。

 
今まではIPによる制御だったdocument(インデクシング)とsearch(検索)のところが
Search and Suggester service: Allow all. Document Service: Account owner only.
にしてみると↓のようになりました。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "*"
        ]
      },
      "Action": [
        "cloudsearch:search",
        "cloudsearch:suggest"
      ]
    }
  ]
}

 
 
■ 検索してみる
 
サンプルの映画のデータを元にjamesで検索してみます。
 
・Management Consoleから叩くとガッツリ返ってきます。

 
・URLをブラウザから入力すると、、anonymousはだーめよ、と。

 
・CLI経由で叩いてみます⇒イイ感じです(´▽`)

$ aws cloudsearchdomain search --endpoint-url https://search-access-wjysaokxvaj3fil3hkw4vbmdi4.ap-northeast-1.cloudsearch.amazonaws.com/ --search-query james

{
    "status": {
        "rid": "hNOPlP8oCgqnCm0=",
        "time-ms": 3
    },
    "hits": {
        "found": 304,
        "hit": [
            {
                "fields": {
                    "rating": "7.5",
                    "genres": [
                        "Biography",
                        "Crime",
                        "Drama",
                        "History",
                        "Western"
                    ],
                    "plot": "Robert Ford, who's idolized Jesse James since childhood, tries hard to join the reforming gang of the Missouri outlaw, but gradually becomes resentful of the bandit leader.",
・・・

今回はとてもシンプルにやりましたが、この searchdomain は、
クエリパーサーも選べますし、ハイライトとかファセットとかフィルタークエリーといったところも
サポートされていて、動作検証の際などに重宝しています↓
http://docs.aws.amazon.com/cli/latest/reference/cloudsearchdomain/search.html
 
 

今回のIAMインテグレーションは、SuggestやDocument(インデクシング)にも、もちろん使えますし、
クレデンシャル周りはEC2にIAM ROLEを付けるような運用にすると良さそうですね!
 

Amazon Web Services 基礎からのネットワーク&サーバー構築
玉川憲、片山暁雄、今井雄太
日経BP社
売り上げランキング: 1,399

シェアする

  • このエントリーをはてなブックマークに追加

フォローする