Node-to-node enkripsi untuk Amazon OpenSearch Service

Node-to-node enkripsi menyediakan lapisan keamanan tambahan di atas fitur default OpenSearch Layanan Amazon.

Setiap domain OpenSearch Layanan — terlepas dari apakah domain tersebut menggunakan akses VPC — berada dalam VPC khusus miliknya sendiri. Arsitektur ini mencegah penyerang potensial mencegat lalu lintas antar OpenSearch node dan menjaga cluster tetap aman. Secara default, bagaimanapun, lalu lintas dalam VPC tidak dienkripsi. Node-to-nodeEnkripsi memungkinkan enkripsi TLS 1.2 untuk semua komunikasi dalam VPC.

Jika Anda mengirim data ke OpenSearch Layanan melalui HTTPS, node-to-node enkripsi membantu memastikan bahwa data Anda tetap dienkripsi sebagai OpenSearch mendistribusikan (dan mendistribusikan ulang) ke seluruh klaster. Jika data tiba tanpa dienkripsi melalui HTTP, OpenSearch Layanan mengenkripsi setelah mencapai cluster. Anda dapat mengharuskan semua lalu lintas ke domain tiba melalui HTTPS menggunakan konsol, AWS CLI, atau API konfigurasi.

Node-to-node enkripsi diperlukan jika Anda mengaktifkan kontrol akses berbutir halus.

Mengaktifkan enkripsi node-to-node

Node-to-node enkripsi pada domain baru memerlukan versi apa pun dari OpenSearch, atau Elasticsearch 6.0 atau yang lebih baru. Mengaktifkan node-to-node enkripsi pada domain yang ada memerlukan versi apa pun dari OpenSearch, atau Elasticsearch 6.7 atau yang lebih baru. Pilih domain yang ada di konfigurasi keamanan AWS konsol, Tindakan, dan Edit.

Atau, Anda dapat menggunakan API konfigurasi AWS CLI atau. Untuk informasi selengkapnya, lihat Referensi AWS CLI Perintah dan Referensi API OpenSearch Layanan.

Menonaktifkan enkripsi node-to-node

Setelah Anda mengonfigurasi domain untuk menggunakan node-to-node enkripsi, Anda tidak dapat menonaktifkan pengaturan. Sebagai gantinya, Anda dapat mengambil Snapshot manual dari domain yang sudah dienkripsi, membuat domain lain, memigrasikan data Anda, dan menghapus domain lama.