Node-to-node enkripsi untuk Amazon OpenSearch Service

Node-to-node enkripsi menyediakan lapisan keamanan tambahan di atas fitur default OpenSearch Layanan Amazon.

Setiap domain OpenSearch Layanan—terlepas dari apakah domain tersebut menggunakan VPC akses—berada dalam miliknya sendiri, khusus. VPC Arsitektur ini mencegah penyerang potensial mencegat lalu lintas antar OpenSearch node dan menjaga cluster tetap aman. Namun, secara default, lalu lintas di dalam tidak VPC dienkripsi. Node-to-nodeenkripsi memungkinkan enkripsi TLS 1.2 untuk semua komunikasi di dalamVPC.

Jika Anda mengirim data ke OpenSearch LayananHTTPS, node-to-node enkripsi membantu memastikan bahwa data Anda tetap dienkripsi sebagai OpenSearch mendistribusikan (dan mendistribusikan ulang) ke seluruh cluster. Jika data tiba tanpa dienkripsiHTTP, OpenSearch Service mengenkripsinya setelah mencapai cluster. Anda dapat meminta agar semua lalu lintas ke domain tiba HTTPS menggunakan konsol, AWS CLI, atau konfigurasiAPI.

Node-to-node enkripsi diperlukan jika Anda mengaktifkan kontrol akses berbutir halus.

Mengaktifkan enkripsi node-to-node

Node-to-node enkripsi pada domain baru memerlukan versi apa pun dari OpenSearch, atau Elasticsearch 6.0 atau yang lebih baru. Mengaktifkan node-to-node enkripsi pada domain yang ada memerlukan versi apa pun dari OpenSearch, atau Elasticsearch 6.7 atau yang lebih baru. Pilih domain yang ada di konfigurasi keamanan AWS konsol, Tindakan, dan Edit.

Atau, Anda dapat menggunakan konfigurasi AWS CLI atauAPI. Untuk informasi selengkapnya, lihat Referensi AWS CLI Perintah dan APIreferensi OpenSearch Layanan.

Menonaktifkan enkripsi node-to-node

Setelah mengonfigurasi domain untuk menggunakan node-to-node enkripsi, Anda tidak dapat menonaktifkan pengaturan. Sebagai gantinya, Anda dapat mengambil Snapshot manual dari domain yang sudah dienkripsi, membuat domain lain, memigrasikan data Anda, dan menghapus domain lama.