Ikhtisar keamanan di Amazon Tanpa OpenSearch Server - OpenSearch Layanan Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Ikhtisar keamanan di Amazon Tanpa OpenSearch Server

Keamanan di Amazon OpenSearch Tanpa Server berbeda secara mendasar dari keamanan di OpenSearch Layanan Amazon dengan cara berikut:

Fitur OpenSearch Layanan OpenSearch Tanpa server
Kontrol akses data Akses data ditentukan oleh kebijakan IAM dan kontrol akses berbutir halus. Akses data ditentukan oleh kebijakan akses data.
Enkripsi saat istirahat Enkripsi saat istirahat adalah opsional untuk domain. Enkripsi saat istirahat diperlukan untuk koleksi.
Pengaturan dan administrasi keamanan Anda harus mengonfigurasi jaringan, enkripsi, dan akses data secara individual untuk setiap domain. Anda dapat menggunakan kebijakan keamanan untuk mengelola pengaturan keamanan untuk beberapa koleksi dalam skala besar.

Diagram berikut menggambarkan komponen keamanan yang membentuk koleksi fungsional. Koleksi harus memiliki kunci enkripsi yang ditetapkan, pengaturan akses jaringan, dan kebijakan akses data yang cocok yang memberikan izin ke sumber dayanya.

Kebijakan enkripsi

Kebijakan enkripsi menentukan apakah koleksi Anda dienkripsi dengan kunci yang dikelola pelanggan Kunci milik AWS atau pelanggan. Kebijakan enkripsi terdiri dari dua komponen: pola sumber daya dan kunci enkripsi. Pola sumber daya menentukan koleksi atau koleksi mana yang berlaku untuk kebijakan tersebut. Kunci enkripsi menentukan bagaimana koleksi terkait akan diamankan.

Untuk menerapkan kebijakan ke beberapa koleksi, Anda menyertakan wildcard (*) dalam aturan kebijakan. Misalnya, kebijakan berikut berlaku untuk semua koleksi dengan nama yang dimulai dengan “log”.

Kebijakan enkripsi merampingkan proses pembuatan dan pengelolaan koleksi, terutama ketika Anda melakukannya secara terprogram. Anda dapat membuat koleksi hanya dengan menentukan nama, dan kunci enkripsi secara otomatis ditetapkan pada saat pembuatan.

Kebijakan jaringan

Kebijakan jaringan menentukan apakah koleksi Anda dapat diakses secara pribadi, atau melalui internet dari jaringan publik. Koleksi pribadi dapat diakses melalui titik akhir VPC yang OpenSearch dikelola tanpa server, atau secara spesifik Layanan AWS seperti Amazon Bedrock menggunakan akses pribadi.Layanan AWS Sama seperti kebijakan enkripsi, kebijakan jaringan dapat diterapkan ke beberapa koleksi, yang memungkinkan Anda mengelola akses jaringan untuk banyak koleksi dalam skala besar.

Kebijakan jaringan terdiri dari dua komponen: tipe akses dan tipe sumber daya. Jenis akses dapat bersifat publik atau pribadi. Jenis sumber daya menentukan apakah akses yang Anda pilih berlaku untuk titik akhir koleksi, titik akhir OpenSearch Dasbor, atau keduanya.

Jika Anda berencana untuk mengonfigurasi akses VPC dalam kebijakan jaringan, Anda harus terlebih dahulu membuat satu atau beberapa titik akhir VPC yang dikelola Tanpa OpenSearch Server. Titik akhir ini memungkinkan Anda mengakses OpenSearch Tanpa Server seolah-olah berada di VPC Anda, tanpa menggunakan gateway internet, perangkat NAT, koneksi VPN, atau koneksi. AWS Direct Connect

Akses pribadi ke hanya Layanan AWS dapat diterapkan ke OpenSearch titik akhir koleksi, bukan ke titik akhir OpenSearch Dasbor. Layanan AWS tidak dapat diberikan akses ke OpenSearch Dasbor.

Kebijakan akses data

Kebijakan akses data menentukan cara pengguna mengakses data dalam koleksi Anda. Kebijakan akses data membantu Anda mengelola koleksi dalam skala besar dengan secara otomatis menetapkan izin akses ke koleksi dan indeks yang cocok dengan pola tertentu. Beberapa kebijakan dapat diterapkan ke satu sumber daya.

Kebijakan akses data terdiri dari seperangkat aturan, masing-masing dengan tiga komponen: jenis sumber daya, sumber daya yang diberikan, dan sekumpulan izin. Jenis sumber daya dapat berupa koleksi atau indeks. Sumber daya yang diberikan dapat berupa nama koleksi/indeks atau pola dengan wildcard (*). Daftar izin menentukan operasi OpenSearch API mana yang dapat diakses oleh kebijakan. Selain itu, kebijakan tersebut berisi daftar kepala sekolah, yang menentukan peran IAM, pengguna, dan identitas SAMP untuk diberikan akses.

Untuk informasi selengkapnya tentang format kebijakan akses data, lihat sintaks kebijakan.

Sebelum Anda membuat kebijakan akses data, Anda harus memiliki satu atau beberapa peran IAM atau pengguna, atau identitas SAMP, untuk menyediakan akses ke dalam kebijakan. Untuk detailnya, lihat bagian selanjutnya.

Autentikasi IAM dan SAMP

Prinsipal IAM dan identitas SAMP adalah salah satu blok bangunan kebijakan akses data. Dalam principal pernyataan kebijakan akses, Anda dapat menyertakan peran IAM, pengguna, dan identitas SAMP. Prinsipal ini kemudian diberikan izin yang Anda tentukan dalam aturan kebijakan terkait.

[ { "Rules":[ { "ResourceType":"index", "Resource":[ "index/marketing/orders*" ], "Permission":[ "aoss:*" ] } ], "Principal":[ "arn:aws:iam::123456789012:user/Dale", "arn:aws:iam::123456789012:role/RegulatoryCompliance", "saml/123456789012/myprovider/user/Annie" ] } ]

Anda mengonfigurasi otentikasi SAMP secara langsung di dalam OpenSearch Tanpa Server. Untuk informasi selengkapnya, lihat Otentikasi SAMP untuk Amazon Tanpa Server OpenSearch .

Keamanan infrastruktur

Amazon OpenSearch Serverless dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat Keamanan AWS Cloud. Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat Perlindungan Infrastruktur dalam Kerangka Kerja yang AWS Diarsiteksikan dengan Baik Pilar Keamanan.

Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses Amazon OpenSearch Tanpa Server melalui jaringan. Klien harus mendukung Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3. Untuk daftar cipher yang didukung untuk TLS 1.3, lihat protokol TLS dan cipher dalam dokumentasi Elastic Load Balancing.

Selain itu, Anda harus menandatangani permintaan menggunakan ID kunci akses dan kunci akses rahasia yang terkait dengan prinsipal IAM. Atau Anda bisa menggunakan AWS Security Token Service (AWS STS) untuk membuat kredensial keamanan sementara guna menandatangani permintaan.