Sicurezza dell'infrastruttura in Amazon OpenSearch Service - Amazon OpenSearch Service

Sicurezza dell'infrastruttura in Amazon OpenSearch Service

In qualità di servizio gestito, Amazon OpenSearch Service è protetto dalle procedure di sicurezza di rete globali di AWS descritte nel whitepaper Amazon Web Services: Panoramica dei processi di sicurezza.

Utilizzare le chiamate all'API pubblicate di AWS per accedere all'API di configurazione di OpenSearch Service tramite la rete. I client devono supportare Transport Layer Security (TLS) 1.0 o versioni successive. È consigliabile TLS 1.2 o versioni successive. Per configurare la versione TLS minima richiesta da accettare, specificare il valore TLSSecurityPolicy nelle opzioni dell'endpoint di dominio. Per maggiori dettagli, consultare Riferimento ai comandi CLI di AWS.

I client devono, inoltre, supportare le suite di cifratura con PFS (Perfect Forward Secrecy), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni come Java 7 e versioni successive, supporta tali modalità.

Inoltre, le richieste all'API di configurazione devono essere firmate utilizzando un ID chiave di accesso e una chiave di accesso segreta che è associata a un principal IAM. In alternativa, è possibile utilizzare AWS Security Token Service (AWS STS) per generare le credenziali di sicurezza temporanee per sottoscrivere le richieste.

In base alla configurazione del dominio, potrebbe anche essere necessario firmare le richieste alle API OpenSearch. Per ulteriori informazioni, consultare Creazione e firma di richieste OpenSearch Service.

OpenSearch Service supporta domini di accesso pubblico, che possono ricevere richieste da qualsiasi dispositivo connesso a Internet e domini di accesso VPC, che sono isolati dall'Internet pubblico.