Crittografia da nodo a nodo per il servizio OpenSearch di Amazon - Amazon OpenSearch Service

Crittografia da nodo a nodo per il servizio OpenSearch di Amazon

La crittografia da nodo a nodo fornisce un livello di sicurezza aggiuntivo sulle funzionalità predefinite del servizio OpenSearch di Amazon.

Ogni dominio di OpenSearch Service, indipendentemente dal fatto che utilizzi l'accesso VPC o meno, risiede all'interno del proprio VPC dedicato. Questa architettura impedisce ai potenziali aggressori di intercettare il traffico tra i nodi OpenSearch e mantiene il cluster sicuro. Per impostazione predefinita, tuttavia, il traffico nel VPC non è crittografato. La crittografia da nodo a nodo abilita la crittografia TLS 1.2 per tutte le comunicazioni nel VPC.

Se i dati vengono inviati a OpenSearch Service su HTTPS, la crittografia da nodo a nodo garantisce che i dati rimangano crittografati quando vengono distribuiti (e ridistribuiti) da OpenSearch in tutto il cluster. Gli eventuali dati che arrivano non crittografati su HTTP, vengono crittografati da OpenSearch Service dopo che hanno raggiunto il cluster. Puoi richiedere che tutto il traffico verso il dominio arrivi tramite HTTPS utilizzando la console, la AWS CLI o l'API di configurazione.

Abilitazione della crittografia da nodo a nodo

La crittografia da nodo a nodo nei nuovi domini richiede qualsiasi versione di OpenSearch o Elasticsearch 6.0 o versioni successive. L'abilitazione della crittografia da nodo a nodo nei domini esistenti richiede qualunque versione di OpenSearch o Elasticsearch 6.7 o successiva. Scegli il dominio esistente nella console AWS, seleziona Operazioni, quindi Modifica configurazione di sicurezza.

In alternativa, puoi utilizzare la AWS CLI o l'API di configurazione. Per ulteriori informazioni, consultare Riferimento ai comandi AWS CLI e Riferimento dell'API di configurazione per il servizio OpenSearch di Amazon.

Disabilitazione della crittografia da nodo a nodo

Dopo aver configurato un dominio per utilizzare la crittografia da nodo a nodo, non puoi disabilitare l'impostazione. Puoi acquisire, invece, uno snapshot manuale del dominio crittografato, creare un altro dominio, migrare i dati ed eliminare il vecchio dominio.