のノード間の暗号化Amazon Elasticsearch Service - Amazon Elasticsearch Service

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

のノード間の暗号化Amazon Elasticsearch Service

ノード間の暗号化では、 のデフォルトの機能の上に追加のセキュリティ層を提供します。Amazon ES.

各 Amazon ES ドメインは、—ドメインが VPC アクセスを使用しているかどうかにかかわらず—専用の VPC 内に存在します。このアーキテクチャにより、潜在的な攻撃者から Elasticsearch ノード間のトラフィックを傍受し、安全なクラスターが維持されます。ただし、デフォルトでは、VPC 内のトラフィックは暗号化されません。ノード間の暗号化により、VPC 内のすべての通信で TLS 1.2 暗号化が有効になります。

HTTPS 経由でデータを Amazon ES に送信する場合、ノード間の暗号化を使用すると、Elasticsearch がクラスター全体に分散 (および再分散) する際、データは暗号化された状態で維持されます。HTTP 経由で暗号化されていないデータが到着するあ場合、Amazon ES はそれがクラスターに到達した後で暗号化します。コンソール、AWS CLI、または設定 API を使用して、ドメインへのすべてのトラフィックが HTTPS 経由で到達するように要求できます。

ノード間の暗号化を有効にする

新しいドメインでのノード間の暗号化には、Elasticsearch 6.0 以降が必要です。既存のドメインで機能を有効にするには、Elasticsearch 6.7 以降が必要です。AWS コンソールで既存のドメインを選択し、[アクション]、[Modify encryption (暗号化の変更)] の順に選択します。

または、設定 API を使用することもできます。AWS CLI

ノード間の暗号化を無効にする

ノード間の暗号化を使用するようにドメインを設定した後、設定を無効にすることはできません。代わりに、暗号化されたドメインの手動スナップショットを作成し、別のドメインを作成してからデータを移行して、古いドメインを削除することができます。