Amazon ode-to-node OpenSearch サービスの暗号化なし

N ode-to-node 暗号化は、Amazon OpenSearch Service のデフォルト機能に加えて追加のセキュリティレイヤーを提供します。

OpenSearch 各サービスドメインは、ドメインが VPC アクセスを使用するかどうかに関係なく、独自の専用 VPC 内にあります。このアーキテクチャは、潜在的な攻撃者がノード間のトラフィックを傍受することを防ぎ、クラスターを安全に保ちます。 OpenSearch ただし、デフォルトでは、VPC 内のトラフィックは暗号化されません。N ode-to-node 暗号化により、VPC 内のすべての通信の TLS 1.2 暗号化が有効になります。

HTTPS 経由で OpenSearch Service にデータを送信する場合、 node-to-node 暗号化によってデータがクラスター全体に配信 ( OpenSearch および再配布) される際に、データが暗号化されたままになります。データが HTTP 経由で暗号化されずに届いた場合、 OpenSearch Service はクラスターに到達した後でデータを暗号化します。コンソール、または設定 API を使用して、ドメインへのすべてのトラフィックが HTTPS 経由で届くように要求できます。 AWS CLI

きめ細かいアクセス制御を有効にする場合は、ode-to-node 暗号化は不要です。

node-to-node 暗号化を有効にする

ode-to-node 新しいドメインの暗号化には OpenSearch、または Elasticsearch 6.0 以降のいずれかのバージョンが必要です。 node-to-node 既存のドメインで暗号化を有効にするには OpenSearch、いずれかのバージョンまたは Elasticsearch 6.7 以降が必要です。 AWS コンソールで既存のドメインを選択し、[アクション] から [セキュリティ設定の編集] を選択します。

または、設定 API を使用することもできます。 AWS CLI 詳細については、「AWS CLI コマンドリファレンス」と「OpenSearch サービス API リファレンス」を参照してください。

node-to-node 暗号化を無効にする

node-to-node 暗号化を使用するようにドメインを設定した後は、その設定を無効にすることはできません。代わりに、暗号化されたドメインの手動スナップショットを作成し、別のドメインを作成してからデータを移行して、古いドメインを削除することができます。