Amazon Elasticsearch Service のノード間の暗号化 - Amazon Elasticsearch Service

英語の翻訳が提供されている場合で、内容が矛盾する場合には、英語版がオリジナルとして取り扱われます。翻訳は機械翻訳により提供されています。

Amazon Elasticsearch Service のノード間の暗号化

ノード間の暗号化では、Amazon ES のデフォルトの機能の上に追加のセキュリティ層を提供します。

各 Amazon ES ドメインは、—ドメインが VPC アクセスを使用しているかどうかにかかわらず—専用の VPC 内に存在します。このアーキテクチャにより、潜在的な攻撃者から Elasticsearch ノード間のトラフィックを傍受し、安全なクラスターが維持されます。ただし、デフォルトでは、VPC 内のトラフィックは暗号化されません。ノード間の暗号化により、VPC 内のすべての通信で TLS 1.2 暗号化が有効になります。

HTTPS 経由でデータを Amazon ES に送信する場合、ノード間の暗号化を使用すると、Elasticsearch がクラスター全体に分散 (および再分散) する際、データは暗号化された状態で維持されます。HTTP 経由で暗号化されていないデータが到着するあ場合、Amazon ES はそれがクラスターに到達した後で暗号化します。コンソール、AWS CLI、または設定 API を使用して、ドメインへのすべてのトラフィックが HTTPS 経由で到達するように要求できます。

ノード間の暗号化を有効にする

デフォルトでは、ドメインはノード間の暗号化を使用せず、既存のドメインをこの機能を使用するように設定することはできません。この機能を有効にするには、別のドメインを作成してデータを移行する必要があります。ノード間の暗号化には Elasticsearch 6.0 以降が必要になります。

ノード間の暗号化を無効にする

ノード間の暗号化を使用するようにドメインを設定した後、設定を無効にすることはできません。代わりに、暗号化されたドメインの手動スナップショットを作成し、別のドメインを作成してからデータを移行して、古いドメインを削除することができます。

その他の考慮事項

  • Kibana は、ノード間の暗号化を使用するドメインで引き続き動作します。