Amazon OpenSearch Service のノード間の暗号化

ノード間の暗号化では、Amazon OpenSearch Service のデフォルトの機能の上に追加のセキュリティレイヤーを提供します。

各 OpenSearch Service ドメインは、ドメインが VPC アクセスを使用しているかどうかにかかわらず、専用の VPC 内に存在します。このアーキテクチャにより、潜在的な攻撃者から OpenSearch ノード間のトラフィックを傍受し、安全なクラスターが維持されます。ただし、デフォルトでは、VPC 内のトラフィックは暗号化されません。ノード間の暗号化により、VPC 内のすべての通信で TLS 1.2 暗号化が有効になります。

HTTPS 経由でデータを OpenSearch Service に送信する場合、ノード間の暗号化を使用すると、OpenSearch がクラスター全体に分散 (および再分散) する際、データは暗号化された状態で維持されます。HTTP 経由で暗号化されていないデータが到着するあ場合、OpenSearch Service はそれがクラスターに到達した後で暗号化します。ドメインへのすべてのトラフィックは、 コンソール、 AWS CLI、または設定 API を使用して HTTPS 経由で到着するように要求できます。

きめ細かなアクセスコントロールを有効にする場合は、ノード間の暗号化が必須です。

ノード間の暗号化を有効にする

新しいドメインでのノード間の暗号化には、任意のバージョンの OpenSearch、または Elasticsearch 6.0 以降が必要です。既存のドメインでノード間の暗号化を有効にするには、任意のバージョンの OpenSearch、または Elasticsearch 6.7 以降が必要です。 AWS コンソールで既存のドメインを選択し、[アクション] から [セキュリティ設定の編集] を選択します。

または、 AWS CLI または 設定 API を使用することもできます。詳細については、「AWS CLI Command Reference」と「OpenSearch Service API reference」(OpenSearch Service API リファレンス) を参照してください。

ノード間の暗号化を無効にする

ノード間の暗号化を使用するようにドメインを設定した後、設定を無効にすることはできません。代わりに、暗号化されたドメインの手動スナップショットを作成し、別のドメインを作成してからデータを移行して、古いドメインを削除することができます。