Amazon OpenSearch Service の N ode-to-node 暗号化

N ode-to-node 暗号化は、Amazon OpenSearch Service のデフォルト機能に加えてセキュリティレイヤーを追加します。

各 OpenSearch サービスドメインは、ドメインが VPC アクセスを使用するかどうかにかかわらず、独自の専用 VPC 内にあります。このアーキテクチャにより、潜在的な攻撃者が OpenSearch ノード間のトラフィックを傍受するのを防ぎ、クラスターを安全に保つことができます。ただし、デフォルトでは、VPC 内のトラフィックは暗号化されません。N ode-to-node 暗号化は、VPC 内のすべての通信に対して TLS 1.2 暗号化を有効にします。

HTTPS 経由で OpenSearch Service にデータを送信する場合、 node-to-node 暗号化は、データがクラスター全体に OpenSearch 配信 (および再配布) されるときに、データが暗号化されたままになるようにします。データが HTTP 経由で暗号化されずに到着した場合、 OpenSearch サービスはクラスターに到達した後にデータを暗号化します。ドメインへのすべてのトラフィックは、コンソール AWS CLI、または設定 API を使用して HTTPS 経由で到着するように要求できます。

きめ細かなアクセスコントロール を有効にする場合は、N 暗号化ode-to-node が必要です。

node-to-node 暗号化の有効化

新しいドメインでの N ode-to-node 暗号化には OpenSearch、 の任意のバージョン、または Elasticsearch 6.0 以降が必要です。既存のドメインで node-to-node 暗号化を有効にするには OpenSearch、 の任意のバージョン、または Elasticsearch 6.7 以降が必要です。 AWS コンソールで既存のドメインを選択し、[アクション] から [セキュリティ設定の編集] を選択します。

または、 AWS CLI または 設定 API を使用することもできます。詳細については、AWS CLI 「 コマンドリファレンス」およびOpenSearch 「サービス API リファレンス」を参照してください。

node-to-node 暗号化の無効化

node-to-node 暗号化を使用するようにドメインを設定した後は、設定を無効にすることはできません。代わりに、暗号化されたドメインの手動スナップショットを作成し、別のドメインを作成してからデータを移行して、古いドメインを削除することができます。