Node-to-node Amazon OpenSearch Service の暗号化

Node-to-node 暗号化は、Amazon OpenSearch Service のデフォルトの機能に加えて、セキュリティのレイヤーを追加します。

各 OpenSearch サービスドメインは、ドメインがVPCアクセスを使用するかどうかに関係なく、専用の 内にありますVPC。このアーキテクチャは、潜在的な攻撃者が OpenSearch ノード間のトラフィックを傍受するのを防ぎ、クラスターのセキュリティを維持します。ただし、デフォルトでは、 内のトラフィックVPCは暗号化されません。 Node-to-node暗号化により、 内のすべての通信に対して TLS 1.2 暗号化が有効になりますVPC。

経由で OpenSearch Service にデータを送信するとHTTPS、 node-to-node暗号化により、クラスター全体にデータが OpenSearch 分散 (および再配布) される際にデータが暗号化されたままになります。データが 経由で暗号化されずに到着した場合HTTP、 OpenSearch Service はクラスターに到達した後にデータを暗号化します。ドメインへのすべてのトラフィックは、 コンソール AWS CLI、または 設定 HTTPSを使用して受信する必要がありますAPI。

Node-to-node きめ細かなアクセスコントロール を有効にする場合は、暗号化が必要です。

暗号化の有効化 node-to-node

Node-to-node 新しいドメインでの暗号化には OpenSearch、 または Elasticsearch 6.0 以降の任意のバージョンが必要です。既存のドメインで暗号化を有効にする node-to-nodeには OpenSearch、 の任意のバージョン、または Elasticsearch 6.7 以降が必要です。 AWS コンソールで既存のドメインを選択し、[アクション] から [セキュリティ設定の編集] を選択します。

または、 AWS CLI または 設定 を使用できますAPI。詳細については、AWS CLI 「 コマンドリファレンス」とOpenSearch 「サービスAPIリファレンス」を参照してください。

暗号化の node-to-node無効化

暗号化を使用する node-to-nodeようにドメインを設定した後は、設定を無効にすることはできません。代わりに、暗号化されたドメインの手動スナップショットを作成し、別のドメインを作成してからデータを移行して、古いドメインを削除することができます。