Amazon OpenSearch Service の N ode-to-node 暗号化

N ode-to-node 暗号化は、Amazon OpenSearch Service のデフォルト機能に加えてセキュリティレイヤーを追加します。

各 OpenSearch サービスドメインは、ドメインがVPCアクセスを使用するかどうかにかかわらず、専用の 内にありますVPC。このアーキテクチャにより、潜在的な攻撃者が OpenSearch ノード間のトラフィックを傍受するのを防ぎ、クラスターを安全に保つことができます。ただし、デフォルトでは、 内のトラフィックVPCは暗号化されません。N ode-to-node 暗号化はTLS、 内のすべての通信に対して 1.2 暗号化を有効にしますVPC。

経由で OpenSearch サービスにデータを送信する場合HTTPS、 node-to-node 暗号化は、データがクラスター全体に OpenSearch 配信 (および再配布) されるときに、データが暗号化されたままになることを確実にするのに役立ちます。データが 経由で暗号化されずに到着した場合HTTP、 OpenSearch サービスはクラスターに到達した後にデータを暗号化します。ドメインへのすべてのトラフィックは、 コンソールHTTPSを使用して到着するように要求できます。 AWS CLI、、または 設定API。

きめ細かなアクセスコントロール を有効にする場合は、N 暗号化ode-to-node が必要です。

node-to-node 暗号化の有効化

新しいドメインでの N ode-to-node 暗号化には OpenSearch、 の任意のバージョン、または Elasticsearch 6.0 以降が必要です。既存のドメインで node-to-node 暗号化を有効にするには OpenSearch、 の任意のバージョン、または Elasticsearch 6.7 以降が必要です。で既存のドメインを選択する AWS コンソール、アクション、セキュリティ設定の編集。

または、 AWS CLI または 設定API。詳細については、『』を参照してください。AWS CLI コマンドリファレンス および OpenSearch サービスAPIリファレンス 。

node-to-node 暗号化の無効化

node-to-node 暗号化を使用するようにドメインを設定した後は、設定を無効にすることはできません。代わりに、暗号化されたドメインの手動スナップショットを作成し、別のドメインを作成してからデータを移行して、古いドメインを削除することができます。