Amazon OpenSearch 서비스의 인프라 보안

관리형 서비스인 Amazon OpenSearch Service는 AWS 글로벌 네트워크 보안의 보호를 받습니다. AWS 보안 서비스 및 인프라 AWS 보호 방법에 대한 자세한 내용은 AWS 클라우드 보안을 참조하십시오. 인프라 보안 모범 사례를 사용하여 AWS 환경을 설계하려면 Security Pillar AWS Well‐Architected Framework의 인프라 보호를 참조하십시오.

AWS 게시된 API 호출을 사용하여 네트워크를 통해 OpenSearch 서비스에 액세스할 수 있습니다. 고객은 다음을 지원해야 합니다.

• 전송 계층 보안(TLS). TLS 1.2는 필수이며 TLS 1.3을 권장합니다.

• DHE(Ephemeral Diffie-Hellman) 또는 ECDHE(Elliptic Curve Ephemeral Diffie-Hellman)와 같은 완전 전송 보안(PFS)이 포함된 암호 제품군. Java 7 이상의 최신 시스템은 대부분 이러한 모드를 지원합니다.

또한 요청은 액세스 키 ID 및 IAM 주체와 관련된 비밀 액세스 키를 사용하여 서명해야 합니다. 또는 AWS Security Token Service(AWS STS)을 사용하여 임시 보안 자격 증명을 생성하여 요청에 서명할 수 있습니다.

AWS 게시된 API 호출을 사용하여 네트워크를 통해 OpenSearch 서비스 구성 API에 액세스할 수 있습니다. 허용할 수 있는 최소 필수 TLS 버전을 구성하려면 도메인 엔드포인트 옵션에서 TLSSecurityPolicy 값을 지정합니다.

aws opensearch update-domain-config --domain-name my-domain --domain-endpoint-options '{"TLSSecurityPolicy": "Policy-Min-TLS-1-2-2019-07"}'

자세한 내용은 AWS CLI 명령 참조를 확인하세요.

도메인 구성에 따라 OpenSearch API에 대한 요청에 서명해야 할 수도 있습니다. 자세한 설명은 서비스 요청 작성 및 서명 OpenSearch 섹션을 참조하세요.

OpenSearch 서비스는 인터넷에 연결된 모든 디바이스로부터 요청을 받을 수 있는 퍼블릭 액세스 도메인과 퍼블릭 인터넷으로부터 격리된 VPC 액세스 도메인을 지원합니다.