Amazon OpenSearch 서비스를 위한 ode-to-node 암호화 없음

ode-to-node 암호화는 Amazon OpenSearch Service의 기본 기능 외에 추가 보안 계층을 제공합니다.

OpenSearch 도메인이 VPC 액세스를 사용하는지 여부에 관계없이 각 서비스 도메인은 자체 전용 VPC 내에 있습니다. 이 아키텍처는 잠재적 공격자가 노드 간 트래픽을 가로채는 것을 방지하고 클러스터를 안전하게 유지합니다. OpenSearch 하지만 기본적으로 VPC 내에서는 암호화되지 않습니다. N ode-to-node 암호화는 VPC 내의 모든 통신에 대해 TLS 1.2 암호화를 가능하게 합니다.

HTTPS를 통해 OpenSearch Service로 데이터를 전송하는 경우 node-to-node 암호화를 통해 클러스터 전체에 데이터를 OpenSearch 배포 (및 재배포) 할 때 데이터가 암호화된 상태로 유지되도록 할 수 있습니다. 데이터가 HTTP를 통해 암호화되지 않은 상태로 도착하는 경우, OpenSearch 서비스는 클러스터에 도달한 후 데이터를 암호화합니다. 콘솔 또는 구성 API를 사용하여 도메인으로 향하는 모든 트래픽이 HTTPS를 통해 도착하도록 요구할 수 있습니다. AWS CLI

세분화된 액세스 제어를 활성화하는 경우 ode-to-node 암호화가 필요하지 않습니다.

node-to-node 암호화 활성화

새 도메인을 ode-to-node 암호화하지 않으려면 모든 Elasticsearch 버전 또는 Elasticsearch 6.0 이상이 필요합니다. OpenSearch 기존 도메인에서 node-to-node 암호화를 활성화하려면 모든 버전의 Elasticsearch OpenSearch 6.7 이상이 필요합니다. AWS 콘솔에서 기존 도메인을 선택하고 [작업(Actions)], [보안 구성 편집(Edit security configuration)]을 선택합니다.

또는 구성 API를 사용할 수도 있습니다. AWS CLI 자세한 내용은 AWS CLI 명령 참조 및 OpenSearch 서비스 API 참조를 참조하십시오.

암호화 비활성화 node-to-node

node-to-node 암호화를 사용하도록 도메인을 구성한 후에는 설정을 비활성화할 수 없습니다. 대신 암호화된 도메인의 수동 스냅샷을 가져와 다른 도메인을 생성하고, 데이터를 마이그레이션한 후 이전 도메인을 삭제할 수 있습니다.