Criptografia de nó a nó para o Amazon Elasticsearch Service - Amazon Elasticsearch Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografia de nó a nó para o Amazon Elasticsearch Service

A criptografia de nó a nó fornece uma camada adicional de segurança sobre os recursos padrão do Amazon ES.

Cada domínio do Amazon ES — independentemente de o domínio usar o acesso à VPC — reside em sua própria VPC dedicada. Essa arquitetura impede que possíveis invasores interceptem o tráfego entre nós do Elasticsearch e mantém o cluster seguro. Por padrão, no entanto, o tráfego na VPC não é criptografado. A criptografia de nó a nó permite a criptografia TLS 1.2 para todas as comunicações dentro da VPC.

Se você enviar dados ao Amazon ES por HTTPS, a criptografia de nó a nó ajudará a garantir que seus dados permaneçam criptografados enquanto o Elasticsearch os distribui (e redistribui) por todo o cluster. Se os dados chegarem sem estarem criptografados por HTTP, o Amazon ES os criptografará depois de atingir o cluster. Você pode exigir que todo o tráfego para o domínio seja enviado por HTTPS usando o console, a AWS CLI ou a API de configuração.

Como habilitar a criptografia de nó a nó

Por padrão, os domínios não usam a criptografia de nó a nó, e você não pode configurar os domínios existentes para usar o recurso. Para ativar o recurso, você deve criar outro domínio e migrar seus dados. A criptografia de nó a nó requer o Elasticsearch 6.0 ou posterior.

Como desabilitar a criptografia de nó a nó

Depois de configurar um domínio para usar a criptografia de nó a nó, você não pode desativar a configuração. Em vez disso, você pode tirar um snapshot manual do domínio criptografado, criar outro domínio, migrar seus dados e excluir o domínio anterior.

Outras considerações

  • O Kibana ainda funciona em domínios que usam a criptografia de nó a nó.