ode-to-node Criptografia N para Amazon OpenSearch Service

A ode-to-node criptografia N fornece uma camada adicional de segurança além dos recursos padrão do Amazon OpenSearch Service.

Cada domínio OpenSearch de serviço, independentemente de usar o acesso à VPC, reside em sua própria VPC dedicada. Essa arquitetura impede que possíveis invasores interceptem o tráfego entre os OpenSearch nós e mantém o cluster seguro. Por padrão, no entanto, o tráfego na VPC não é criptografado. A ode-to-node criptografia N habilita a criptografia TLS 1.2 para todas as comunicações dentro da VPC.

Se você enviar dados para o OpenSearch Serviço via HTTPS, a node-to-node criptografia ajuda a garantir que seus dados permaneçam criptografados enquanto OpenSearch os distribuem (e redistribuem) por todo o cluster. Se os dados chegarem sem criptografia via HTTP, o OpenSearch Service os criptografará depois que chegarem ao cluster. Você pode exigir que todo o tráfego para o domínio chegue por HTTPS usando o console ou a API de configuração. AWS CLI

Nenhuma ode-to-node criptografia é necessária se você habilitar um controle de acesso refinado.

Ativando a node-to-node criptografia

A ode-to-node criptografia N em novos domínios requer qualquer versão do OpenSearch Elasticsearch 6.0 ou posterior. Habilitar a node-to-node criptografia em domínios existentes requer qualquer versão do OpenSearch Elasticsearch 6.7 ou posterior. Escolha o domínio existente no console do AWS , Ações e Editar configuração de segurança.

Como alternativa, você pode usar a API de configuração AWS CLI ou. Para obter mais informações, consulte a Referência de AWS CLI comandos e a referência da API de OpenSearch serviços.

Desativando a criptografia node-to-node

Depois de configurar um domínio para usar node-to-node criptografia, você não pode desativar a configuração. Em vez disso, você pode tirar um snapshot manual do domínio criptografado, criar outro domínio, migrar seus dados e excluir o domínio anterior.