Segurança da infraestrutura no Amazon OpenSearch Service - OpenSearch Serviço Amazon

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Segurança da infraestrutura no Amazon OpenSearch Service

Como um serviço gerenciado, o Amazon OpenSearch Service é protegido pela segurança de rede AWS global. Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte AWS Cloud Security. Para projetar seu AWS ambiente usando as melhores práticas de segurança de infraestrutura, consulte Proteção de infraestrutura no Security Pillar AWS Well‐Architected Framework.

Você usa chamadas de API AWS publicadas para acessar o OpenSearch Serviço pela rede. Os clientes precisam oferecer suporte para:

  • Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.

  • Conjuntos de criptografia com sigilo de encaminhamento perfeito (perfect forward secrecy, ou PFS) como DHE (Ephemeral Diffie-Hellman, ou Efêmero Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman, ou Curva elíptica efêmera Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.

Além disso, as solicitações devem ser assinadas utilizando um ID da chave de acesso e uma chave de acesso secreta associada a uma entidade principal do IAM. Ou é possível usar o AWS Security Token Service (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.

Você usa chamadas de API AWS publicadas para acessar a API OpenSearch de configuração do serviço por meio da rede. Para configurar a versão mínima necessária do TLS para aceitar, especifique o valor TLSSecurityPolicy nas opções do endpoint do domínio: 

aws opensearch update-domain-config --domain-name my-domain --domain-endpoint-options '{"TLSSecurityPolicy": "Policy-Min-TLS-1-2-2019-07"}'

Para obter detalhes, consulte a Referência de comandos daAWS CLI.

Dependendo da sua configuração de domínio, talvez você também precise assinar solicitações às APIs OpenSearch . Para ter mais informações, consulte Fazendo e assinando solicitações OpenSearch de serviço.

OpenSearch O serviço oferece suporte a domínios de acesso público, que podem receber solicitações de qualquer dispositivo conectado à Internet, e domínios de acesso VPC, que são isolados da Internet pública.