As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Segurança da infraestrutura no Amazon OpenSearch Service
Como um serviço gerenciado, o Amazon OpenSearch Service é protegido pela segurança de rede AWS global. Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte AWS Cloud Security
Você usa chamadas de API AWS publicadas para acessar o OpenSearch Serviço pela rede. Os clientes precisam oferecer suporte para:
-
Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
-
Conjuntos de criptografia com sigilo de encaminhamento perfeito (perfect forward secrecy, ou PFS) como DHE (Ephemeral Diffie-Hellman, ou Efêmero Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman, ou Curva elíptica efêmera Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.
Além disso, as solicitações devem ser assinadas utilizando um ID da chave de acesso e uma chave de acesso secreta associada a uma entidade principal do IAM. Ou é possível usar o AWS Security Token Service (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.
Você usa chamadas de API AWS publicadas para acessar a API OpenSearch de configuração do serviço por meio da rede. Para configurar a versão mínima necessária do TLS para aceitar, especifique o valor TLSSecurityPolicy
nas opções do endpoint do domínio:
aws opensearch update-domain-config --domain-name
my-domain
--domain-endpoint-options '{"TLSSecurityPolicy": "Policy-Min-TLS-1-2-2019-07"}'
Para obter detalhes, consulte a Referência de comandos daAWS CLI.
Dependendo da sua configuração de domínio, talvez você também precise assinar solicitações às APIs OpenSearch . Para ter mais informações, consulte Fazendo e assinando solicitações OpenSearch de serviço.
OpenSearch O serviço oferece suporte a domínios de acesso público, que podem receber solicitações de qualquer dispositivo conectado à Internet, e domínios de acesso VPC, que são isolados da Internet pública.