Criptografia de nó a nó para o Amazon OpenSearch Service - Amazon OpenSearch Service

Criptografia de nó a nó para o Amazon OpenSearch Service

A criptografia de nó a nó fornece uma camada adicional de segurança sobre os recursos padrão do Amazon OpenSearch Service.

Cada domínio do OpenSearch Service, independentemente de o domínio usar o acesso à VPC, reside em sua própria VPC dedicada. Essa arquitetura impede que possíveis invasores interceptem o tráfego entre nós do OpenSearch e mantém o cluster seguro. Por padrão, no entanto, o tráfego na VPC não é criptografado. A criptografia de nó a nó permite a criptografia TLS 1.2 para todas as comunicações dentro da VPC.

Se você enviar dados ao OpenSearch Service por HTTPS, a criptografia de nó a nó ajudará a garantir que seus dados permaneçam criptografados enquanto o OpenSearch os distribui (e redistribui) por todo o cluster. Se os dados chegarem via HTTP sem estar criptografados, o OpenSearch Service os criptografará depois que eles chegarem ao cluster. Você pode exigir que todo o tráfego para o domínio seja enviado por HTTPS usando o console, a AWS CLI ou a API de configuração.

Como habilitar a criptografia de nó a nó

A criptografia de nó a nó em novos domínios requer qualquer versão do OpenSearch ou do Elasticsearch 6.0 ou posterior. A ativação da criptografia de nó a nó em domínios existentes requer qualquer versão do OpenSearch ou do Elasticsearch 6.7 ou superior. Escolha o domínio existente no console do AWS, Actions (Ações) e Edit security configuration (Editar configuração de segurança).

Você também pode usar a AWS CLI ou a API de configuração. Para obter mais informações, consulte Referência de comandos da AWS CLI e Referência da API de configuração para o Amazon OpenSearch Service.

Como desabilitar a criptografia de nó a nó

Depois de configurar um domínio para usar a criptografia de nó a nó, você não pode desativar a configuração. Em vez disso, você pode tirar um snapshot manual do domínio criptografado, criar outro domínio, migrar seus dados e excluir o domínio anterior.