亚马逊 OpenSearch 服务

亚马逊 OpenSearch 服务使客户能够在专用的亚马逊虚拟私有云（亚马逊 VPC）中运行托管 OpenSearch 或传统的 Elasticsearch OSS 集群。在 PHI 中使用 OpenSearch 服务时，客户应使用 OpenSearch 或 Elasticsearch 6.0 或更高版本。买家应确保在 Ama OpenSearch zon 服务中对静态和传输中的 PHI 进行加密。客户可以使用 AWS KMS 密钥加密来加密其 OpenSearch 服务域中的静态数据，这仅适用于 Elasticsearch 5.1 或更高版本。 OpenSearch 有关如何加密静态数据的更多信息，请参阅 Amazon S OpenSearch ervice 的静态数据加密。

每个 OpenSearch 服务域都在自己的 VPC 中运行。客户应启用 node-to-node 加密，该功能适用于所有 OpenSearch 版本以及 Elasticsearch 6.0 或更高版本。如果客户通过 HTTPS 向 OpenSearch 服务发送数据，则 node-to-node 加密有助于确保其数据在整个集群中 OpenSearch 分发（和重新分发）时保持加密状态。如果数据通过 HTTP 未加密到达，则 OpenSearch 服务会在数据到达集群后对其进行加密。因此，任何进入亚马逊 OpenSearch 服务集群的 PHI 都应通过 HTTPS 发送。有关更多信息，请参阅 Amazon OpenSearch 服务的 N ode-to-node 加密。

可以在中捕获来自 OpenSearch 服务配置 API 的日志 AWS CloudTrail。有关更多信息，请参阅使用监控亚马逊 OpenSearch 服务 API 调用 AWS CloudTrail。