本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon OpenSearch 服務的 N ode-to-node 加密
N ode-to-node 加密除了 Amazon OpenSearch 服務的預設功能之外,還能提供額外的安全層。
每個 OpenSearch 服務網域 (無論網域是否使用VPC存取) 都位於其專屬的專用網域內。VPC此架構可防止潛在攻擊者攔截 OpenSearch 節點之間的流量,並確保叢集安全。但是,預設情況下,中的流量VPC是未加密的。N ode-to-node 加密啟用 TLS 1.2 加密內的所有通訊VPC。
如果您透過將資料傳送至 OpenSearch ServiceHTTPS, node-to-node 加密有助於確保您的資料保持加密狀態,因為資 OpenSearch 料會在整個叢集中散佈 (和再分配)。如果資料未加密到達HTTP, OpenSearch Service 會在資料到達叢集之後加密該資料。您可以要求HTTPS使用控制台到達域的所有流量, AWS CLI,或組態API。
如果您啟用精細的存取控制,則需要 N ode-to-node 加密。
啟用 node-to-node 加密
在新網域上進行 N ode-to-node 加密需要任何版本的 OpenSearch或彈性搜尋 6.0 或更新版本。在現有網域上啟用 node-to-node 加密需要任何版本的 OpenSearch或 Elasticsearch 6.7 或更新版本。選擇中的現有域 AWS 控制台,操作和編輯安全配置。
或者,您可以使用 AWS CLI 或配置API。如需詳細資訊,請參閱 AWS CLI 命令參考和OpenSearch 服務API參考。
停用 node-to-node 加密
將網域設定為使用 node-to-node 加密之後,就無法停用此設定。相反地,您可以拍攝加密網域的手動快照,建立另一個網域,遷移您的資料和刪除舊的網域。