Amazon OpenSearch Service 的節點對節點加密 - Amazon OpenSearch Service

Amazon OpenSearch Service 的節點對節點加密

節點對節點加密在 Amazon OpenSearch Service 的預設功能之上提供額外安全層級。

每個 ​OpenSearch Service 網域 (無論網域是否使用 VPC 存取) 都存在於其自有的專用 VPC 中。此架構可防止潛在的攻擊者攔截 ​OpenSearch 節點之間的流量,並保護叢集安全。但是根據預設,VPC 內的流量不會加密。節點對節點加密可使該 VPC 內的所有通訊啟用 TLS 1.2 加密。

若您透過 HTTPS 傳送資料到 OpenSearch Service,節點對節點加密會協助確保當 OpenSearch 將您的資料分配 (與重新分配) 到叢集內時能保持加密狀態。若資料透過 HTTP 收到時為未加密狀態,​OpenSearch Service 會在它抵達叢集後加密。您可以使用主控台、AWS CLI 或組態 API,要求所有流向網域的流量透過 HTTPS 抵達。

啟用節點對節點加密

新網域的節點對節點加密需要任何版本的 OpenSearch 或 Elasticsearch 6.0 或更高版本。在現有網域上啟用節點對節點加密需要任何版本的 OpenSearch 或 Elasticsearch 6.7 或更高版本。選擇 AWS 主控台中現有的網域、Actions (動作),以及 Edit security configuration (編輯安全組態)。

或者,您可以使用 AWS CLI 或組態 API。如需詳細資訊,請參閱 AWS CLI 命令參考Amazon OpenSearch Service 的組態 API 參考

停用節點對節點加密

在您設定網域以使用節點對節點加密後,您無法停用設定。相反地,您可以拍攝加密網域的手動快照建立另一個網域,遷移您的資料和刪除舊的網域。