Amazon OpenSearch 服務的 N ode-to-node 加密 - Amazon OpenSearch 服務
啟用 node-to-node 加密停用 node-to-node 加密

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon OpenSearch 服務的 N ode-to-node 加密

N ode-to-node 加密除了 Amazon OpenSearch 服務的預設功能之外,還能提供額外的安全層。

每個 OpenSearch 服務網域 (無論網域是否使用VPC存取) 都位於其專屬的專用網域內。VPC此架構可防止潛在攻擊者攔截 OpenSearch 節點之間的流量,並確保叢集安全。但是,預設情況下,中的流量VPC是未加密的。N ode-to-node 加密啟用 TLS 1.2 加密內的所有通訊VPC。

如果您透過將資料傳送至 OpenSearch ServiceHTTPS, node-to-node 加密有助於確保您的資料保持加密狀態,因為資 OpenSearch 料會在整個叢集中散佈 (和再分配)。如果資料未加密到達HTTP, OpenSearch Service 會在資料到達叢集之後加密該資料。您可以要求HTTPS使用控制台到達域的所有流量, AWS CLI,或組態API。

如果您啟用精細的存取控制,則需要 N ode-to-node 加密。

啟用 node-to-node 加密

在新網域上進行 N ode-to-node 加密需要任何版本的 OpenSearch或彈性搜尋 6.0 或更新版本。在現有網域上啟用 node-to-node 加密需要任何版本的 OpenSearch或 Elasticsearch 6.7 或更新版本。選擇中的現有域 AWS 控制台,操作編輯安全配置

或者,您可以使用 AWS CLI 或配置API。如需詳細資訊,請參閱 AWS CLI 命令參考OpenSearch 服務API參考

停用 node-to-node 加密

將網域設定為使用 node-to-node 加密之後,就無法停用此設定。相反地,您可以拍攝加密網域的手動快照建立另一個網域,遷移您的資料和刪除舊的網域。