Amazon OpenSearch 服務的 N ode-to-node 加密

N ode-to-node 加密在 Amazon OpenSearch 服務的預設功能之上提供額外的安全層。

每個 OpenSearch 服務網域 (無論網域是否使用 VPC 存取) 都位於其自己的專用 VPC 內。此架構可防止潛在攻擊者攔截 OpenSearch 節點之間的流量，並確保叢集安全。但是根據預設，VPC 內的流量不會加密。N ode-to-node 加密可為 VPC 內的所有通訊啟用 TLS 1.2 加密。

如果您透過 HTTPS 將資料傳送至 OpenSearch Service， node-to-node 加密有助於確保資料在整個叢集中散發 (和再 OpenSearch 散發) 時，資料會保持加密狀態。如果資料透過 HTTP 未加密到達， OpenSearch Service 會在到達叢集後加密該資料。您可以要求網域的所有流量都使用主控台或設定 API 透過 HTTPS 抵達。 AWS CLI

如果您啟用精細的存取控制，則需要 N ode-to-node 加密。

啟用 node-to-node 加密

在新網域上進行 N ode-to-node 加密需要任何版本的 OpenSearch或彈性搜尋 6.0 或更新版本。在現有網域上啟用 node-to-node 加密需要任何版本的 OpenSearch或 Elasticsearch 6.7 或更新版本。選擇 AWS 主控台中現有的網域、Actions (動作)，以及 Edit security configuration (編輯安全組態)。

或者，您也可以使用 AWS CLI 或設定 API。如需詳細資訊，請參閱命AWS CLI 令參考和OpenSearch 服務 API 參考資料。

停用 node-to-node 加密

將網域設定為使用 node-to-node 加密之後，就無法停用此設定。相反地，您可以拍攝加密網域的手動快照，建立另一個網域，遷移您的資料和刪除舊的網域。