Amazon OpenSearch 無伺服器中的安全性概觀 - Amazon OpenSearch 服務
加密政策網路政策資料存取政策IAM 和 SAML 身分驗證基礎架構安全

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon OpenSearch 無伺服器中的安全性概觀

Amazon OpenSearch 無伺服器中的安全性與 Amazon OpenSearch 服務中的安全性基本上有以下差異:

功能 OpenSearch 服務 OpenSearch 無伺服器
資料存取控制 資料存取由 IAM 政策和精細存取控制決定。 資料存取由資料存取政策決定。
靜態加密 網域的靜態加密是選擇性 集合需要靜態加密。
安全設定和管理 您必須個別設定每個網域的網路、加密和資料存取。 您可以使用安全政策大規模管理多個集合的安全設定。

下圖說明構成功能集合的安全元件。集合必須具有指派的加密金鑰、網路存取設定和相符的資料存取政策,以授予其資源許可。

Diagram showing encryption, network, data access, and authentication policies for a collection.
主題

加密政策

加密原則會定義您的集合是使用 AWS 擁有的金鑰 或客戶管理的金鑰加密。加密政策由兩個元件組成:資源模式加密金鑰。資源模式定義政策適用於哪個或哪些集合。加密金鑰決定如何保護相關聯的集合。

若要將政策套用至多個集合,請在政策規則中包含萬用字元 (*)。例如,下列政策適用於名稱以「logs」開頭的所有集合。

Input field for specifying a prefix term or collection name, with "logs*" entered.

加密政策可簡化建立和管理集合的程序,尤其是以程式設計方式這樣做時。您只需指定名稱即可建立集合,系統會在建立時自動為其指派加密金鑰。

網路政策

網路原則會定義您的集合可以私人存取,還是可透過網際網路從公用網路存取。私有集合可透過 OpenSearch 無伺服器受管 VPC 端點存取,或使用私有存取權由 Amazon 基岩 AWS 服務 等特定存取存取。AWS 服務 正如加密政策,網路政策可套用至多個集合,以便您大規模管理許多集合的網路存取。

網路政策由兩個元件組成:存取類型資源類型。存取類型可以是公用或私有。資源類型決定您選擇的存取權是套用至集合端點、 OpenSearch 儀表板端點,還是兩者都套用。

Access type and resource type options for configuring network policies in OpenSearch.

如果您計劃在網路原則內設定 VPC 存取,則必須先建立一或多個OpenSearch 無伺服器管理的 VPC 端點。這些端點可讓您像在 VPC 中一樣存取 OpenSearch 無伺服器,而無需使用網際網路閘道、NAT 裝置、VPN 連線或 AWS Direct Connect 連線。

的私人存取權只 AWS 服務 能套用至集合的 OpenSearch 端點,而不能套用至 OpenSearch 儀表板端點。 AWS 服務 無法授與 OpenSearch 儀表板的存取權。

資料存取政策

資料存取政策定義您的使用者如何存取集合內的資料。資料存取政策會自動將存取許可指派給符合特定模式的集合和索引,以協助您大規模管理集合。可將多個政策套用至單一資源。

資料存取政策由一組規則組成,每個規則都有三個元件:資源類型授予的資源和一組許可。資源類型可以是集合或索引。授予的資源可以是集合/索引名稱或具有萬用字元 (*) 的模式。權限清單會指定原則授與存取權的 OpenSearch API 作業。此外,政策包含主體清單,其中指定要授予存取權的 IAM 角色、使用者和 SAML 身分。

Selected principals and granted resources with permissions for collection and index access.

如需有關資料存取政策格式的詳細資訊,請參閱政策語法

建立資料存取政策之前,您必須擁有一個或多個 IAM 角色或使用者或 SAML 身分,才能在政策中提供存取權。如需詳細資訊,請參閱下節。

IAM 和 SAML 身分驗證

IAM 主體和 SAML 身分是資料存取政策的其中一個建構區塊。在存取政策的 principal 陳述式中,您可以包含 IAM 角色、使用者和 SAML 身分。接著會將您在相關聯政策規則中指定的許可授予這些主體。

[
   {
      "Rules":[
         {
            "ResourceType":"index",
            "Resource":[
               "index/marketing/orders*"
            ],
            "Permission":[
               "aoss:*"
            ]
         }
      ],
      "Principal":[
         "arn:aws:iam::123456789012:user/Dale",
         "arn:aws:iam::123456789012:role/RegulatoryCompliance",
         "saml/123456789012/myprovider/user/Annie"
      ]
   }
]

您可以直接在 OpenSearch 無伺服器中設定 SAML 驗證。如需詳細資訊,請參閱 適用於 Amazon OpenSearch 無伺服器的 SAML 驗證

基礎架構安全

Amazon OpenSearch 無伺服器受到 AWS 全球網路安全的保護。有關 AWS 安全服務以及如何 AWS 保護基礎結構的詳細資訊,請參閱AWS 雲端安全 若要使用基礎架構安全性的最佳做法來設計您的 AWS 環境,請參閱安全性支柱架構良 AWS 好的架構中的基礎結構保

您可以使用 AWS 已發佈的 API 呼叫透過網路存取 Amazon OpenSearch 無伺服器。用戶端必須支援 Transport Layer Security (TLS)。我們需要 TLS 1.2 並建議使用 TLS 1.3。如需 TLS 1.3 支援的加密清單,請參閱 Elastic Load Balancing 文件中的 TLS 通訊協定和密碼

此外,您必須使用存取金鑰 ID 和與 IAM 主體相關聯的秘密存取金鑰來簽署請求。或者,您可以使用 AWS Security Token Service (AWS STS) 以產生暫時安全憑證以簽署請求。