Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Security Hub CSPM-Steuerungen für Amazon Service OpenSearch
Diese AWS Security Hub CSPM Kontrollen bewerten den OpenSearch Service und die Ressourcen von Amazon OpenSearch Service (Service). Die Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).
## Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein
**Verwandte Anforderungen:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, (1), 3, 8, 8 (1), NIST.800-53.r5 SI-7 (6) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2
**Kategorie**: Schützen > Datenschutz > Verschlüsselung von data-at-rest
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::OpenSearch::Domain`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Dieses Steuerelement prüft, ob für OpenSearch Domänen die encryption-at-rest Konfiguration aktiviert ist. Die Prüfung schlägt fehl, wenn die Verschlüsselung im Ruhezustand nicht aktiviert ist.
Für eine zusätzliche Sicherheitsebene für vertrauliche Daten sollten Sie Ihre OpenSearch Service-Domain so konfigurieren, dass sie im Ruhezustand verschlüsselt wird. Wenn Sie die Verschlüsselung von Daten im Ruhezustand konfigurieren, AWS KMS werden Ihre Verschlüsselungsschlüssel gespeichert und verwaltet. Für die Verschlüsselung wird der Advanced Encryption Standard-Algorithmus mit 256-Bit-Schlüsseln (AES-256) AWS KMS verwendet.
Weitere Informationen zur OpenSearch Service-Verschlüsselung im Ruhezustand finden Sie unter [Verschlüsselung ruhender Daten für Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html) im *Amazon OpenSearch Service* *Developer Guide*.
### Abhilfe
Informationen zur Aktivierung der Verschlüsselung im Ruhezustand für neue und bestehende OpenSearch Domains finden Sie unter [Enabling encryption of data at rest](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html#enabling-ear) im *Amazon OpenSearch Service Developer Guide*.
## [Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein
**Verwandte Anforderungen:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7),, (21),, (11) NIST.800-53.r5 AC-3, (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (20), (21) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Kategorie:** Schützen > Sichere Netzwerkkonfiguration > Ressourcen in VPC
**Schweregrad:** Kritisch
**Art der Ressource:** `AWS::OpenSearch::Domain`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Dieses Steuerelement prüft, ob sich OpenSearch Domänen in einer VPC befinden. Es bewertet nicht die Konfiguration des VPC-Subnetz-Routings, um den öffentlichen Zugriff zu bestimmen.
Sie sollten sicherstellen, dass OpenSearch Domänen nicht an öffentliche Subnetze angehängt sind. Informationen zu [ressourcenbasierten Richtlinien](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource) finden Sie im Amazon OpenSearch Service Developer Guide. Sie sollten auch sicherstellen, dass Ihre VPC gemäß den empfohlenen bewährten Methoden konfiguriert ist. [Bewährte Sicherheitsmethoden für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html) finden Sie im Amazon VPC-Benutzerhandbuch.
OpenSearch Domänen, die in einer VPC bereitgestellt werden, können über das private AWS Netzwerk mit VPC-Ressourcen kommunizieren, ohne das öffentliche Internet durchqueren zu müssen. Diese Konfiguration erhöht das Sicherheitsniveau, indem der Zugriff auf die Daten während der Übertragung eingeschränkt wird. VPCs bieten eine Reihe von Netzwerkkontrollen, um den Zugriff auf OpenSearch Domänen zu sichern, einschließlich Netzwerk-ACL und Sicherheitsgruppen. Security Hub empfiehlt, öffentliche OpenSearch Domains zu migrieren, VPCs um diese Kontrollen nutzen zu können.
### Abhilfe
Wenn Sie eine Domäne mit einem öffentlichen Endpunkt erstellen, können Sie sie später nicht in einer VPC platzieren. Sie müssen stattdessen eine neue Domäne erstellen und die Daten übernehmen. Umgekehrt gilt dies auch. Wenn Sie eine Domäne innerhalb einer VPC erstellen, kann sie keinen öffentlichen Endpunkt haben. Stattdessen müssen Sie entweder [eine andere Domäne erstellen](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html#es-createdomains) oder dieses Steuerelement deaktivieren.
Anweisungen finden Sie unter [Starten Ihrer Amazon OpenSearch Service-Domains innerhalb einer VPC](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html) im *Amazon OpenSearch Service Developer Guide*.
## [Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
**Verwandte Anforderungen:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-7 (4),, NIST.800-53.r5 SC-8 (1) NIST.800-53.r5 SC-8, (2) NIST.800-53.r5 SC-8
**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-in-transit
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::OpenSearch::Domain`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Dieses Steuerelement prüft, ob für OpenSearch Domänen die node-to-node Verschlüsselung aktiviert ist. Diese Kontrolle schlägt fehl, wenn die node-to-node Verschlüsselung in der Domain deaktiviert ist.
HTTPS (TLS) kann verwendet werden, um zu verhindern, dass potenzielle Angreifer den Netzwerkverkehr mit person-in-the-middle oder ähnlichen Angriffen abhören oder manipulieren. Nur verschlüsselte Verbindungen über HTTPS (TLS) sollten zugelassen werden. Durch die Aktivierung der node-to-node Verschlüsselung für OpenSearch Domänen wird sichergestellt, dass die Kommunikation innerhalb des Clusters während der Übertragung verschlüsselt wird.
Mit dieser Konfiguration kann es zu Leistungseinbußen kommen. Sie sollten sich der Leistungseinbußen bewusst sein und diese testen, bevor Sie diese Option aktivieren.
### Abhilfe
Informationen zum Aktivieren der node-to-node Verschlüsselung für eine OpenSearch Domain finden Sie unter [ node-to-nodeEnabling encryption](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html#enabling-ntn) im *Amazon OpenSearch Service Developer Guide*.
## Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein
**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7
**Kategorie:** Identifizieren > Protokollierung
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::OpenSearch::Domain`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:**
+ `logtype = 'error'`(nicht anpassbar)
Dieses Steuerelement prüft, ob OpenSearch Domänen so konfiguriert sind, dass sie CloudWatch Fehlerprotokolle an Logs senden. Dieses Steuerelement schlägt fehl, wenn die Fehlerprotokollierung für eine Domäne nicht aktiviert CloudWatch ist.
Sie sollten Fehlerprotokolle für OpenSearch Domänen aktivieren und diese CloudWatch Protokolle zur Aufbewahrung und Bearbeitung an Logs senden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.
### Abhilfe
Informationen zum Aktivieren der Protokollveröffentlichung finden Sie unter [Aktivieren der Protokollveröffentlichung (Konsole)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console) im *Amazon OpenSearch Service Developer Guide*.
## Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein
**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1
**Kategorie:** Identifizieren > Protokollierung
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::OpenSearch::Domain`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:**
+ `cloudWatchLogsLogGroupArnList`(nicht anpassbar) — Security Hub CSPM füllt diesen Parameter nicht aus. Durch Kommas getrennte Liste von CloudWatch Logs-Log-Gruppen, die für Audit-Logs konfiguriert werden sollten.
Dieses Steuerelement prüft, ob in OpenSearch Domänen die Auditprotokollierung aktiviert ist. Dieses Steuerelement schlägt fehl, wenn für eine OpenSearch Domäne die Überwachungsprotokollierung nicht aktiviert ist.
Audit-Logs sind in hohem Maße anpassbar. Sie ermöglichen es Ihnen, Benutzeraktivitäten auf Ihren OpenSearch Clustern nachzuverfolgen, einschließlich erfolgreicher und fehlgeschlagener AuthentifizierungenOpenSearch, Anfragen an, Indexänderungen und eingehende Suchanfragen.
### Abhilfe
Anweisungen zur Aktivierung von Audit-Logs finden Sie unter [Aktivieren von Audit-Logs](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) im *Amazon OpenSearch Service Developer Guide*.
## [Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben
**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Kategorie**: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::OpenSearch::Domain`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Dieses Steuerelement prüft, ob OpenSearch Domänen mit mindestens drei Datenknoten konfiguriert sind und `zoneAwarenessEnabled` ist`true`. Dieses Steuerelement schlägt für eine OpenSearch Domäne fehl, wenn sie `instanceCount` weniger als 3 `zoneAwarenessEnabled` ist oder ist`false`.
Um eine hohe Verfügbarkeit und Fehlertoleranz auf Clusterebene zu erreichen, sollte eine OpenSearch Domäne über mindestens drei Datenknoten verfügen. Durch die Bereitstellung einer OpenSearch Domäne mit mindestens drei Datenknoten wird der Clusterbetrieb gewährleistet, falls ein Knoten ausfällt.
### Abhilfe
**Um die Anzahl der Datenknoten in einer OpenSearch Domäne zu ändern**
1. Melden Sie sich bei der AWS Konsole an und öffnen Sie die Amazon OpenSearch Service-Konsole unter [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. Wählen Sie unter **Meine Domains** den Namen der Domain aus, die Sie bearbeiten möchten, und wählen Sie **Bearbeiten** aus.
1. Stellen Sie unter **Datenknoten** **die Anzahl der Knoten** auf eine Zahl größer als ein`3`. Wenn Sie in drei Availability Zones bereitstellen, legen Sie die Zahl auf ein Vielfaches von drei fest, um eine gleichmäßige Verteilung auf die Availability Zones sicherzustellen.
1. Wählen Sie **Absenden** aus.
## Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein
**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6
**Kategorie:** Schützen > Secure Access Management > Eingeschränkte sensible API-Aktionen
**Schweregrad:** Hoch
**Art der Ressource:** `AWS::OpenSearch::Domain`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Dieses Steuerelement prüft, ob für OpenSearch Domänen eine differenzierte Zugriffskontrolle aktiviert ist. Die Steuerung schlägt fehl, wenn die feinkörnige Zugriffskontrolle nicht aktiviert ist. Eine differenzierte Zugriffskontrolle erfordert, dass `advanced-security-options` der OpenSearch Parameter `update-domain-config` aktiviert ist.
Eine detaillierte Zugriffskontrolle bietet zusätzliche Möglichkeiten, den Zugriff auf Ihre Daten bei Amazon OpenSearch Service zu kontrollieren.
### Abhilfe
Informationen zur Aktivierung der feinkörnigen Zugriffskontrolle finden Sie unter [Feinkörnige Zugriffskontrolle in Amazon OpenSearch Service im *Amazon OpenSearch * Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac.html) Developer Guide.
## [Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden
**Verwandte Anforderungen:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4), (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-2
**Kategorie: Schützen > Datenschutz > Verschlüsselung von** data-in-transit
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::OpenSearch::Domain`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:**
+ `tlsPolicies: Policy-Min-TLS-1-2-PFS-2023-10`(nicht anpassbar)
Diese Steuerung prüft, ob ein Amazon OpenSearch Service-Domain-Endpunkt so konfiguriert ist, dass er die neueste TLS-Sicherheitsrichtlinie verwendet. Die Kontrolle schlägt fehl, wenn der OpenSearch Domain-Endpunkt nicht für die Verwendung der neuesten unterstützten Richtlinie konfiguriert ist oder wenn er HTTPs nicht aktiviert ist.
HTTPS (TLS) kann verwendet werden, um zu verhindern, dass potenzielle Angreifer person-in-the-middle oder ähnliche Angriffe verwenden, um den Netzwerkverkehr zu belauschen oder zu manipulieren. Nur verschlüsselte Verbindungen über HTTPS (TLS) sollten zugelassen werden. Die Verschlüsselung von Daten während der Übertragung kann die Leistung beeinträchtigen. Sie sollten Ihre Anwendung mit dieser Funktion testen, um das Leistungsprofil und die Auswirkungen von TLS zu verstehen. TLS 1.2 bietet mehrere Sicherheitsverbesserungen gegenüber früheren Versionen von TLS.
### Abhilfe
Verwenden Sie den [UpdateDomainConfig](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html)API-Vorgang, um die TLS-Verschlüsselung zu aktivieren. Konfigurieren Sie das [DomainEndpointOptions](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html)Feld, um den Wert für anzugeben`TLSSecurityPolicy`. Weitere Informationen finden Sie unter [Node-to-node Verschlüsselung](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html) im *Amazon OpenSearch Service Developer Guide*.
## [Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden
**Kategorie: Identifizieren > Inventar** > Tagging
**Schweregrad:** Niedrig
**Art der Ressource:** `AWS::OpenSearch::Domain`
**AWS Config Regel:** `tagged-opensearch-domain` (benutzerdefinierte Security Hub CSPM-Regel)
**Zeitplantyp: Änderung wurde ausgelöst**
**Parameter:**
| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList (maximal 6 Elemente) | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen. | No default value |
Dieses Steuerelement prüft, ob eine Amazon OpenSearch Service-Domain Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sind`requiredTagKeys`. Die Kontrolle schlägt fehl, wenn die Domain keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hat`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Domain mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.
**Anmerkung**
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*
### Abhilfe
Informationen zum Hinzufügen von Tags zu einer OpenSearch Service-Domain finden Sie unter [Arbeiten mit Tags](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-awsresourcetagging.html#managedomains-awsresourcetagging-console) im *Amazon OpenSearch Service Developer Guide*.
## Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein
**Verwandte Anforderungen:** NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3
**Kategorie**: Identifizieren > Sicherheitslücken-, Patch- und Versionsverwaltung
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::OpenSearch::Domain`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-update-check.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-update-check.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Diese Kontrolle prüft, ob auf einer Amazon OpenSearch Service-Domain das neueste Softwareupdate installiert ist. Die Kontrolle schlägt fehl, wenn ein Softwareupdate verfügbar, aber nicht für die Domain installiert ist.
OpenSearch Service-Softwareupdates bieten die neuesten Plattformkorrekturen, Updates und Funktionen, die für die Umgebung verfügbar sind. Die up-to-date Beibehaltung der Patch-Installation trägt dazu bei, die Sicherheit und Verfügbarkeit der Domain aufrechtzuerhalten. Wenn bei den erforderlichen Updates keine Maßnahmen ergriffen werden, wird die Service-Software automatisch aktualisiert (in der Regel nach 2 Wochen). Wir empfehlen, Updates in Zeiten mit geringem Datenverkehr auf der Domain zu planen, um Dienstunterbrechungen zu minimieren.
### Abhilfe
Informationen zur Installation von Softwareupdates für eine OpenSearch Domain finden Sie unter [Ein Update starten](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/service-software.html#service-software-requesting) im *Amazon OpenSearch Service Developer Guide*.
## [Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben
**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 6, NIST.800-53.R5 SI-13
**Kategorie**: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit
**Schweregrad:** Niedrig
**Art der Ressource:** `AWS::OpenSearch::Domain`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-primary-node-fault-tolerance.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-primary-node-fault-tolerance.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Diese Kontrolle prüft, ob eine Amazon OpenSearch Service-Domain mit mindestens drei dedizierten Primärknoten konfiguriert ist. Die Kontrolle schlägt fehl, wenn die Domain weniger als drei dedizierte Primärknoten hat.
OpenSearch Der Dienst verwendet dedizierte Primärknoten, um die Clusterstabilität zu erhöhen. Ein dedizierter primärer Knoten führt Clusterverwaltungsaufgaben aus, speichert jedoch keine Daten und reagiert auch nicht auf Anfragen zum Hochladen von Daten. Wir empfehlen die Verwendung von Multi-AZ mit Standby, wodurch jeder OpenSearch Produktionsdomäne drei dedizierte Primärknoten hinzugefügt werden.
### Abhilfe
Informationen zum Ändern der Anzahl der Primärknoten für eine OpenSearch Domain finden Sie unter [Erstellen und Verwalten von Amazon OpenSearch Service-Domains](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html) im *Amazon OpenSearch Service Developer Guide*.