Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Seguridad de la infraestructura en Amazon OpenSearch Service
Como se trata de un servicio administrado, Amazon OpenSearch Service está protegido por la seguridad de red global de AWS. Para obtener información sobre los servicios de seguridad de AWS y cómo AWSprotege la infraestructura, consulte Seguridad en la nube de AWS
Puede utilizar llamadas a la API publicadas de AWS de OpenSearch Service a través de la red. Los clientes deben admitir lo siguiente:
-
Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
-
Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad de seguridad de IAM principal. También puede utilizar AWS Security Token Service (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.
Puede utilizar llamadas a la API publicadas de AWS para obtener acceso a la API de configuración de OpenSearch Service a través de la red. A fin de configurar la versión mínima requerida de TLS para aceptar, especifique el valor TLSSecurityPolicy
en las opciones de punto de conexión del dominio:
aws opensearch update-domain-config --domain-name
my-domain
--domain-endpoint-options '{"TLSSecurityPolicy": "Policy-Min-TLS-1-2-2019-07"}'
Para obtener más información, consulte la Referencia de comandos de la AWS CLI.
En función de la configuración de dominio, también podría ser necesario firmar solicitudes a las API de OpenSearch. Para obtener más información, consulte Realizar y firmar solicitudes de OpenSearch Service.
OpenSearch Service admite dominios de acceso público, que pueden recibir solicitudes de cualquier dispositivo conectado a Internet y dominios de acceso mediante VPC, que están aislados de la Internet pública.