Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Descripción general de la seguridad en Amazon OpenSearch Serverless
La seguridad de Amazon OpenSearch Serverless se diferencia fundamentalmente de la seguridad de Amazon OpenSearch Service en los siguientes aspectos:
| Característica | OpenSearch Servicio | OpenSearch Sin servidor |
| --- | --- | --- |
| Control de acceso a los datos | El acceso a los datos está determinado por las políticas de IAM y el control de acceso detallado. | El acceso a los datos está determinado por las políticas de acceso a los datos. |
| Cifrado en reposo | El cifrado en reposo es opcional para los dominios. | El cifrado en reposo es obligatorio para las colecciones. |
| Configuración y administración de seguridad | Debe configurar la red, el cifrado y el acceso a los datos de forma individual para cada dominio. | Puede usar políticas de seguridad para administrar la configuración de seguridad de varias colecciones a escala. |
El siguiente diagrama ejemplifica los componentes de seguridad que componen una colección funcional. A una colección se le debe asignar una clave de cifrado, una configuración de acceso a la red y una política de acceso a los datos coincidente que otorgue permisos a sus recursos.
![\[Diagram showing encryption, network, data access, and authentication policies for a collection.\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/images/serverless-security.png)
**Topics**
+ [Políticas de cifrado](#serverless-security-encryption)
+ [Políticas de red](#serverless-security-network)
+ [Políticas de acceso a datos](#serverless-security-data-access)
+ [Autenticación SAML e IAM](#serverless-security-authentication)
+ [Seguridad de la infraestructura](#serverless-infrastructure-security)
+ [Introducción a la seguridad en Amazon OpenSearch Serverless](serverless-tutorials.md)
+ [Identity and Access Management para Amazon OpenSearch Serverless](security-iam-serverless.md)
+ [Cifrado en Amazon OpenSearch Serverless](serverless-encryption.md)
+ [Acceso a la red para Amazon OpenSearch Serverless](serverless-network.md)
+ [Conformidad con FIPS en Amazon Serverless OpenSearch](fips-compliance-opensearch-serverless.md)
+ [Control de acceso a datos para Amazon OpenSearch Serverless](serverless-data-access.md)
+ [Acceso al plano de datos a través de AWS PrivateLink](serverless-vpc.md)
+ [Acceso al plano de control a través de AWS PrivateLink](serverless-vpc-cp.md)
+ [Autenticación SAML para Amazon Serverless OpenSearch](serverless-saml.md)
+ [Validación de conformidad para Amazon OpenSearch Serverless](serverless-compliance-validation.md)
## Políticas de cifrado
[Las políticas de cifrado](serverless-encryption.md) definen si sus colecciones se cifran con una clave gestionada por el cliente Clave propiedad de AWS o con una clave gestionada por el cliente. Las políticas de cifrado constan de dos componentes: un **patrón de recursos** y una **clave de cifrado**. El patrón de recursos define a qué colección o colecciones se aplica la política. La clave de cifrado determina cómo se protegerán las colecciones asociadas.
Para aplicar una política a varias colecciones debe incluir un comodín (\$1) en la regla de política. Por ejemplo, la siguiente política se aplica a todas las colecciones cuyos nombres comiencen por “logs” (registros).
![\[Input field for specifying a prefix term or collection name, with "logs*" entered.\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/images/serverless-security-encryption.png)
Las políticas de cifrado agilizan el proceso de creación y administración de colecciones, especialmente cuando se hace mediante programación. Puede crear una colección especificando un nombre y, al crearla, se le asigna de forma automática una clave de cifrado.
## Políticas de red
Las [políticas de red](serverless-network.md) definen si se puede acceder a las colecciones de forma privada o a través de Internet desde redes públicas. *Se puede acceder a las colecciones privadas a través de puntos de enlace de VPC OpenSearch gestionados sin servidor o mediante dispositivos específicos, Servicios de AWS como Amazon Bedrock, mediante acceso privado.Servicio de AWS * Al igual que las políticas de cifrado, las políticas de red se pueden aplicar a varias colecciones, lo que le permite administrar el acceso a la red para muchas colecciones a gran escala.
Las políticas de red constan de dos componentes: un **tipo de acceso** y un **tipo de recurso**. El tipo de acceso puede ser público o privado. El tipo de recurso determina si el acceso que elija se aplica al punto final de la colección, al punto final de Dashboards o a ambos. OpenSearch
![\[Access type and resource type options for configuring network policies in OpenSearch.\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/images/serverless-security-network.png)
Si planea configurar el acceso a la VPC dentro de una política de red, primero debe crear uno o más puntos de enlace de VPC [OpenSearch administrados sin servidor](serverless-vpc.md). Estos puntos de enlace le permiten acceder a OpenSearch Serverless como si estuviera en su VPC, sin el uso de una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una conexión. Direct Connect
El acceso privado a solo Servicios de AWS se puede aplicar al punto final de la colección, no al OpenSearch punto final de Dashboards. OpenSearch Servicios de AWS no se le puede conceder acceso a los OpenSearch paneles.
## Políticas de acceso a datos
Las [políticas de acceso a datos](serverless-data-access.md) definen la forma en que los usuarios acceden a los datos de sus colecciones. Las políticas de acceso a datos le ayudan a administrar las colecciones a escala mediante la asignación automática de permisos de acceso a las colecciones e índices que coinciden con un patrón específico. Se pueden aplicar varias políticas a un solo recurso.
Las políticas de acceso a datos constan de un conjunto de reglas, cada una con tres componentes: un **tipo de recurso**, **los recursos concedidos** y un conjunto de **permisos**. El tipo de recurso puede ser una colección o un índice. Los recursos otorgados pueden ser collection/index nombres o patrones con un comodín (\$1). La lista de permisos especifica a qué [operaciones de OpenSearch API](serverless-genref.md#serverless-operations) concede acceso la política. Además, la política contiene una lista de **entidades principales**, que especifican los roles, los usuarios y las identidades SAML de IAM a los que se debe conceder acceso.
![\[Selected principals and granted resources with permissions for collection and index access.\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/images/serverless-data-access.png)
Para obtener más información sobre el formato de una política de acceso a datos, consulte la [sintaxis de la política](serverless-data-access.md#serverless-data-access-syntax).
Antes de crear una política de acceso a datos, debe tener uno o más roles o usuarios de IAM, o identidades SAML, a los que proporcionar acceso en la política. Para más información, consulte la siguiente sección.
**nota**
Al cambiar del acceso público al privado para su colección, se eliminará la pestaña Índices de la consola de colecciones OpenSearch sin servidor.
## Autenticación SAML e IAM
La entidad principal de IAM y las identidades de SAML son uno de los componentes básicos de una política de acceso a los datos. En la instrucción `principal` de una política de acceso puede incluir roles, usuarios e identidades SAML de IAM. A estas entidades principales se le conceden los permisos que usted especifique en las reglas de política asociadas.
```
[
{
"Rules":[
{
"ResourceType":"index",
"Resource":[
"index/marketing/orders*"
],
"Permission":[
"aoss:*"
]
}
],
"Principal":[
"arn:aws:iam::123456789012:user/Dale",
"arn:aws:iam::123456789012:role/RegulatoryCompliance",
"saml/123456789012/myprovider/user/Annie"
]
}
]
```
La autenticación SAML se configura directamente en Serverless. OpenSearch Para obtener más información, consulte [Autenticación SAML para Amazon Serverless OpenSearch](serverless-saml.md).
## Seguridad de la infraestructura
Amazon OpenSearch Serverless está protegido por la seguridad de AWS la red global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte [Seguridad AWS en la nube](https://aws.amazon.com/security/). Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte [Protección de infraestructuras en un marco](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de buena * AWS arquitectura basado en el pilar de la seguridad*.
Utiliza las llamadas a la API AWS publicadas para acceder a Amazon OpenSearch Serverless a través de la red. Los clientes deben admitir Transport Layer Security (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3. Para obtener una lista de los cifrados compatibles con TLS 1.3, consulte los [protocolos y cifrados TLS](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-tls-listener.html#tls-protocols-ciphers) en la documentación de Elastic Load Balancing.
Además, debe firmar las solicitudes mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad principal de IAM. También puede utilizar [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.