Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Controles CSPM de Security Hub para Amazon Service OpenSearch
Estos AWS Security Hub CSPM controles evalúan el OpenSearch servicio y los recursos de Amazon OpenSearch Service (Servicio). Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).
## Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, (1), 3, 8, 8 (1), NIST.800-53.r5 SI-7 (6) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2
**Categoría**: Proteger > Protección de datos > Cifrado de data-at-rest
**Gravedad:** media
**Tipo de recurso:** `AWS::OpenSearch::Domain`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si OpenSearch los dominios tienen habilitada encryption-at-rest la configuración. La comprobación falla si el cifrado en reposo no está habilitado.
Para añadir un nivel de seguridad adicional a los datos confidenciales, debe configurar su dominio de OpenSearch servicio para que esté cifrado en reposo. Al configurar el cifrado de datos en reposo, AWS KMS almacena y administra las claves de cifrado. Para realizar el cifrado, AWS KMS utiliza el algoritmo del estándar de cifrado avanzado con claves de 256 bits (AES-256).
Para obtener más información sobre el cifrado de OpenSearch servicios en reposo, consulte [Cifrado de datos en reposo para Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html) en la *Guía para desarrolladores* de *Amazon OpenSearch Service*.
### Corrección
Para habilitar el cifrado en reposo para OpenSearch dominios nuevos y existentes, consulta Cómo [habilitar el cifrado de datos en reposo](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html#enabling-ear) en la *Guía para desarrolladores de Amazon OpenSearch Service*.
## Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21),, (11), (16), (20) NIST.800-53.r5 AC-3, (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (3), (4) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoría:** Proteger > Configuración de red segura > Recursos dentro de VPC
**Gravedad:** crítica
**Tipo de recurso:** `AWS::OpenSearch::Domain`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si OpenSearch los dominios están en una VPC. No evalúa la configuración de direccionamiento de subred de VPC para determinar el acceso público.
Debe asegurarse de que OpenSearch los dominios no estén conectados a subredes públicas. Consulta [las políticas basadas en recursos](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource) en la Guía para desarrolladores de Amazon OpenSearch Service. También debe asegurarse de que la VPC esté configurada de acuerdo con las prácticas recomendadas. Consulte [Prácticas recomendadas de seguridad para su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html) en la Guía del usuario de Amazon VPC.
OpenSearch los dominios implementados en una VPC pueden comunicarse con los recursos de la VPC a través de la AWS red privada, sin necesidad de atravesar la Internet pública. Esta configuración aumenta la seguridad al limitar el acceso a los datos en tránsito. VPCs proporcionan una serie de controles de red para proteger el acceso a los OpenSearch dominios, incluidas las ACL de red y los grupos de seguridad. Security Hub recomienda migrar OpenSearch los dominios públicos VPCs a para aprovechar estos controles.
### Corrección
Si crea un dominio con un punto de enlace público, no podrá colocarlo posteriormente en una VPC. En lugar de ello, se debe crear un dominio nuevo y migrar los datos. y viceversa. Si crea un dominio dentro de una VPC, no puede tener un punto de enlace público. En su lugar, debe [crear otro dominio](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html#es-createdomains) o deshabilitar este control.
Para obtener instrucciones, consulta Cómo [lanzar tus dominios de Amazon OpenSearch Service dentro de una VPC](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html) en la Guía para *desarrolladores de Amazon OpenSearch Service*.
## Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-7 (4), (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8
**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit
**Gravedad:** media
**Tipo de recurso:** `AWS::OpenSearch::Domain`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si OpenSearch los dominios tienen el node-to-node cifrado activado. Este control falla si el node-to-node cifrado está deshabilitado en el dominio.
El HTTPS (TLS) se puede utilizar para evitar que posibles atacantes escuchen o manipulen el tráfico de la red mediante ataques o similares. person-in-the-middle Solo se deben permitir las conexiones cifradas a través de HTTPS (TLS). Al habilitar el node-to-node cifrado de los OpenSearch dominios, se garantiza que las comunicaciones dentro del clúster se cifren durante el tránsito.
Puede haber una penalización en el rendimiento asociada a esta configuración. Debe conocer y probar la compensación de rendimiento antes de activar esta opción.
### Corrección
Para habilitar el node-to-node cifrado en un OpenSearch dominio, consulta [Habilitar el node-to-node cifrado](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html#enabling-ntn) en la *Guía para desarrolladores de Amazon OpenSearch Service*.
## El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), Nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.r5 SI-4 (20), Nist.800-53.r5 SI-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7
**Categoría:** Identificar - Registro
**Gravedad:** media
**Tipo de recurso:** `AWS::OpenSearch::Domain`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:**
+ `logtype = 'error'` (no personalizable)
Este control comprueba CloudWatch si los dominios están configurados para enviar registros de errores a Logs. OpenSearch Este control falla si el registro de errores no CloudWatch está habilitado para un dominio.
Debe habilitar los registros de errores para OpenSearch los dominios y enviarlos a CloudWatch Logs para su conservación y respuesta. Los registros de errores de los dominios pueden ayudar con las auditorías de seguridad y acceso, y pueden ayudar a diagnosticar problemas de disponibilidad.
### Corrección
Para habilitar la publicación de registros, consulta [Habilitar la publicación de registros (consola)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console) en la *Guía para desarrolladores de Amazon OpenSearch Service*.
## Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), Nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, Nist.800-53.r5 SI-4 (20), Nist.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1
**Categoría:** Identificar - Registro
**Gravedad:** media
**Tipo de recurso:** `AWS::OpenSearch::Domain`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:**
+ `cloudWatchLogsLogGroupArnList`(no personalizable): Security Hub CSPM no completa este parámetro. Lista de grupos de CloudWatch registros separados por comas que deben configurarse para los registros de auditoría.
Este control comprueba si los OpenSearch dominios tienen habilitado el registro de auditoría. Este control produce un error si un OpenSearch dominio no tiene activado el registro de auditoría.
Los registros de auditoría son altamente personalizables. Le permiten realizar un seguimiento de la actividad de los usuarios en sus OpenSearch clústeres, incluidos los aciertos y los errores de autenticación, las solicitudesOpenSearch, los cambios de indexación y las consultas de búsqueda entrantes.
### Corrección
Para obtener instrucciones sobre cómo habilitar los registros de auditoría, consulta [Habilitar los registros de auditoría](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) en la *Guía para desarrolladores de Amazon OpenSearch Service*.
## Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), niST.800-53.r5 SI-13 (5)
**Categoría**: Recuperación > Resiliencia > Alta disponibilidad
**Gravedad:** media
**Tipo de recurso:** `AWS::OpenSearch::Domain`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si los OpenSearch dominios están configurados con al menos tres nodos de datos y lo está. `zoneAwarenessEnabled` `true` Este control no funciona para un OpenSearch dominio si `instanceCount` es inferior a 3 o `zoneAwarenessEnabled` es`false`.
Para lograr una alta disponibilidad y tolerancia a errores a nivel de clúster, un OpenSearch dominio debe tener al menos tres nodos de datos. La implementación de un OpenSearch dominio con al menos tres nodos de datos garantiza las operaciones del clúster en caso de que un nodo falle.
### Corrección
**Para modificar la cantidad de nodos de datos de un OpenSearch dominio**
1. Inicia sesión en la AWS consola y abre la consola OpenSearch de Amazon Service en [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. En **Mis dominios**, elija el nombre del dominio que desee editar y elija **Editar**.
1. En **Nodos de datos**, establezca **Número de nodos** en un número superior a `3`. Si va a realizar la implementación en tres zonas de disponibilidad, establezca el número en un múltiplo de tres para garantizar una distribución equitativa entre las zonas de disponibilidad.
1. Seleccione **Enviar**.
## Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6
**Categoría**: Proteger > Gestión del acceso seguro > Acciones confidenciales de la API restringidas
**Gravedad:** alta
**Tipo de recurso:** `AWS::OpenSearch::Domain`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si OpenSearch los dominios tienen habilitado el control de acceso detallado. El control falla si el control de acceso detallado no está habilitado. El control de acceso detallado requiere `advanced-security-options` que el parámetro esté habilitado. OpenSearch `update-domain-config`
El control de acceso detallado ofrece formas adicionales de controlar el acceso a tus datos en Amazon Service. OpenSearch
### Corrección
*Para habilitar un control de acceso detallado, consulta Control de [acceso detallado en Amazon Service en la Guía para desarrolladores OpenSearch de Amazon Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac.html). OpenSearch *
## [Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente
**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 (3), NIST.800-53.r5 SC-1 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)
**Categoría: Proteger > Protección** de datos > Cifrado de data-in-transit
**Gravedad:** media
**Tipo de recurso:** `AWS::OpenSearch::Domain`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:**
+ `tlsPolicies: Policy-Min-TLS-1-2-PFS-2023-10` (no personalizable)
Este control comprueba si un punto de enlace de dominio de Amazon OpenSearch Service está configurado para utilizar la política de seguridad TLS más reciente. El control falla si el punto de enlace del OpenSearch dominio no está configurado para usar la última política compatible o si HTTPs no está habilitado.
El protocolo HTTPS (TLS) se puede utilizar para evitar que posibles atacantes utilicen ataques similares para espiar person-in-the-middle o manipular el tráfico de la red. Solo se deben permitir las conexiones cifradas a través de HTTPS (TLS). El cifrado de los datos en tránsito puede afectar al rendimiento. Debe probar su aplicación con esta característica para comprender el perfil de rendimiento y el impacto del TLS. TLS 1.2 proporciona varias mejoras de seguridad con respecto a las versiones anteriores de TLS.
### Corrección
Para habilitar el cifrado TLS, utilice la operación API. [UpdateDomainConfig](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html) Configure el [DomainEndpointOptions](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html)campo para especificar el valor de`TLSSecurityPolicy`. Para obtener más información, consulta el [Node-to-node cifrado](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html) en la *Guía para desarrolladores OpenSearch de Amazon Service*.
## Los OpenSearch dominios [Opensearch.9] deben estar etiquetados
**Categoría:** Identificar > Inventario > Etiquetado
**Gravedad:** baja
**Tipo de recurso:** `AWS::OpenSearch::Domain`
**AWS Config regla:** `tagged-opensearch-domain` (regla CSPM de Security Hub personalizada)
**Tipo de horario:** provocado por un cambio
**Parámetros:**
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Este control comprueba si un dominio de Amazon OpenSearch Service tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si el dominio no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el dominio no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.
**nota**
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*
### Corrección
Para añadir etiquetas a un dominio OpenSearch de servicio, consulta Cómo [trabajar con etiquetas](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-awsresourcetagging.html#managedomains-awsresourcetagging-console) en la *Guía para desarrolladores de Amazon OpenSearch Service*.
## Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software
**Requisitos relacionados:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), PCI DSS v4.0.1/6.3.3
**Categoría:** Identificar > Administración de vulnerabilidades, parches y versiones
**Gravedad:** media
**Tipo de recurso:** `AWS::OpenSearch::Domain`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-update-check.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-update-check.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si un dominio de Amazon OpenSearch Service tiene instalada la última actualización de software. Se produce un error en el control si hay una actualización de software disponible, pero no está instalada para el dominio.
OpenSearch Las actualizaciones de software de servicio proporcionan las últimas correcciones, actualizaciones y funciones de plataforma disponibles para el entorno. Mantener la instalación up-to-date de los parches ayuda a mantener la seguridad y la disponibilidad del dominio. Si no se adoptan medidas respecto de las actualizaciones necesarias, actualizaremos el software de servicio automáticamente después de un tiempo determinado (por lo general, dos semanas). Recomendamos programar las actualizaciones en momentos de poco tráfico en el dominio para minimizar las interrupciones del servicio.
### Corrección
Para instalar actualizaciones de software para un OpenSearch dominio, consulta Cómo [iniciar una actualización](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/service-software.html#service-software-requesting) en la *Guía para desarrolladores de Amazon OpenSearch Service*.
## Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 6, niST.800-53.r5 SI-13
**Categoría**: Recuperación > Resiliencia > Alta disponibilidad
**Gravedad:** baja
**Tipo de recurso:** `AWS::OpenSearch::Domain`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-primary-node-fault-tolerance.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-primary-node-fault-tolerance.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si un dominio de Amazon OpenSearch Service está configurado con al menos tres nodos principales dedicados. El control falla si el dominio tiene menos de tres nodos principales dedicados.
OpenSearch El servicio utiliza nodos principales dedicados para aumentar la estabilidad del clúster. Un nodo principal dedicado realiza tareas de administración de clústeres, pero no contiene datos ni responde a las solicitudes de carga de datos. Le recomendamos que utilice Multi-AZ con modo de espera, lo que añade tres nodos principales dedicados a cada OpenSearch dominio de producción.
### Corrección
Para cambiar el número de nodos principales de un OpenSearch dominio, consulte [Creación y gestión de dominios de Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html) en la *Guía para desarrolladores de Amazon OpenSearch Service*.