node-to-node 暗号化の有効化 node-to-node 暗号化の無効化

Amazon OpenSearch Service の N ode-to-node 暗号化

N ode-to-node 暗号化は、Amazon OpenSearch Service のデフォルト機能に加えてセキュリティレイヤーを追加します。

各 OpenSearch サービスドメインは、ドメインがVPCアクセスを使用するかどうかにかかわらず、独自の専用内にありますVPC。このアーキテクチャにより、潜在的な攻撃者が OpenSearch ノード間のトラフィックを傍受するのを防ぎ、クラスターを安全に保つことができます。ただし、デフォルトでは、内のトラフィックVPCは暗号化されません。N ode-to-node 暗号化はTLS、内のすべての通信に対して 1.2 暗号化を有効にしますVPC。

経由で OpenSearch サービスにデータを送信する場合HTTPS、 node-to-node 暗号化は、データがクラスター全体に OpenSearch 配信 (および再配布) される際に、データが暗号化されたままになることを確実にするのに役立ちます。データが経由で暗号化されずに到着した場合HTTP、 OpenSearch サービスはクラスターに到達した後にデータを暗号化します。ドメインへのすべてのトラフィックは、コンソール、 AWS CLI、または設定 HTTPSを使用して到着するように要求できますAPI。

きめ細かなアクセスコントロールを有効にする場合は、N 暗号化ode-to-node が必要です。

node-to-node 暗号化の有効化

新しいドメインでの N ode-to-node 暗号化には OpenSearch、の任意のバージョン、または Elasticsearch 6.0 以降が必要です。既存のドメインで node-to-node 暗号化を有効にするには OpenSearch、の任意のバージョン、または Elasticsearch 6.7 以降が必要です。 AWS コンソールで既存のドメインを選択し、[アクション] から [セキュリティ設定の編集] を選択します。

または、 AWS CLI または設定を使用することもできますAPI。詳細については、AWS CLI 「コマンドリファレンス」および OpenSearch 「サービスAPIリファレンス」を参照してください。

node-to-node 暗号化の無効化

node-to-node 暗号化を使用するようにドメインを設定した後は、設定を無効にすることはできません。代わりに、暗号化されたドメインの手動スナップショットを作成し、別のドメインを作成してからデータを移行して、古いドメインを削除することができます。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

保管中の暗号化

Identity and Access Management