N 亚马逊 OpenSearch 服务ode-to-node 加密 - 亚马逊 OpenSearch 服务
启用 node-to-node 加密禁用 node-to-node 加密

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

N 亚马逊 OpenSearch 服务ode-to-node 加密

N ode-to-node 加密在 Amazon OpenSearch 服务的默认功能之上提供了额外的安全层。

每个 OpenSearch 服务域(无论该域是否使用VPC访问权限)都位于自己的专用域中。VPC这种架构可以防止潜在的攻击者拦截 OpenSearch 节点之间的流量,并确保集群的安全。但是,默认情况下,内部的流量VPC是未加密的。N ode-to-node 加密为内部的所有通信启用 TLS 1.2 加密VPC。

如果您通过将数据发送到 S OpenSearch erviceHTTPS,则 node-to-node 加密有助于确保您的数据在整个集群中 OpenSearch 分发(和再分发)时保持加密状态。如果数据未加密到达HTTP,则 OpenSearch 服务会在数据到达集群后对其进行加密。您可以使用控制台、 AWS CLI或配置要求所有流向该域的流量都经过该域的流量API。HTTPS

如果启用精细访问控制,则需要进行ode-to-node 加密。

启用 node-to-node 加密

N 对新域名进行ode-to-node 加密需要任何版本或 Elasticsearch 6.0 或更高版本。 OpenSearch在现有域上启用 node-to-node 加密需要任何版本的 Elasticsearch 6.7 或更高版本。 OpenSearch在 AWS 控制台中选择现有域、Actions(操作)Edit security configuration(编辑安全配置)

或者,您可以使用 AWS CLI 或配置API。有关更多信息,请参阅《AWS CLI 命令参考OpenSearch 服务参API考》。

禁用 node-to-node 加密

将域配置为使用 node-to-node 加密后,您无法禁用该设置。相反,您可以为加密域拍摄手动快照创建另一个域,迁移您的数据和删除旧域。