本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon OpenSearch 服務的 N ode-to-node 加密
N ode-to-node 加密在 Amazon OpenSearch 服務的預設功能之上提供額外的安全層。
每個 OpenSearch 服務網域 (無論網域是否使用VPC存取) 都位於其專屬的專用網域內。VPC此架構可防止潛在攻擊者攔截 OpenSearch 節點之間的流量,並確保叢集安全。但是,預設情況下,中的流量VPC是未加密的。N ode-to-node 加密啟用 TLS 1.2 加密內的所有通訊VPC。
如果您透過將資料傳送至 OpenSearch ServiceHTTPS, node-to-node 加密有助於確保您的資料保持加密狀態,因為資 OpenSearch 料會在整個叢集中散佈 (和再分配)。如果資料未加密送達HTTP, OpenSearch Service 會在資料到達叢集後加密。您可以要求使用主控台或組態來傳送到網域的所有流量API。HTTPS AWS CLI
如果您啟用精細的存取控制,則需要 N ode-to-node 加密。
啟用 node-to-node 加密
在新網域上進行 N ode-to-node 加密需要任何版本的 OpenSearch或彈性搜尋 6.0 或更新版本。在現有網域上啟用 node-to-node 加密需要任何版本的 OpenSearch或 Elasticsearch 6.7 或更新版本。選擇 AWS 主控台中現有的網域、Actions (動作),以及 Edit security configuration (編輯安全組態)。
或者,您可以使用 AWS CLI 或模型組態API。如需詳細資訊,請參閱命AWS CLI 令參考和OpenSearch 服務API參考。
停用 node-to-node 加密
將網域設定為使用 node-to-node 加密之後,就無法停用此設定。相反地,您可以拍攝加密網域的手動快照,建立另一個網域,遷移您的資料和刪除舊的網域。