Amazon OpenSearch 服務的 N ode-to-node 加密 - Amazon OpenSearch 服務
啟用 node-to-node 加密停用 node-to-node 加密

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon OpenSearch 服務的 N ode-to-node 加密

N ode-to-node 加密在 Amazon OpenSearch 服務的預設功能之上提供額外的安全層。

每個 OpenSearch 服務網域 (無論網域是否使用VPC存取) 都位於其專屬的專用網域內。VPC此架構可防止潛在攻擊者攔截 OpenSearch 節點之間的流量,並確保叢集安全。但是,預設情況下,中的流量VPC是未加密的。N ode-to-node 加密啟用 TLS 1.2 加密內的所有通訊VPC。

如果您透過將資料傳送至 OpenSearch ServiceHTTPS, node-to-node 加密有助於確保您的資料保持加密狀態,因為資 OpenSearch 料會在整個叢集中散佈 (和再分配)。如果資料未加密送達HTTP, OpenSearch Service 會在資料到達叢集後加密。您可以要求使用主控台或組態來傳送到網域的所有流量API。HTTPS AWS CLI

如果您啟用精細的存取控制,則需要 N ode-to-node 加密。

啟用 node-to-node 加密

在新網域上進行 N ode-to-node 加密需要任何版本的 OpenSearch或彈性搜尋 6.0 或更新版本。在現有網域上啟用 node-to-node 加密需要任何版本的 OpenSearch或 Elasticsearch 6.7 或更新版本。選擇 AWS 主控台中現有的網域、Actions (動作),以及 Edit security configuration (編輯安全組態)。

或者,您可以使用 AWS CLI 或模型組態API。如需詳細資訊,請參閱命AWS CLI 令參考OpenSearch 服務API參考

停用 node-to-node 加密

將網域設定為使用 node-to-node 加密之後,就無法停用此設定。相反地,您可以拍攝加密網域的手動快照建立另一個網域,遷移您的資料和刪除舊的網域。