Amazon Elasticsearch Service
开发人员指南 (API 版本 2015-01-01)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

Amazon Elasticsearch Service 的节点到节点加密

节点到节点加密在 Amazon ES 的默认功能基础上提供一个额外的安全层。

每个 Amazon ES 域 — 无论域是否使用 VPC 访问权限 — 都驻留在其自己的专用 VPC 内。此架构防止潜在攻击者拦截 Elasticsearch 节点之间的流量并保证集群安全。但是,默认情况下,不会加密 VPC 内的流量。利用节点到节点加密,将能够为 VPC 内的所有通信启用 TLS 加密。

如果您通过 HTTPS 将数据发送到 Amazon ES,则节点到节点加密可帮助确保当 Elasticsearch 通过集群分发(和重新分发)您的数据时,数据保持加密状态。如果数据通过 HTTP 到达时未加密,则 Amazon ES 将在数据到达集群后对数据加密。

启用节点到节点加密

默认情况下,域不会使用节点到节点加密,并且您无法将现有域配置为使用该功能。要启用该功能,您必须创建另一个域迁移您的数据。节点到节点加密需要 Elasticsearch 6.0 或更高版本。

禁用节点到节点加密

在您配置域以使用节点到节点加密后,无法禁用该设置。相反,您可以为加密域拍摄手动快照创建另一个域,迁移您的数据和删除旧域。

其他考虑因素

  • 节点到节点加密在 cn-north-1(北京)和 cn-northwest-1(宁夏)区域中不可用。

  • Kibana 仍可用于使用节点到节点加密的域。