针对 Amazon Elasticsearch Service 的节点到节点加密 - Amazon Elasticsearch Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

针对 Amazon Elasticsearch Service 的节点到节点加密

节点到节点加密在 Amazon ES 的默认功能基础上提供了一个额外的安全层。

每个 Amazon ES 域(无论域是否使用 VPC 访问)都驻留在其自己的专用 VPC 内。此架构防止潜在攻击者拦截 Elasticsearch 节点之间的流量并保证集群安全。但是,默认情况下,不会加密 VPC 内的流量。利用节点到节点加密,将能够为 VPC 内的所有通信启用 TLS 1.2 加密。

如果您通过 HTTPS 将数据发送到 Amazon ES,则节点到节点加密可帮助确保当 Elasticsearch 通过集群分发(和重新分发)您的数据时,数据保持加密状态。如果数据通过 HTTP 到达时未加密,Amazon ES 将在数据到达集群后对数据加密。您可以使用控制台、AWS CLI 或配置 API 要求域的所有流量都通过 HTTPS 到达。

启用节点到节点加密

新域上的节点到节点加密需要 Elasticsearch 6.0 或更高版本。在现有域上启用此功能需要弹性搜索 6.7 或更高版本。在 AWS 控制台中选择现有域操作, 和修改加密

或者,您也可以使用 AWS CLI 或配置 API。有关更多信息,请参阅 。AWS CLI 命令参考Amazon Elasticsearch Service 的配置 API 参考

禁用节点到节点加密

在您配置域以使用节点到节点加密后,无法禁用该设置。相反,您可以为加密域拍摄手动快照创建另一个域,迁移您的数据和删除旧域。