N 亚马逊 OpenSearch 服务ode-to-node 加密 - 亚马逊 OpenSearch 服务
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

N 亚马逊 OpenSearch 服务ode-to-node 加密

N ode-to-node 加密在 Amazon OpenSearch 服务的默认功能之上提供了额外的安全层。

每个 OpenSearch 服务域(无论该域是否使用 VPC 访问权限)都位于自己的专用 VPC 中。这种架构可以防止潜在的攻击者拦截 OpenSearch 节点之间的流量,并确保集群的安全。但是,默认情况下,不会加密 VPC 内的流量。N ode-to-node 加密为 VPC 内的所有通信启用 TLS 1.2 加密。

如果您通过 HTTPS 将数据发送到 S OpenSearch ervice,则 node-to-node 加密有助于确保您的数据在整个集群中 OpenSearch 分发(和重新分发)时保持加密状态。如果数据通过 HTTP 未加密到达,则 OpenSearch 服务会在数据到达集群后对其进行加密。您可以使用控制台、Amazon CLI 或配置 API 要求域的所有流量都通过 HTTPS 到达。

如果启用精细访问控制,则需要进行ode-to-node 加密。

启用 node-to-node 加密

N 对新域名进行ode-to-node 加密需要任何版本或 Elasticsearch 6.0 或更高版本。 OpenSearch在现有域上启用 node-to-node 加密需要任何版本的 Elasticsearch 6.7 或更高版本。 OpenSearch在 Amazon 控制台中选择现有域、Actions(操作)Edit security configuration(编辑安全配置)

或者,您也可以使用 Amazon CLI 或配置 API。有关更多信息,请参阅Amazon CLI命令参考OpenSearch 服务 API 参考

禁用 node-to-node 加密

将域配置为使用 node-to-node 加密后,您无法禁用该设置。相反,您可以为加密域拍摄手动快照创建另一个域,迁移您的数据和删除旧域。