本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Node-to-node Amazon OpenSearch 服务加密
Node-to-node 加密在 Amazon OpenSearch 服务的默认功能之外还提供了一层额外的安全保护。
每个 OpenSearch 服务域(无论该域是否使用VPC访问权限)都位于自己的专用域中。VPC这种架构可以防止潜在的攻击者拦截 OpenSearch 节点之间的流量,并确保集群的安全。但是,默认情况下,内部的流量VPC是未加密的。 Node-to-node加密为内部的所有通信启用 TLS 1.2 加密VPC。
如果您通过将数据发送到 S OpenSearch erviceHTTPS,则 node-to-node加密有助于确保您的数据在整个集群中 OpenSearch 分发(和再分发)时保持加密状态。如果数据未加密到达HTTP,则 OpenSearch 服务会在数据到达集群后对其进行加密。您可以使用控制台、 Amazon CLI或配置要求所有流向该域的流量都HTTPS通过API。
Node-to-node 如果启用精细访问控制,则需要加密。
启用 node-to-node加密
Node-to-node 对新域名进行加密需要任何版本或 Elasticsearch 6.0 或更高版本。 OpenSearch在现有域上启用 node-to-node加密需要任何版本的 Elasticsearch 6.7 或更高版本。 OpenSearch在 Amazon 控制台中选择现有域、Actions(操作)和 Edit security configuration(编辑安全配置)。
或者,您可以使用 Amazon CLI 或配置API。有关更多信息,请参阅《Amazon CLI 命令参考和OpenSearch 服务参API考》。
禁用 node-to-node加密
将域配置为使用 node-to-node加密后,您无法禁用该设置。相反,您可以为加密域拍摄手动快照,创建另一个域,迁移您的数据和删除旧域。