Amazon OpenSearch Service 的节点到节点加密 - Amazon Opensearch Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Amazon OpenSearch Service 的节点到节点加密

节点到节点加密在 Amazon OpenSearch Service 的默认功能基础上提供一个额外的安全层。

每个 OpenSearch Service 域,无论域是否使用 VPC 访问权限,都驻留在其自己的专用 VPC 内。此架构防止潜在攻击者拦截 OpenSearch 节点之间的流量并保证集群安全。但是,默认情况下,不会加密 VPC 内的流量。利用节点到节点加密,将能够为 VPC 内的所有通信启用 TLS 1.2 加密。

如果您通过 HTTPS 将数据发送到 OpenSearch Service,则节点到节点加密可帮助确保当 OpenSearch 通过集群分发(和重新分发)您的数据时,数据保持加密状态。如果数据通过 HTTP 到达时未加密,则 OpenSearch Service 将在数据到达集群后对数据加密。您可以使用控制台、Amazon CLI 或配置 API 要求域的所有流量都通过 HTTPS 到达。

启用节点到节点加密

新域中的节点到节点加密需要任何版本的 OpenSearch 或 Elasticsearch 6.0 或更高版本。在现有域上启用节点到节点加密需要任何版本的 OpenSearch 或 Elasticsearch 6.7 或更高版本。在 Amazon 控制台中选择现有域、Actions(操作)Edit security configuration(编辑安全配置)

或者,您也可以使用 Amazon CLI 或配置 API。有关更多信息,请参阅 Amazon CLI 命令引用Amazon OpenSearch Service 的配置 API 参考

禁用节点到节点加密

在您配置域以使用节点到节点加密后,无法禁用该设置。相反,您可以为加密域拍摄手动快照创建另一个域,迁移您的数据和删除旧域。