本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Node-to-node Amazon OpenSearch 服务加密
<a name="ntn"></a>

Node-to-node 加密在 Amazon OpenSearch 服务的默认功能之外还提供了一层额外的安全保护。

每个 OpenSearch 服务域（无论该域是否使用 VPC 访问权限）都位于自己的专用 VPC 中。这种架构可以防止潜在的攻击者拦截 OpenSearch 节点之间的流量，并确保集群的安全。但是，默认情况下，VPC 内的流量是未加密的。 Node-to-node加密为 VPC 内的所有通信启用 TLS 1.2 加密。

如果您通过 HTTPS 将数据发送到 S OpenSearch ervice，则 node-to-node加密有助于确保您的数据在整个集群中 OpenSearch 分发（和重新分发）时保持加密状态。如果数据通过 HTTP 未加密到达，则 OpenSearch 服务会在数据到达集群后对其进行加密。您可以使用控制台、 Amazon CLI或配置 API 要求所有进入该域的流量都通过 HTTPS 到达。

Node-to-node 如果启用[精细访问](fgac.md)控制，则*需要*加密。

## 启用 node-to-node加密
<a name="enabling-ntn"></a>

Node-to-node 对新域名进行加密需要任何版本或 Elasticsearch 6.0 或更高版本。 OpenSearch在现有域上启用 node-to-node加密需要任何版本的 Elasticsearch 6.7 或更高版本。 OpenSearch在 Amazon 控制台中选择现有域、**Actions（操作）**和 **Edit security configuration（编辑安全配置）**。

或者，您可以使用 Amazon CLI 或配置 API。有关更多信息，请参阅[Amazon CLI 命令参考](https://docs.amazonaws.cn/cli/latest/reference/)和[OpenSearch 服务 API 参考](https://docs.amazonaws.cn/opensearch-service/latest/APIReference/API_Welcome.html)。

## 禁用 node-to-node加密
<a name="disabling-ntn"></a>

将域配置为使用 node-to-node加密后，您无法禁用该设置。相反，您可以为加密域拍摄[手动快照](managedomains-snapshots.md)，[创建另一个域](createupdatedomains.md#createdomains)，迁移您的数据和删除旧域。