View a markdown version of this page

Infrastruktursicherheit bei Amazon OpenSearch Service - OpenSearch Amazon-Dienst

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Infrastruktursicherheit bei Amazon OpenSearch Service

Als verwalteter Service ist er durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter AWS Cloud-Sicherheit. Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter Infrastructure Protection in Security Pillar AWS Well‐Architected Framework.

Sie verwenden AWS veröffentlichte API-Aufrufe für den Zugriff über das Netzwerk. Kunden müssen Folgendes unterstützen:

  • Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.

  • Cipher-Suites mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Diffie-Hellman Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.

Sie verwenden veröffentlichte API-Aufrufe, um über das Netzwerk auf die Service-Konfigurations-API zuzugreifen AWS . OpenSearch Geben Sie in den Domain-Endpunkt-Optionen den TLSSecurityPolicy-Wert an, um die minimal erforderliche TLS-Version für die Annahme zu konfigurieren: 

aws opensearch update-domain-config --domain-name my-domain --domain-endpoint-options '{"TLSSecurityPolicy": "Policy-Min-TLS-1-2-2019-07"}'

Einzelheiten finden Sie in der AWS CLI -Befehlsreferenz.

Abhängig von Ihrer Domänenkonfiguration müssen Sie möglicherweise auch Anfragen an die OpenSearch -APIs signieren. Weitere Informationen finden Sie unter OpenSearch Serviceanfragen stellen und signieren.

OpenSearch Der Dienst unterstützt Domänen mit öffentlichem Zugriff, die Anfragen von jedem mit dem Internet verbundenen Gerät empfangen können, und VPC-Zugangsdomänen, die vom öffentlichen Internet isoliert sind.

Wenn Sie die VPC-Ausgangsoption für eine VPC-Domäne aktivieren, platziert der OpenSearch Service vom Antragsteller verwaltete Ausgangs-ENIs in Ihren Subnetzen, um ausgehenden Datenverkehr von der Domain zu übertragen. Weitere Informationen finden Sie unter Routing des ausgehenden Domain-Traffics über Ihre VPC.