View a markdown version of this page

Node-to-node Verschlüsselung für Amazon OpenSearch Service - OpenSearch Amazon-Dienst
Aktivieren von Knoten-zu-Knoten-VerschlüsselungDeaktivieren von Knoten-zu-Knoten-Verschlüsselung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Node-to-node Verschlüsselung für Amazon OpenSearch Service

Node-to-node Die Verschlüsselung bietet zusätzlich zu den Standardfunktionen von Amazon OpenSearch Service eine zusätzliche Sicherheitsebene.

Jede OpenSearch Dienstdomäne — unabhängig davon, ob die Domäne VPC-Zugriff verwendet — befindet sich in einer eigenen, dedizierten VPC. Diese Architektur verhindert, dass potenzielle Angreifer den Datenverkehr zwischen Knoten abfangen, und sorgt für die Sicherheit des Clusters. OpenSearch Standardmäßig ist der Verkehr innerhalb der VPC jedoch unverschlüsselt. Node-to-node Verschlüsselung aktiviert die TLS 1.2-Verschlüsselung für die gesamte Kommunikation innerhalb der VPC.

Wenn Sie Daten über HTTPS an den OpenSearch Service senden, sorgt die Knoten-zu-Knoten-Verschlüsselung dafür, dass Ihre Daten bei der Verteilung (und OpenSearch Weiterverteilung) im Cluster verschlüsselt bleiben. Wenn Daten unverschlüsselt über HTTP ankommen, verschlüsselt der OpenSearch Service sie, nachdem sie den Cluster erreicht haben. Mithilfe der Konsole oder der Konfigurations-API können Sie verlangen, AWS CLI dass der gesamte Datenverkehr zur Domain über HTTPS eingeht.

Node-to-node Verschlüsselung ist erforderlich, wenn Sie eine differenzierte Zugriffskontrolle aktivieren.

Aktivieren von Knoten-zu-Knoten-Verschlüsselung

Node-to-node Für die Verschlüsselung neuer Domains ist eine beliebige Version von OpenSearch oder Elasticsearch 6.0 oder höher erforderlich. Für die Aktivierung der Knoten-zu-Knoten-Verschlüsselung auf bestehenden Domains ist eine beliebige Version von oder Elasticsearch OpenSearch 6.7 oder höher erforderlich. Wählen Sie die vorhandene Domain in der AWS -Konsole, Aktionen und Sicherheitskonfiguration bearbeiten aus.

Alternativ können Sie die Konfigurations-API oder verwenden. AWS CLI Weitere Informationen finden Sie in der AWS CLI Befehlsreferenz und der OpenSearch Service-API-Referenz.

Deaktivieren von Knoten-zu-Knoten-Verschlüsselung

Nachdem Sie eine Domain zur Verwendung von Knoten-zu-Knoten-Verschlüsselung konfiguriert haben, können Sie die Einstellung nicht mehr deaktivieren. Stattdessen können Sie einen manuellen Snapshot der verschlüsselten Domain erstellen, eine andere Domain erstellen, Ihre Daten migrieren und die alte Domain löschen.