Seguridad de la infraestructura en Amazon OpenSearch Service - OpenSearch Servicio Amazon

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Seguridad de la infraestructura en Amazon OpenSearch Service

Como se trata de un servicio administrado, Amazon OpenSearch Service está protegido por la seguridad de red AWS global de. Para obtener información sobre los servicios AWS de seguridad y cómo AWS protege la infraestructura, consulte Seguridad AWS en la nube de. Para diseñar su AWS entorno de con las prácticas recomendadas de seguridad de infraestructura, consulte Protección de la infraestructura en Portal de seguridad de AWS Well‐Architected Framework.

Puede utilizar llamadas a la API AWS publicadas de para obtener acceso al OpenSearch Servicio a través de la red. Los clientes deben admitir lo siguiente:

  • Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.

  • Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.

Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad principal de IAM. También puedes utilizar AWS Security Token Service (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.

Puede utilizar llamadas a la API AWS publicadas de para obtener acceso a la API OpenSearch de configuración de servicios a través de la red. A fin de configurar la versión mínima requerida de TLS para aceptar, especifique el valor TLSSecurityPolicy en las opciones de punto de conexión del dominio: 

aws opensearch update-domain-config --domain-name my-domain --domain-endpoint-options '{"TLSSecurityPolicy": "Policy-Min-TLS-1-2-2019-07"}'

Para obtener más información, consulte la Referencia de comandos de la AWS CLI.

En función de la configuración de dominio, también podría ser necesario firmar solicitudes a OpenSearch APIs. Para obtener más información, consulte Realizar y firmar solicitudes OpenSearch de servicio.

OpenSearch El servicio admite dominios de acceso público, que pueden recibir solicitudes de cualquier dispositivo conectado a Internet y dominios de acceso de VPC, que están aislados de la Internet pública.