View a markdown version of this page

Seguridad de infraestructuras en Amazon OpenSearch Service - OpenSearch Servicio Amazon

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Seguridad de infraestructuras en Amazon OpenSearch Service

Como servicio gestionado, está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte Seguridad AWS en la nube. Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte Protección de infraestructuras en un marco de buena AWS arquitectura basado en el pilar de la seguridad.

Utiliza las llamadas a la API AWS publicadas para acceder a través de la red. Los clientes deben admitir lo siguiente:

  • Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.

  • Paquetes de cifrado con perfecto secreto directo (PFS), como el DHE (Ephemeral) o el ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Diffie-Hellman La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.

Las llamadas a la API AWS publicadas se utilizan para acceder a la API de configuración del servicio a través de la red. OpenSearch A fin de configurar la versión mínima requerida de TLS para aceptar, especifique el valor TLSSecurityPolicy en las opciones de punto de conexión del dominio: 

aws opensearch update-domain-config --domain-name my-domain --domain-endpoint-options '{"TLSSecurityPolicy": "Policy-Min-TLS-1-2-2019-07"}'

Para obtener más información, consulte la Referencia de comandos de la AWS CLI.

Dependiendo de su configuración de dominio, también podría ser necesario firmar solicitudes a las API de OpenSearch . Para obtener más información, consulte Realizar y firmar solicitudes OpenSearch de servicio.

OpenSearch El servicio admite dominios de acceso público, que pueden recibir solicitudes desde cualquier dispositivo conectado a Internet, y dominios de acceso de VPC, que están aislados de la Internet pública.

Si habilita la opción de salida de VPC en un dominio de VPC, el OpenSearch servicio coloca los ENI de salida administrados por el solicitante en sus subredes para transportar el tráfico de salida del dominio. Para obtener más información, consulte Enrutamiento del tráfico de salida del dominio a través de tu VPC.