Políticas de cifrado Políticas de red Políticas de acceso a datos Autenticación SAML e IAM Seguridad de la infraestructura

Información general sobre la seguridad de Amazon OpenSearch sin servidor

La seguridad de Amazon OpenSearch sin servidor difiere fundamentalmente de la seguridad de Amazon OpenSearch Service en los siguientes aspectos:

Característica	OpenSearch Service	OpenSearch sin servidor
Control de acceso a los datos	El acceso a los datos está determinado por las políticas de IAM y el control de acceso detallado.	El acceso a los datos está determinado por las políticas de acceso a los datos.
Cifrado en reposo	El cifrado en reposo es opcional para los dominios.	El cifrado en reposo es obligatorio para las colecciones.
Configuración y administración de seguridad	Debe configurar la red, el cifrado y el acceso a los datos de forma individual para cada dominio.	Puede usar políticas de seguridad para administrar la configuración de seguridad de varias colecciones a escala.

El siguiente diagrama ejemplifica los componentes de seguridad que componen una colección funcional. A una colección se le debe asignar una clave de cifrado, una configuración de acceso a la red y una política de acceso a los datos coincidente que otorgue permisos a sus recursos.

Diagram showing encryption, network, data access, and authentication policies for a collection.

Temas

Políticas de cifrado

Las políticas de cifrado definen si las colecciones se cifran con una clave Clave propiedad de AWS o con una clave gestionada por el cliente. Las políticas de cifrado constan de dos componentes: un patrón de recursos y una clave de cifrado. El patrón de recursos define a qué colección o colecciones se aplica la política. La clave de cifrado determina cómo se protegerán las colecciones asociadas.

Para aplicar una política a varias colecciones debe incluir un comodín (*) en la regla de política. Por ejemplo, la siguiente política se aplica a todas las colecciones cuyos nombres comiencen por “logs” (registros).

Input field for specifying a prefix term or collection name, with "logs*" entered.

Las políticas de cifrado agilizan el proceso de creación y administración de colecciones, especialmente cuando se hace mediante programación. Puede crear una colección especificando un nombre y, al crearla, se le asigna de forma automática una clave de cifrado.

Políticas de red

Las políticas de red definen si se puede acceder a las colecciones de forma privada o a través de Internet desde redes públicas. Se puede acceder a colecciones privadas a través de puntos de conexión de VPC administrados por OpenSearch sin servidor o mediante Servicios de AWS específicos, como Amazon Bedrock con acceso privado al Servicio de AWS. Al igual que las políticas de cifrado, las políticas de red se pueden aplicar a varias colecciones, lo que le permite administrar el acceso a la red para muchas colecciones a gran escala.

Las políticas de red constan de dos componentes: un tipo de acceso y un tipo de recurso. El tipo de acceso puede ser público o privado. El tipo de recurso determina si el acceso que elija se aplica al punto de conexión de la colección, al punto de conexión de OpenSearch Dashboards o ambos.

Access type and resource type options for configuring network policies in OpenSearch.

Si planea configurar el acceso de VPC dentro de una política de red, primero debe crear uno o más puntos de conexión de VPC administrados por OpenSearch sin servidor. Estos puntos de conexión le permiten acceder a OpenSearch sin servidor como si estuviera en su VPC, sin necesidad de utilizar una puerta de enlace de Internet, un dispositivo NAT, una conexión VPN o una conexión Direct Connect.

El acceso privado a los Servicios de AWS se aplica solo al punto de conexión de OpenSearch de la colección, no al punto de conexión de OpenSearch Dashboards. No se puede conceder acceso a Servicios de AWS a OpenSearch Dashboards.

Políticas de acceso a datos

Las políticas de acceso a datos definen la forma en que los usuarios acceden a los datos de sus colecciones. Las políticas de acceso a datos le ayudan a administrar las colecciones a escala mediante la asignación automática de permisos de acceso a las colecciones e índices que coinciden con un patrón específico. Se pueden aplicar varias políticas a un solo recurso.

Las políticas de acceso a datos constan de un conjunto de reglas, cada una con tres componentes: un tipo de recurso, los recursos concedidos y un conjunto de permisos. El tipo de recurso puede ser una colección o un índice. Los recursos concedidos pueden ser nombres o patrones de colecciones o índices con un comodín (*). La lista de permisos especifica a qué operaciones de la API de OpenSearch le concede acceso esta política. Además, la política contiene una lista de entidades principales, que especifican los roles, los usuarios y las identidades SAML de IAM a los que se debe conceder acceso.

Selected principals and granted resources with permissions for collection and index access.

Para obtener más información sobre el formato de una política de acceso a datos, consulte la sintaxis de la política.

Antes de crear una política de acceso a datos, debe tener uno o más roles o usuarios de IAM, o identidades SAML, a los que proporcionar acceso en la política. Para más información, consulte la siguiente sección.

nota

Cambiar de Acceso Público a Acceso Privado para su colección eliminará la pestaña Índices en la Consola de Colecciones de OpenSearch sin servidor.

Autenticación SAML e IAM

La entidad principal de IAM y las identidades de SAML son uno de los componentes básicos de una política de acceso a los datos. En la instrucción principal de una política de acceso puede incluir roles, usuarios e identidades SAML de IAM. A estas entidades principales se le conceden los permisos que usted especifique en las reglas de política asociadas.


[
   {
      "Rules":[
         {
            "ResourceType":"index",
            "Resource":[
               "index/marketing/orders*"
            ],
            "Permission":[
               "aoss:*"
            ]
         }
      ],
      "Principal":[
         "arn:aws:iam::123456789012:user/Dale",
         "arn:aws:iam::123456789012:role/RegulatoryCompliance",
         "saml/123456789012/myprovider/user/Annie"
      ]
   }
]

La autenticación SAML se configura directamente en OpenSearch sin servidor. Para obtener más información, consulte Autenticación SAML para Amazon OpenSearch sin servidor.

Seguridad de la infraestructura

Amazon OpenSearch sin servidor está protegido por la seguridad de red global de AWS. Para obtener información sobre los servicios de seguridad de AWS y sobre cómo AWS protege la infraestructura, consulte Seguridad en la nube de AWS. Para diseñar su entorno de AWS siguiendo las prácticas recomendadas de seguridad de infraestructura, consulte Protección de la infraestructura en Portal de seguridad de AWS Well‐Architected Framework.

Puede utilizar llamadas a la API publicadas de AWS de Amazon OpenSearch sin servidor a través de la red. Los clientes deben admitir Transport Layer Security (TLS). Se recomienda el uso de TLS 1.2 y recomendamos TLS 1.3. Para obtener una lista de los cifrados compatibles con TLS 1.3, consulte los protocolos y cifrados TLS en la documentación de Elastic Load Balancing.

Además, debe firmar las solicitudes mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad principal de IAM. También puede utilizar AWS Security Token Service (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Configure los flujos de trabajo

Introducción a la seguridad