Segurança da infraestrutura no Amazon OpenSearch Service - OpenSearch Serviço Amazon

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Segurança da infraestrutura no Amazon OpenSearch Service

Como um serviço gerenciado, o Amazon OpenSearch Service é protegido pela segurança de rede AWS global da. Para obter informações sobre serviços AWS de segurança da e como a AWS protege a infraestrutura, consulte Segurança AWS na Nuvem. Para projetar seu AWS ambiente da usando as práticas recomendadas de segurança de infraestrutura, consulte Proteção de infraestrutura em Pilar segurança: AWS Well‐Architected Framework.

Você usa chamadas de API AWS publicadas pela para acessar o OpenSearch Serviço pela rede. Os clientes devem oferecer compatibilidade com:

  • Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.

  • Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.

Além disso, as solicitações devem ser assinadas usando um ID da chave de acesso e uma chave de acesso secreta associada a uma entidade principal do IAM. Ou é possível usar o AWS Security Token Service (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.

Você usa chamadas de API AWS publicadas pela para acessar a API de configuração do OpenSearch Service pela rede. Para configurar a versão mínima necessária do TLS para aceitar, especifique o valor TLSSecurityPolicy nas opções do endpoint do domínio: 

aws opensearch update-domain-config --domain-name my-domain --domain-endpoint-options '{"TLSSecurityPolicy": "Policy-Min-TLS-1-2-2019-07"}'

Para obter detalhes, consulte a Referência de comandos da AWS CLI.

Dependendo da sua configuração de domínio, talvez você também precise assinar solicitações ao OpenSearch APIs. Para obter mais informações, consulte Fazendo e assinando solicitações OpenSearch de serviço.

OpenSearch O Service oferece suporte a domínios de acesso público, que podem receber solicitações de qualquer dispositivo conectado à Internet, e domínios de acesso à VPC, que são isolados da Internet pública.