Políticas de criptografia Políticas de rede Políticas de acesso a dados Autenticação SAML e IAM Segurança da infraestrutura

Visão geral da segurança no Amazon OpenSearch Sem Servidor

A segurança no Amazon OpenSearch Sem Servidor difere fundamentalmente da segurança no Amazon OpenSearch Service das seguintes formas:

Recurso	OpenSearch Service	OpenSearch Sem Servidor
Controle de acesso a dados	O acesso aos dados é determinado por políticas do IAM e por controle de acesso minucioso.	O acesso aos dados é determinado por políticas de acesso a dados.
Criptografia em repouso	A criptografia em repouso é opcional para domínios.	A criptografia em repouso é obrigatória para coleções.
Configuração e administração da segurança	Você deve configurar a rede, a criptografia e o acesso aos dados individualmente para cada domínio.	É possível usar políticas de segurança para gerenciar as configurações de segurança de várias coleções em escala.

O diagrama a seguir ilustra os componentes de segurança que compõem uma coleção funcional. Uma coleção deve ter uma chave de criptografia atribuída, configurações de acesso à rede e uma política de acesso a dados correspondente que conceda permissão aos seus recursos.

Diagram showing encryption, network, data access, and authentication policies for a collection.

Tópicos

Políticas de criptografia

As políticas de criptografia definem se suas coleções são criptografadas com uma Chave pertencente à AWS ou uma chave gerenciada pelo cliente. As políticas de criptografia consistem em dois componentes: um padrão de recursos e uma chave de criptografia. O padrão de recursos define a qual coleção ou coleções a política se aplica. A chave de criptografia determina como as coleções associadas serão protegidas.

Para aplicar uma política a várias coleções, inclua um curinga (*) na regra da política. Por exemplo, a política a seguir se aplica a todas as coleções com nomes que começam com “logs”.

Input field for specifying a prefix term or collection name, with "logs*" entered.

As políticas de criptografia simplificam o processo de criação e gerenciamento de coleções, especialmente quando isso é feito de forma programática. É possível criar uma coleção especificando um nome, e uma chave de criptografia será automaticamente atribuída a ela na criação.

Políticas de rede

As políticas de rede definem se as coleções são acessíveis de modo privado ou pela internet em redes públicas. As coleções privadas podem ser acessadas por endpoints da VPC gerenciados pelo OpenSearch sem Servidor ou por Serviços da AWS específicos, como o Amazon Bedrock, usando o acesso privado do AWS service (Serviço da AWS). Assim como as políticas de criptografia, as políticas de rede podem ser aplicadas a várias coleções, o que permite gerenciar o acesso à rede para muitas coleções em grande escala.

As políticas de rede consistem em dois componentes: um tipo de acesso e um tipo de recurso. O tipo de acesso pode ser público ou privado. O tipo de recurso determina se o acesso escolhido se aplica ao endpoint da coleção, ao endpoint do OpenSearch Dashboards ou a ambos.

Access type and resource type options for configuring network policies in OpenSearch.

Se você planeja configurar o acesso por VPC em uma política de rede, primeiro será necessário criar um ou mais endpoints da VPC gerenciados pelo OpenSearch Sem Servidor. Esses endpoints permitem que você acesse o OpenSearch Sem Servidor como se estivesse em sua VPC, sem o uso de um gateway da Internet, dispositivo NAT, conexão de VPN ou conexão Direct Connect.

O acesso privado a Serviços da AWS se aplica apenas ao endpoint do OpenSearch da coleção, não ao endpoint do OpenSearch Dashboards. Não é possível conceder aos Serviços da AWS acesso ao OpenSearch Dashboards.

Políticas de acesso a dados

As políticas de acesso a dados definem como seus usuários acessam os dados em suas coleções. As políticas de acesso a dados ajudam você a gerenciar coleções em grande escala atribuindo automaticamente permissões de acesso a coleções e índices que correspondam a um padrão específico. Várias políticas podem ser aplicadas a um único recurso.

As políticas de acesso a dados consistem em um conjunto de regras, cada uma com três componentes: um tipo de recurso, recursos concedidos e um conjunto de permissões. O tipo de recurso pode ser uma coleção ou um índice. Os recursos concedidos podem ser nomes de coleções/índices ou padrões com um caractere curinga (*). A lista de permissões especifica a quais operações da API do OpenSearch a política concede acesso. Além disso, a política contém uma lista de entidades principais, que especificam os perfis e usuários do IAM e as identidades SAML aos quais conceder acesso.

Selected principals and granted resources with permissions for collection and index access.

Para obter mais informações sobre o formato de uma política de acesso a dados, consulte a sintaxe da política.

Antes de criar uma política de acesso a dados, é necessário ter um ou mais usuários ou perfis do IAM, ou identidades SAML, aos quais fornecer acesso na política. Consulte a próxima seção para obter detalhes.

nota

Trocar o acesso da coleção de público para privado removerá a guia Índices do console Coleções do OpenSearch sem Servidor.

Autenticação SAML e IAM

As entidades principais do IAM e as identidades do SAML são um dos alicerces de uma política de acesso a dados. Na declaração principal de uma política de acesso, é possível incluir usuários e perfis do IAM e identidades SAML. Em seguida, essas entidades principais recebem as permissões que você especifica nas regras de política associadas.


[
   {
      "Rules":[
         {
            "ResourceType":"index",
            "Resource":[
               "index/marketing/orders*"
            ],
            "Permission":[
               "aoss:*"
            ]
         }
      ],
      "Principal":[
         "arn:aws:iam::123456789012:user/Dale",
         "arn:aws:iam::123456789012:role/RegulatoryCompliance",
         "saml/123456789012/myprovider/user/Annie"
      ]
   }
]

Você configura a autenticação SAML diretamente no OpenSearch Sem Servidor. Para obter mais informações, consulte Autenticação SAML para o Amazon OpenSearch Sem Servidor.

Segurança da infraestrutura

O Amazon OpenSearch sem Servidor é protegido pela segurança de rede global da AWS. Para obter informações sobre serviços de segurança da AWS e como a AWS protege a infraestrutura, consulte Segurança na Nuvem AWS. Para projetar seu ambiente da AWS usando as práticas recomendadas de segurança da infraestrutura, consulte Proteção de Infraestrutura em Pilar de Segurança: AWS Estrutura bem arquitetada.

Você usa chamadas de API publicadas pela AWS para acessar o Amazon OpenSearch sem Servidor pela rede. Os clientes devem ser compatíveis com o Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3. Para obter uma lista das cifras compatíveis com o TLS 1.3, consulte Protocolos e cifras do TLS na documentação do Elastic Load Balancing.

Além disso, as solicitações devem ser assinadas usando um ID de chave de acesso e uma chave de acesso secreta associada a uma entidade principal do IAM. Ou é possível usar o AWS Security Token Service (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Configurar fluxos de trabalho

Conceitos básicos da segurança