本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 操作和安全性
<a name="operations-security"></a>

當您遷移至 Amazon OpenSearch Service 時，您的營運活動將會變更。您將不再負責佈建節點、新增儲存體、安裝和修補作業系統、設定和維護高可用性、擴展和其他低階活動。反之，您可以專注於建置您的使用案例和新的使用者體驗。

Amazon OpenSearch Service 提供您需要熟悉的記錄、監控和故障診斷功能，以最佳化您的操作程序。

## Runbook 和新程序
<a name="runbooks"></a>

在規劃階段，識別需要修改或消除的現有程序。然後，您可以新增過去可能沒有頻寬的新操作程序。

雖然 Amazon OpenSearch Service 消除了未區分的繁重工作，但您仍然需要確保您的應用程式經過設計和監控，以提供最佳的效能。您將需要設定網域的監控和提醒，以便完全了解內部或外部因素所造成的任何運作狀態問題。您需要排程和啟動升級至最新版本。

所有這類操作活動都需要建立 Runbook 和修改現有的 Runbook。若要監控基礎設施和分析 Amazon OpenSearch Service 中的操作指標，維護 Runbook 至關重要。Runbook 可確保您根據合規和法規要求一致地運作。如果您尚未使用 Runbook，建議您考慮這麼做。建立程序以定期執行預先規劃的步驟，以確保從應用程式當機復原和意外失敗等修復程序完全自動化。

## 支援和票證系統
<a name="support"></a>

若要擷取與您的部署相關的事件，建議您規劃和操作票證系統 （您可能已經在這麼做）。您可能需要培訓支援人員如何使用 [AWS Support](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html) 建立支援票證。我們建議您在票證分類期間簡化呈報程序。

本指南稍後的[卓越營運](stage-6-operational-excellence.md)部分將為您提供許多最佳實務和領域的連結，您可能需要在 Runbook 中考慮這些最佳實務和領域，並在其中建置程序。

## 安全
<a name="security"></a>

在 AWS，安全是首要任務。Amazon OpenSearch Service 提供多層安全性。此服務負責處理所有安全修補程式，並透過 VPC、精細存取控制和多租戶支援提供網路隔離。您的資料會使用您透過 AWS Key Management Service (AWS KMS) 建立和控制的金鑰進行靜態加密。node-to-node加密功能為網域中執行個體之間的所有通訊提供 Transport Layer Security (TLS)。Amazon OpenSearch Service 也符合 HIPAA 資格，並符合 PCI DSS、SOC、ISO 和 FedRAMP 標準，協助您符合產業特定或法規要求。

在規劃階段，識別與網域互動的人員和程序、選擇網路拓撲，以及規劃每個委託人的身分驗證和授權。根據您的組織安全和合規要求，您可以使用多個安全功能來建立符合您業務需求的環境。此外，請考慮下列因素：
+ **VPC** – 您可以在 AWS 的虛擬私有雲端 (VPC) 內設定 Amazon OpenSearch Service。這是[建議的組態](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html)。我們不建議建立具有公有端點的網域。規劃建立必要的網路架構，以允許用戶端應用程式和使用者存取目標環境。
+ **身分驗證** – Amazon OpenSearch Service 支援多種方式來驗證使用者或軟體用戶端。它支援與您現有的身分提供者進行 [Amazon Cognito](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/cognito-auth.html) 或 [SAML 身分驗證](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/saml.html)，以存取 [OpenSearch Dashboards](https://docs.opensearch.org/latest/dashboards/)。它還提供與 IAM 身分的整合，以及[使用內部使用者資料庫進行基本 HTTP 身分驗證](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac-walkthrough-basic.html)。您應該計劃設定和測試適當的身分驗證選項。如需詳細資訊，請參閱 [OpenSearch Service 安全文件](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/security.html)。
+ **授權** – 建議您遵循最低權限原則來設定服務的存取。Amazon OpenSearch Service 提供精細的存取控制，協助您在文件、資料列和資料欄層級設定存取權。

熟悉安全功能，並在 PoC 階段進行測試。