Cifrado de nodo a nodo para Amazon OpenSearch Service - Amazon OpenSearch Service
Habilitar el cifrado de nodo a nodoDeshabilitar el cifrado de nodo a nodo

Cifrado de nodo a nodo para Amazon OpenSearch Service

El cifrado de nodo a nodo proporciona una capa de seguridad adicional además de las características predeterminadas de Amazon OpenSearch Service.

Cada dominio de OpenSearch Service, independientemente de si el dominio utiliza el acceso a la VPC, reside en su propia VPC dedicada. Esta arquitectura impide que los atacantes potenciales intercepten el tráfico entre los nodos de OpenSearch y mantiene el clúster seguro. Sin embargo, de forma predeterminada, el tráfico de la VPC está sin cifrar. El cifrado de nodo a nodo habilita el cifrado TLS 1.2 para todas las comunicaciones dentro de la VPC.

Si envía datos a OpenSearch Service a través de HTTPS, el cifrado de nodo a nodo ayuda a garantizar que sus datos permanezcan cifrados a medida que OpenSearch los distribuye (y redistribuye) en todo el clúster. Si los datos llegan sin cifrar a través de HTTP, OpenSearch Service los cifra después de que alcancen el clúster. Puede exigir que todo el tráfico al dominio llegue a través de HTTPS mediante la consola, la AWS CLI o la API de configuración.

El cifrado de nodo a nodo es obligatorio para la habilitación del control de acceso detallado.

Habilitar el cifrado de nodo a nodo

El cifrado de nodo a nodo en dominios nuevos requiere cualquier versión de OpenSearch, Elasticsearch 6.0 o posterior. Habilitar el cifrado de nodo a nodo en dominios existentes requiere cualquier versión de OpenSearch, Elasticsearch 6.7 o posterior. Seleccione el dominio existente en la consola de AWS, Acciones y Editar la configuración de seguridad.

También puede utilizar la AWS CLI o la API de configuración. Para obtener más información, consulte la Referencia de los comandos de la AWS CLI y la Referencia de la API de OpenSearch Service.

Deshabilitar el cifrado de nodo a nodo

Después de configurar un dominio para utilizar el cifrado de nodo a nodo, no puede desactivar la configuración. En su lugar, puede realizar una instantánea manual del dominio cifrado, crear otro dominio, migrar los datos y eliminar el dominio antiguo.