发布于: Jan 27, 2021
Amazon Elasticsearch Service 现在支持对现有域实现静态数据加密和节点到节点加密,使组织能够托管敏感型工作负载,以满足严苛的安全性和合规性要求。
借助 Amazon Elasticsearch Service,您可以使用通过 AWS Key Management Service (KMS) 管理的密钥加密数据。您可以选择携带自己的主密钥,也可以利用服务提供的主密钥。在启用加密的 Amazon Elasticsearch Service 域上,存储在底层文件系统上的所有数据(包括主索引和副本索引、日志文件、内存交换文件以及自动化 Amazon S3 快照)均经过加密。静态加密支持 Amazon Elastic Block Store (EBS) 和实例存储。
节点到节点加密功能通过为集群中的 Amazon Elasticsearch Service 实例之间的所有通信实施传输层安全性 (TLS) 来提供额外的安全层。这可确保您通过 HTTPS 发送到 Amazon Elasticsearch Service 域的任何数据在节点之间分发和复制时仍能进行动态加密。TLS 证书的生命周期将由这项服务在域的整个生命周期内进行管理,且不会产生任何额外的操作开销。
自 Elasticsearch 6.7 版起的所有域都支持静态数据加密和节点到节点加密。有关使用 AWS KMS 配置和使用静态数据加密的更多信息,请参阅文档。要了解有关 AWS KMS 的更多信息,请访问 AWS KMS 概览页面。有关配置和使用节点到节点加密的更多信息,请参阅文档。
静态数据加密和节点到节点加密现已可用于全球 24 个区域的 Amazon Elasticsearch Service 域:美国东部(弗吉尼亚北部、俄亥俄)、美国西部(俄勒冈、加利福尼亚北部)、AWS GovCloud(US-Gov-East、US-Gov-West)、加拿大(中部)、南美洲(圣保罗)、非洲(开普敦)、中东(巴林)、欧洲(爱尔兰、伦敦、法兰克福、巴黎、斯德哥尔摩、米兰)、亚太地区(新加坡、悉尼、东京、首尔、孟买、香港)以及中国(北京 – 由光环新网运营,宁夏 – 由西云数据运营)。有关 Amazon Elasticsearch Service 可用性的更多信息,请参阅 AWS 区域表。