OpenSearch Domain周り覚書
えんぶんAdvancedSecurityOptions
Security Hub controlesの評価項目の一つとしてOS Domainに対してきめ細かな(fine-grained)アクセス制御が有効になっていることが求められる
This control checks whether OpenSearch domains have fine-grained access control enabled. The control fails if the fine-grained access control is not enabled. Fine-grained access control requires advanced-security-optionsin the OpenSearch parameter update-domain-config to be enabled.
Fine-grained access control offers additional ways of controlling access to your data on Amazon OpenSearch Service.
Fine-grained access control についての詳細はこちら
CloudFormationで指定する場合はDomainのAdvancedSecurityOptions 設定を有効にする必要があるが、このとき以下のプロパティも有効にしている必要がある
- NodeToNodeEncryptionOptions
- EncryptionAtRestOptions
- EnforceHTTPS
えんぶんNodeToNodeEncryptionOptions
えんぶんEncryptionAtRestOptions
KMSを用いて保存データを暗号化する設定を有効化する。
Update requires: Some interruptionsになってるので更新時は注意が必要
EncryptionAtRestOptionsオブジェクトを確認すると、このオプションが設定されていないときに有効化した場合は中断無し、設定された後に変更される(無効化される場合?KMSキーが変更になる場合も含む?)と ドメインが削除されて再作成される 。
If no encryption at rest options were initially specified in the template, updating this property by adding it causes no interruption. However, if you change this property after it's already been set within a template, the domain is deleted and recreated in order to modify the property.
設定した後は無効化できないとドキュメントに記載されてるのでそういうことなんだろう。
ということはKMSのキーを変更する場合はドメインは削除されなさそう。
After you configure a domain to encrypt data at rest, you can't disable the setting. Instead, you can take a manual snapshot of the existing domain, create another domain, migrate your data, and delete the old domain.