本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon OpenSearch Service 的節點對節點加密
<a name="ntn"></a>

節點對節點加密在 Amazon OpenSearch Service 的預設功能之上提供額外安全層級。

每個 ​OpenSearch Service 網域 (無論網域是否使用 VPC 存取) 都存在於其自有的專用 VPC 中。此架構可防止潛在的攻擊者攔截 ​OpenSearch 節點之間的流量，並保護叢集安全。但是根據預設，VPC 內的流量不會加密。節點對節點加密可使該 VPC 內的所有通訊啟用 TLS 1.2 加密。

若您透過 HTTPS 傳送資料到 OpenSearch Service，節點對節點加密會協助確保當 OpenSearch 將您的資料分配 (與重新分配) 到叢集內時能保持加密狀態。若資料透過 HTTP 收到時為未加密狀態，​OpenSearch Service 會在它抵達叢集後加密。您可以使用主控台或組態 API AWS CLI，要求透過 HTTPS 到達網域的所有流量。

如果您啟用[精細存取控制](fgac.md)，則*需要*節點對節點加密。

## 啟用節點對節點加密
<a name="enabling-ntn"></a>

新網域的節點對節點加密需要任何版本的 OpenSearch 或 Elasticsearch 6.0 或更高版本。在現有網域上啟用節點對節點加密需要任何版本的 OpenSearch 或 Elasticsearch 6.7 或更高版本。選擇 AWS 主控台中現有的網域、**Actions** (動作)，以及 **Edit security configuration** (編輯安全組態)。

或者，您可以使用 AWS CLI 或 組態 API。如需詳細資訊，請參閱 [AWS CLI 命令參考](https://docs.aws.amazon.com/cli/latest/reference/)和 [OpenSearch Service API 參考](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_Welcome.html)。

## 停用節點對節點加密
<a name="disabling-ntn"></a>

在您設定網域以使用節點對節點加密後，您無法停用設定。相反地，您可以拍攝加密網域的[手動快照](managedomains-snapshots.md)，[建立另一個網域](createupdatedomains.md#createdomains)，遷移您的資料和刪除舊的網域。