我们正在运行一个使用托管在 AWS 上的 elasticsearch 的应用程序。客户端界面对 vuejs 使用“ReactiveSearch”,它针对此处描述的“_msearch”界面发出 POST 请求:https://www.elastic.co/guide/en/elasticsearch/reference/current/search-multi-search.html
阅读文档后,我看不出任何可能导致此方法不安全的东西,例如删除数据,但我想确认一下。AWS 文档“建议”仅保持“GET”打开:https://docs.aws.amazon.com/en_pv/elasticsearch-service/latest/developerguide/es-ac.html
那么将这个端点暴露给公众是否安全?
以下是AWS策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "es:ESHttpPost",
"Resource": "arn:aws:es:us-east-2:943306001616:domain/wimj/product/_msearch",
"Condition": {
"IpAddress": {
"aws:SourceIp": "0.0.0.0/0"
}
}
}
]
}