Мы запускаем приложение с использованием elasticsearch, размещенное на AWS. Интерфейс на стороне клиента использует "ReactiveSearch" для vuejs, который выполняет запросы POST к интерфейсу "_msearch", описанному здесь: https://www.elastic.co/guide/en/elasticsearch/reference/current/search-multi-search.html
Читая документацию, я не вижу ничего, что могло бы сделать этот подход небезопасным, например. удаление данных, но я хотел убедиться. Документация AWS «рекомендует» оставлять открытым только «GET»: https://docs.aws.amazon.com/en_pv/elasticsearch-service/latest/developerguide/es-ac.html
Так безопасно ли открывать доступ к этой конечной точке?
Вот политика AWS:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "es:ESHttpPost",
"Resource": "arn:aws:es:us-east-2:943306001616:domain/wimj/product/_msearch",
"Condition": {
"IpAddress": {
"aws:SourceIp": "0.0.0.0/0"
}
}
}
]
}