Обеспечение кластера Elasticsearch на Elastic Cloud

Каков наилучший способ защитить соединение между кластером Elasticsearch, размещенным в Elastic Cloud, и бэкэндом, учитывая, что у нас есть сотни тысяч пользователей и что я хочу обрабатывать логику авторизации на самом бэкэнде, а не в Elasticsearch?
Лучше ли создать "системного" пользователя в собственной области со всеми правами на чтение и запись (похоже, пользовательская функция предназначена для реальных конечных пользователей) или использовать другие типы аутентификации (кроме SAML, PKI или Kerberos также ориентированы на конечного пользователя)? Или используя другие средства безопасности, такие как IP?
Я привык к сервису Elasticsearch в AWS, где авторизация основана на ролях IAM, поэтому я немного растерялся здесь.