Verschlüsselung von Daten im Ruhezustand für Amazon OpenSearch Service - OpenSearch Amazon-Dienst

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsselung von Daten im Ruhezustand für Amazon OpenSearch Service

OpenSearch Service-Domains bieten die Verschlüsselung von Daten im Ruhezustand, eine Sicherheitsfunktion, die dazu beiträgt, unbefugten Zugriff auf Ihre Daten zu verhindern. Die Funktion verwendet AWS Key Management Service (AWS KMS) zum Speichern und Verwalten Ihrer Verschlüsselungsschlüssel und den Advanced Encryption Standard-Algorithmus mit 256-Bit-Schlüsseln (AES-256) für die Verschlüsselung. Wenn die Funktion aktiviert ist, verschlüsselt sie die folgenden Aspekte einer Domain:

  • Alle Indizes (einschließlich der Indizes im Speicher) UltraWarm

  • OpenSearch Logs

  • Swap-Dateien

  • Alle anderen Daten im Anwendungsverzeichnis

  • Automatisierte Snapshots

Die folgenden Dinge werden nicht verschlüsselt, wenn Sie die Verschlüsselung gespeicherter Daten aktivieren, aber Sie können weitere Schritte zu ihrem Schutz unternehmen:

  • Manuelle Schnappschüsse: Sie können derzeit keine AWS KMS Schlüssel verwenden, um manuelle Schnappschüsse zu verschlüsseln. Sie können jedoch serverseitige Verschlüsselung mit S3-verwalteten Schlüsseln oder Schlüsseln verwenden, um den Bucket zu KMS verschlüsseln, den Sie als Snapshot-Repository verwenden. Detaillierte Anweisungen finden Sie unter Registrieren eines manuellen Snapshot-Repositorys.

  • Langsame Logs und Fehlerprotokolle: Wenn Sie Logs veröffentlichen und diese verschlüsseln möchten, können Sie deren CloudWatch Logs-Protokollgruppe mit demselben Schlüssel wie AWS KMS die Service-Domain verschlüsseln. OpenSearch Weitere Informationen finden Sie unter Verschlüsseln von Protokolldaten in CloudWatch Logs using AWS KMS im Amazon CloudWatch Logs-Benutzerhandbuch.

Anmerkung

Sie können die Verschlüsselung im Ruhezustand für eine bestehende Domain nicht aktivieren, wenn UltraWarm oder Cold Storage auf der Domain aktiviert ist. Sie müssen zuerst Cold Storage UltraWarm deaktivieren, Verschlüsselung im Ruhezustand aktivieren und dann Cold Storage wieder aktivieren UltraWarm . Wenn Sie Indizes im Cold Storage UltraWarm oder Cold Storage behalten möchten, müssen Sie sie zunächst in den Hot-Storage verschieben, bevor Sie sie deaktivieren UltraWarm oder Cold Storage aktivieren.

OpenSearch Der Service unterstützt nur symmetrische KMS Verschlüsselungsschlüssel, keine asymmetrischen. Informationen zum Erstellen symmetrischer Schlüssel finden Sie unter Erstellen von Schlüsseln im AWS Key Management Service -Entwicklerhandbuch.

Unabhängig davon, ob die Verschlüsselung im Ruhezustand aktiviert ist, verschlüsseln alle Domänen automatisch benutzerdefinierte Pakete mit AES -256 und vom Service verwalteten Schlüsseln. OpenSearch

Berechtigungen

Um die OpenSearch Service-Konsole zur Konfiguration der Verschlüsselung von Daten im Ruhezustand zu verwenden, benötigen Sie Leseberechtigungen AWS KMS, z. B. für die folgende identitätsbasierte Richtlinie:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:List*", "kms:Describe*" ], "Resource": "*" } ] }

Wenn Sie einen anderen Schlüssel als den AWS eigenen Schlüssel verwenden möchten, müssen Sie auch über die erforderlichen Berechtigungen verfügen, um Berechtigungen für den Schlüssel zu erstellen. Diese Berechtigung erfolgt in der Regel über eine ressourcenbasierte Richtlinie, die Sie beim Erstellen des Schlüssels angeben.

Wenn Sie Ihren Schlüssel ausschließlich für OpenSearch Service behalten möchten, können Sie dieser Schlüsselrichtlinie die ViaService Bedingung kms: hinzufügen:

"Condition": { "StringEquals": { "kms:ViaService": "es.us-west-1.amazonaws.com" }, "Bool": { "kms:GrantIsForAWSResource": "true" } }

Weitere Informationen finden Sie unter Verwenden wichtiger Richtlinien AWS KMS im AWS Key Management Service Entwicklerhandbuch.

Verschlüsselung gespeicherter Daten aktivieren

Für die Verschlüsselung ruhender Daten auf neuen Domains ist entweder OpenSearch Elasticsearch 5.1 oder höher erforderlich. Für die Aktivierung auf bestehenden Domains ist entweder Elasticsearch 6.7 OpenSearch oder höher erforderlich.

So aktivieren Sie die Verschlüsselung von Data-at-Rest (Konsole)
  1. Öffnen Sie die Domain in der AWS Konsole und wählen Sie dann Aktionen und Sicherheitskonfiguration bearbeiten aus.

  2. Wählen Sie unter Verschlüsselung die Option Verschlüsselung von Data-at-Rest aktivieren aus.

  3. Wählen Sie einen AWS KMS Schlüssel aus, den Sie verwenden möchten, und klicken Sie dann auf Änderungen speichern.

Sie können die Verschlüsselung auch über die Konfiguration aktivierenAPI. Die folgende Anforderung ermöglicht die Verschlüsselung von Daten im Ruhezustand, die sich auf einer vorhandenen Domain befinden:

{ "ClusterConfig":{ "EncryptionAtRestOptions":{ "Enabled": true, "KmsKeyId":"arn:aws:kms:us-east-1:123456789012:alias/my-key" } } }

Deaktivierter oder gelöschter KMS Schlüssel

Wenn Sie den Schlüssel, mit dem Sie eine Domain verschlüsselt haben, deaktivieren oder löschen, kann nicht mehr auf die Domain zugegriffen werden. OpenSearch Der Dienst sendet Ihnen eine Benachrichtigung, in der Sie darüber informiert werden, dass er nicht auf den Schlüssel zugreifen kann. KMS Aktivieren Sie den Schlüssel erneut umgehend, um auf Ihre Domain zuzugreifen.

Das OpenSearch Serviceteam kann Ihnen nicht helfen, Ihre Daten wiederherzustellen, wenn Ihr Schlüssel gelöscht wird. AWS KMS löscht Schlüssel erst nach einer Wartezeit von mindestens sieben Tagen. Wenn Ihr Schlüssel gelöscht werden soll, brechen Sie entweder die Löschung ab oder machen Sie einen manuellen Snapshot der Domain, um den Verlust Ihrer Daten zu verhindern.

Verschlüsselung gespeicherter Daten deaktivieren

Nachdem Sie eine Domain zum Verschlüsseln von Daten im Ruhezustand konfiguriert haben, können Sie die Einstellung nicht mehr deaktivieren. Stattdessen können Sie einen manuellen Snapshot der vorhandenen Domain erstellen, eine andere Domain erstellen, Ihre Daten migrieren und die alte Domain löschen.

Überwachen von Domains, die Daten im Ruhezustand verschlüsseln

Domains, die Daten im Ruhezustand verschlüsseln, haben zwei zusätzliche Metriken: KMSKeyError und KMSKeyInaccessible. Diese Metriken werden nur angezeigt, wenn die Domain ein Problem mit Ihrem Verschlüsselungsschlüssel feststellt. Vollständige Beschreibungen dieser Metriken finden Sie unter Cluster-Metriken. Sie können sie entweder über die OpenSearch Service-Konsole oder die CloudWatch Amazon-Konsole anzeigen.

Tipp

Jede Metrik stellt ein erhebliches Problem für eine Domain dar. Wir empfehlen daher, CloudWatch Alarme für beide zu erstellen. Weitere Informationen finden Sie unter Empfohlene CloudWatch Alarme für Amazon OpenSearch Service.

Weitere Überlegungen

  • Bei der automatischen Schlüsselrotation bleiben die Eigenschaften Ihrer AWS KMS Schlüssel erhalten, sodass die Rotation keine Auswirkungen auf Ihre Fähigkeit hat, auf Ihre OpenSearch Daten zuzugreifen. Verschlüsselte OpenSearch Dienstdomänen unterstützen keine manuelle Schlüsselrotation, bei der ein neuer Schlüssel erstellt und alle Verweise auf den alten Schlüssel aktualisiert werden. Weitere Informationen finden Sie unter Rotieren von Schlüsseln im AWS Key Management Service -Entwicklerhandbuch.

  • Bestimmte Instance-Typen unterstützen die Verschlüsselung gespeicherter Daten nicht. Details hierzu finden Sie unter Unterstützte Instance-Typen in Amazon OpenSearch Service.

  • Domains, die gespeicherte Daten verschlüsseln, verwenden einen anderen Repository-Namen für ihre automatischen Snapshots. Weitere Informationen finden Sie unter Wiederherstellen von Snapshots.

  • Wir empfehlen zwar dringend, die Verschlüsselung im Ruhezustand zu aktivieren, dies kann jedoch zu zusätzlichem CPU Overhead und einer Latenz von einigen Millisekunden führen. Die meisten Anwendungsfälle reagieren jedoch nicht empfindlich auf diese Unterschiede, und das Ausmaß der Auswirkungen hängt von der Konfiguration Ihres Clusters, Ihrer Clients und Ihres Nutzungsprofils ab.