Permisos Habilitar el cifrado de datos en reposo KMSClave desactivada o eliminada Deshabilitar el cifrado de datos en reposo Monitorear dominios que cifran los datos en reposo Otras consideraciones

Cifrado de datos en reposo para Amazon OpenSearch Service

OpenSearch Los dominios de servicio ofrecen el cifrado de los datos en reposo, una función de seguridad que ayuda a evitar el acceso no autorizado a los datos. La función utiliza AWS Key Management Service (AWS KMS) para almacenar y administrar las claves de cifrado y el algoritmo del estándar de cifrado avanzado con claves de 256 bits (AES-256) para realizar el cifrado. Si está habilitada, la característica cifra los siguientes aspectos de un dominio:

Todos los índices (incluidos los que están almacenados) UltraWarm
OpenSearch registros
Archivos de intercambio
Todos los demás datos del directorio de la aplicación
Instantáneas automatizadas

Los siguientes elementos no se cifran cuando habilita el cifrado de datos en reposo, pero puede realizar pasos adicionales para protegerlos:

Instantáneas manuales: actualmente no puede utilizar AWS KMS claves para cifrar instantáneas manuales. Sin embargo, puede utilizar el cifrado del lado del servidor con claves administradas por S3 o KMS claves para cifrar el depósito que utiliza como repositorio de instantáneas. Para obtener instrucciones, consulte Registrar un repositorio de instantáneas manuales.
Registros lentos y registros de errores: si publica registros y desea cifrarlos, puede cifrar su grupo de CloudWatch registros con la misma clave que el dominio del servicio. AWS KMS OpenSearch Para obtener más información, consulte Cifrar datos de registro en CloudWatch Logs utilizando AWS KMS la Guía del usuario de Amazon CloudWatch Logs.

nota

No puedes habilitar el cifrado en reposo en un dominio existente si UltraWarm el almacenamiento en frío está activado en el dominio. Primero debes deshabilitar UltraWarm o almacenar en frío, habilitar el cifrado en reposo y, a continuación, volver a habilitar UltraWarm o almacenar en frío. Si desea conservar los índices UltraWarm o almacenarlos en frío, debe moverlos a un almacenamiento en caliente antes de inhabilitarlos UltraWarm o almacenarlos en frío.

OpenSearch El servicio solo admite KMS claves de cifrado simétricas, no asimétricas. Para conocer cómo crear claves simétricas, consulte Creación de claves en la Guía para desarrolladores de AWS Key Management Service .

Independientemente de si el cifrado en reposo está habilitado, todos los dominios cifran automáticamente los paquetes personalizados mediante claves administradas por el servicio y AES -256. OpenSearch

Permisos

Para usar la consola de OpenSearch servicio para configurar el cifrado de los datos en reposo, debe tener permisos de lectura AWS KMS, como la siguiente política basada en la identidad:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:List*",
        "kms:Describe*"
      ],
      "Resource": "*"
    }
  ]
}

Si desea utilizar una clave distinta de la AWS clave propia, también debe tener permisos para crear concesiones para la clave. Estos permisos normalmente suelen adoptar la forma de una política con base en recursos que especifica al crear la clave.

Si quieres que tu clave sea exclusiva de OpenSearch Service, puedes añadir la ViaService condición kms: a esa política clave:


"Condition": {
  "StringEquals": {
    "kms:ViaService": "es.us-west-1.amazonaws.com"
  },
  "Bool": {
    "kms:GrantIsForAWSResource": "true"
  }
}

Para obtener más información, consulte Uso de políticas clave AWS KMS en la Guía para AWS Key Management Service desarrolladores.

Habilitar el cifrado de datos en reposo

El cifrado de los datos inactivos en dominios nuevos requiere Elasticsearch 5.1 OpenSearch o una versión posterior. Para habilitarlo en los dominios existentes, se requiere Elasticsearch OpenSearch 6.7 o una versión posterior.

Para habilitar el cifrado de los datos en reposo (consola)

Abre el dominio en la AWS consola y, a continuación, selecciona Acciones y Editar la configuración de seguridad.
En Cifrado, seleccione Habilitar el cifrado de datos en reposo.
Elige la AWS KMS clave que quieras usar y, a continuación, selecciona Guardar cambios.

También puedes habilitar el cifrado a través de la configuraciónAPI. La siguiente solicitud permite el cifrado de datos en reposo en un dominio existente:


{
   "ClusterConfig":{
      "EncryptionAtRestOptions":{
         "Enabled": true,
         "KmsKeyId":"arn:aws:kms:us-east-1:123456789012:alias/my-key"
      }
   }
}

KMSClave desactivada o eliminada

Si deshabilitas o eliminas la clave que usaste para cifrar un dominio, el dominio deja de estar accesible. OpenSearch El servicio te envía una notificación informándote de que no puede acceder a la KMS clave. Vuelva a habilitar la clave inmediatamente para acceder a su dominio.

El equipo del OpenSearch Servicio no puede ayudarte a recuperar tus datos si se elimina tu clave. AWS KMS elimina las claves solo después de un período de espera de al menos siete días. Si su clave está pendiente de eliminación, cancele la eliminación o tome una instantánea manual del dominio para evitar la pérdida de datos.

Deshabilitar el cifrado de datos en reposo

Después de configurar un dominio para cifrar los datos en reposo, no puede desactivar la configuración. En su lugar, puede realizar una instantánea manual del dominio existente, crear otro dominio, migrar los datos y eliminar el dominio antiguo.

Monitorear dominios que cifran los datos en reposo

Los dominios que cifran los datos en reposo tienen dos métricas adicionales: KMSKeyError y KMSKeyInaccessible. Estas métricas solo aparecen si el dominio se encuentra con un problema con la clave de cifrado. Para obtener una descripción completa de estas métricas, consulte Métricas de clúster. Puede verlos mediante la consola de OpenSearch servicio o la consola de Amazon CloudWatch .

sugerencia

Cada métrica representa un problema importante para un dominio, por lo que te recomendamos que crees CloudWatch alarmas para ambos. Para obtener más información, consulte CloudWatch Alarmas recomendadas para Amazon OpenSearch Service.

Otras consideraciones

La rotación automática de claves preserva las propiedades de AWS KMS las claves, por lo que la rotación no afecta a la capacidad de acceder a OpenSearch los datos. Los dominios del OpenSearch Servicio de Cifrado no admiten la rotación manual de claves, lo que implica crear una clave nueva y actualizar cualquier referencia a la clave anterior. Para obtener más información, consulte Rotación de claves en la Guía para desarrolladores de AWS Key Management Service .
Algunos tipos de instancias no admiten el cifrado de datos en reposo. Para obtener más información, consulte Tipos de instancias compatibles en Amazon OpenSearch Service.
Los dominios que cifran los datos en reposo utilizan otro nombre de repositorio para sus instantáneas automatizadas. Para obtener más información, consulte Restaurar instantáneas.
Si bien recomendamos encarecidamente habilitar el cifrado en reposo, puede suponer una CPU sobrecarga adicional y unos pocos milisegundos de latencia. Sin embargo, la mayoría de los casos de uso no son sensibles a estas diferencias y la magnitud del impacto depende de la configuración del clúster, los clientes y el perfil de uso.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Protección de datos

Sin ode-to-node cifrado