Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Chiffrement des données au repos pour Amazon OpenSearch Service
OpenSearch Les domaines de service offrent le chiffrement des données au repos, une fonctionnalité de sécurité qui permet d'empêcher tout accès non autorisé à vos données. La fonctionnalité utilise AWS Key Management Service (AWS KMS) pour stocker et gérer vos clés de chiffrement et l'algorithme Advanced Encryption Standard avec des clés de 256 bits (AES-256) pour effectuer le chiffrement. Si cette option est activée, elle chiffre les aspects suivants d'un domaine :
-
Tous les index (y compris ceux UltraWarm stockés)
-
OpenSearch journaux
-
Échangez les fichiers
-
Toutes les autres données dans le répertoire de l'application
-
Instantanés automatiques
Les services suivants ne sont pas chiffrées lorsque vous activez le chiffrement des données au repos, mais vous pouvez prendre des mesures supplémentaires afin de les protéger :
-
Instantanés manuels : vous ne pouvez actuellement pas utiliser AWS KMS clés pour chiffrer les instantanés manuels. Vous pouvez toutefois utiliser le chiffrement côté serveur avec des clés gérées par S3 ou des KMS clés pour chiffrer le compartiment que vous utilisez comme référentiel de snapshots. Pour obtenir des instructions, consultez Inscription d'un référentiel d'instantanés manuels.
-
Journaux lents et journaux d'erreurs : si vous publiez des journaux et que vous souhaitez les chiffrer, vous pouvez chiffrer leur groupe de CloudWatch journaux en utilisant le même AWS KMS clé en tant que domaine OpenSearch de service. Pour plus d'informations, voir Chiffrer les données des journaux dans les CloudWatch journaux à l'aide de AWS KMSdans le guide de l'utilisateur d'Amazon CloudWatch Logs.
Note
Vous ne pouvez pas activer le chiffrement au repos sur un domaine existant si UltraWarm le stockage à froid est activé sur le domaine. Vous devez d'abord UltraWarm désactiver le stockage à froid, activer le chiffrement au repos, puis réactiver UltraWarm le stockage à froid. Si vous souhaitez conserver les index dans UltraWarm un stockage à froid, vous devez les déplacer vers un stockage à chaud avant de les désactiver UltraWarm ou de les stocker à froid.
OpenSearch Le service prend uniquement en charge les clés de chiffrement symétriques, et non KMS les clés asymétriques. Pour savoir comment créer des clés symétriques, voir Création de clés dans AWS Key Management Service Guide du développeur.
Que le chiffrement au repos soit activé ou non, tous les domaines chiffrent automatiquement les packages personnalisés à l'aide de AES -256 et de clés gérées par le OpenSearch service.
Autorisations
Pour utiliser la console OpenSearch de service afin de configurer le chiffrement des données au repos, vous devez disposer des autorisations de lecture pour AWS KMS, telle que la politique basée sur l'identité suivante :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:List*", "kms:Describe*" ], "Resource": "*" } ] }
Si vous souhaitez utiliser une clé autre que AWS clé possédée, vous devez également être autorisé à créer des autorisations pour la clé. Ces autorisations se présentent généralement sous la forme d'une politique basée sur les ressources que vous indiquez lorsque vous créez la clé.
Si vous souhaitez conserver votre clé exclusive au OpenSearch Service, vous pouvez ajouter la ViaService condition kms : à cette politique clé :
"Condition": { "StringEquals": { "kms:ViaService": "es.us-west-1.amazonaws.com" }, "Bool": { "kms:GrantIsForAWSResource": "true" } }
Pour plus d'informations, voir Utilisation de politiques clés dans AWS KMSdans le AWS Key Management Service Guide du développeur.
Activation du chiffrement de données au repos
Le chiffrement des données inactives sur les nouveaux domaines nécessite Elasticsearch 5.1 ou version ultérieure. OpenSearch Son activation sur des domaines existants nécessite Elasticsearch 6.7 ou version ultérieure. OpenSearch
Pour activer le chiffrement des données au repos (console)
-
Ouvrez le domaine dans AWS console, puis choisissez Actions et Modifier la configuration de sécurité.
-
Dans Encryption (Chiffrement), sélectionnez Enable encryption of data at rest (Activer le chiffrement des données au repos).
-
Choisissez un AWS KMS touche à utiliser, puis choisissez Enregistrer les modifications.
Vous pouvez également activer le chiffrement par le biais de la configurationAPI. La requête suivante permet le chiffrement des données au repos sur un domaine existant :
{ "ClusterConfig":{ "EncryptionAtRestOptions":{ "Enabled": true, "KmsKeyId":"arn:aws:kms:us-east-1:123456789012:alias/my-key" } } }
KMSClé désactivée ou supprimée
Si vous désactivez ou supprimez la clé que vous avez utilisée pour chiffrer un domaine, celui-ci devient inaccessible. OpenSearch Le service vous envoie une notification vous informant qu'il ne peut pas accéder à la KMS clé. Réactivez immédiatement la clé pour accéder à votre domaine.
L'équipe du OpenSearch service ne peut pas vous aider à récupérer vos données si votre clé est supprimée. AWS KMS supprime les clés uniquement après une période d'attente d'au moins sept jours. Si votre clé est en attente de suppression, annulez la suppression ou effectuez un instantané manuel du domaine pour éviter toute perte de données.
Désactivation du chiffrement de données au repos
Une fois que vous avez configuré un domaine pour chiffrer les données au repos, vous ne pouvez pas désactiver le paramètre. Au lieu de cela, vous pouvez prendre un instantané manuel du domaine existant, créer un autre domaine, migrer vos données et supprimer l'ancien domaine.
Surveillance des domaines qui chiffrent les données au repos
Les domaines qui chiffrent des données au repos ont deux métriques supplémentaires : KMSKeyError et KMSKeyInaccessible. Ces métriques s'affichent uniquement si le domaine rencontre un problème avec votre clé de chiffrement. Pour une liste complète de ces métriques, consultez Métriques du cluster. Vous pouvez les consulter à l'aide de la console OpenSearch Service ou de la CloudWatch console Amazon.
Astuce
Chaque métrique représente un problème important pour un domaine. Nous vous recommandons donc de créer des CloudWatch alarmes pour les deux. Pour de plus amples informations, veuillez consulter CloudWatch Alarmes recommandées pour Amazon OpenSearch Service.
Autres considérations
-
La rotation automatique des touches préserve les propriétés de votre AWS KMS touches, de sorte que la rotation n'a aucun effet sur votre capacité à accéder à vos OpenSearch données. Les domaines OpenSearch de service chiffrés ne prennent pas en charge la rotation manuelle des clés, qui implique la création d'une nouvelle clé et la mise à jour des références à l'ancienne clé. Pour en savoir plus, voir Rotation des touches dans le AWS Key Management Service Guide du développeur.
-
Certains types d'instance ne prennent pas en charge le chiffrement des données au repos. Pour plus d'informations, consultez Types d'instances pris en charge dans Amazon OpenSearch Service.
-
Les domaines qui chiffrent les données au repos utilisent un nom de référentiel différent pour leurs instantanés automatiques. Pour de plus amples informations, veuillez consulter Restauration des instantanés.
-
Nous recommandons vivement d'activer le chiffrement au repos, mais cela peut entraîner une CPU surcharge supplémentaire et une latence de quelques millisecondes. La plupart des cas d'utilisation ne sont toutefois pas sensibles à ces différences, cependant l'ampleur de l'impact dépend de la configuration du cluster, des clients et du profil d'utilisation.
