Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mengenkripsi metadata aplikasi OpenSearch UI dengan kunci yang dikelola pelanggan
<a name="application-encryption-cmk"></a>

Aset dan konfigurasi visual disimpan sebagai metadata untuk aplikasi UI Anda OpenSearch . Ini termasuk kueri yang disimpan, visualisasi, dan dasbor. Data dari sumber data terkait tidak disimpan dalam metadata. Untuk informasi tentang mengenkripsi data di sumber data Anda, lihat [Perlindungan data di OpenSearch Layanan Amazon](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/data-protection.html) untuk OpenSearch domain dan Enkripsi [di Amazon Tanpa Server untuk koleksi tanpa OpenSearch server](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-encryption.html).

Metadata OpenSearch UI Anda dilindungi dengan enkripsi saat istirahat. Ini mencegah akses yang tidak sah. Enkripsi menggunakan AWS Key Management Service (AWS KMS) untuk menyimpan dan mengelola kunci enkripsi. Secara default, metadata OpenSearch UI dienkripsi dengan kunci yang dimiliki. AWS 

Anda juga dapat menggunakan fitur Customer Managed Key (CMK) untuk mengelola kunci enkripsi Anda sendiri. Ini membantu Anda memenuhi persyaratan peraturan dan kepatuhan. Untuk menggunakan CMK, Anda harus membuat aplikasi OpenSearch UI baru dan mengaktifkan CMK dalam proses pembuatan. Saat ini tidak didukung untuk memperbarui aplikasi OpenSearch UI yang ada dari kunci yang AWS dimiliki ke CMK.

Kapan menggunakan kunci yang dikelola pelanggan:
+ Organisasi Anda memiliki persyaratan kepatuhan terhadap peraturan untuk manajemen kunci
+ Anda memerlukan jejak audit untuk penggunaan kunci enkripsi
+ Anda ingin mengontrol jadwal rotasi tombol
+ Anda perlu mengintegrasikan dengan alur kerja manajemen kunci yang ada

Saat Anda menggunakan kunci yang dikelola pelanggan, Anda memiliki kendali penuh atas kunci tersebut. Ini termasuk kemampuan untuk:
+ Menetapkan dan memelihara kebijakan utama
+ Menetapkan dan memelihara kebijakan dan hibah IAM
+ Aktifkan dan nonaktifkan kunci
+ Putar materi kriptografi kunci
+ Tambahkan tag ke kunci
+ Buat alias kunci
+ Jadwalkan kunci untuk dihapus

**catatan**  
Kunci yang dikelola pelanggan harus Wilayah AWS sama dengan aplikasi OpenSearch UI. Anda tidak dapat menggunakan kunci dari Wilayah yang berbeda.

**Topics**
+ [Prasyarat untuk menggunakan kunci yang dikelola pelanggan](#application-encryption-cmk-prerequisites)
+ [Membuat aplikasi dengan enkripsi kunci yang dikelola pelanggan menggunakan konsol](#application-encryption-cmk-create-console)
+ [Membuat aplikasi dengan enkripsi kunci yang dikelola pelanggan menggunakan AWS CLI](#application-encryption-cmk-create-cli)
+ [Memantau penggunaan kunci yang dikelola pelanggan](#application-encryption-cmk-monitoring)
+ [Memperbarui pengaturan enkripsi](#application-encryption-cmk-update)

## Prasyarat untuk menggunakan kunci yang dikelola pelanggan
<a name="application-encryption-cmk-prerequisites"></a>

Sebelum Anda dapat menggunakan kunci yang dikelola pelanggan untuk mengenkripsi metadata aplikasi OpenSearch UI Anda, Anda harus membuat kunci enkripsi simetris. AWS KMS Untuk petunjuk cara membuat kunci, lihat [Membuat kunci](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) di *Panduan AWS KMS Pengembang*.

Kebijakan kunci untuk kunci terkelola pelanggan Anda harus memberikan izin OpenSearch UI untuk menggunakan kunci tersebut. Gunakan kebijakan kunci berikut, ganti *placeholder values* dengan informasi Anda sendiri:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowOpenSearchUIToUseKey",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "application.opensearchservice.amazonaws.com"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowKeyAdministration",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        }
    ]
}
```

Kebijakan ini mencakup dua pernyataan:
+ Pernyataan pertama memungkinkan OpenSearch UI untuk menggunakan kunci untuk operasi enkripsi.
+ Pernyataan kedua memungkinkan pengguna di Anda Akun AWS untuk mengelola kunci. Ini termasuk izin untuk memperbarui kebijakan kunci, mengaktifkan atau menonaktifkan kunci, dan menjadwalkan kunci untuk dihapus. Anda dapat membatasi izin ini lebih lanjut dengan mengganti prinsip root dengan pengguna atau peran IAM tertentu.

Untuk informasi selengkapnya tentang kebijakan utama, lihat [Menggunakan kebijakan utama AWS KMS di](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) *Panduan AWS KMS Pengembang*.

## Membuat aplikasi dengan enkripsi kunci yang dikelola pelanggan menggunakan konsol
<a name="application-encryption-cmk-create-console"></a>

Saat membuat aplikasi OpenSearch UI di konsol, Anda dapat menentukan kunci yang dikelola pelanggan untuk mengenkripsi metadata aplikasi.

**Untuk membuat aplikasi OpenSearch UI dengan enkripsi kunci yang dikelola pelanggan menggunakan konsol**

1. Masuk ke konsol OpenSearch Layanan Amazon di [https://console.aws.amazon.com/aos/rumah](https://console.aws.amazon.com/aos/home).

1. Di panel navigasi kiri, pilih **OpenSearch UI (Dasbor)**.

1. Pilih **Create application** (Buat aplikasi).

1. Untuk **nama Aplikasi**, masukkan nama untuk aplikasi.

1. Konfigurasikan pengaturan otentikasi dan administrator sesuai kebutuhan. Untuk informasi selengkapnya, lihat [Memulai antarmuka OpenSearch pengguna di Amazon OpenSearch Service](application-getting-started.md).

1. Di bagian **Enkripsi**, untuk **Enkripsi saat istirahat**, pilih **Gunakan kunci yang dikelola pelanggan**.

1. Pilih kunci terkelola pelanggan yang sudah ada dari daftar, atau pilih **Buat kunci** untuk membuat kunci baru AWS KMS.
**catatan**  
Kuncinya harus Wilayah AWS sama dengan aplikasi yang Anda buat.

1. (Opsional) Tambahkan tag ke aplikasi.

1. Pilih **Buat**.

## Membuat aplikasi dengan enkripsi kunci yang dikelola pelanggan menggunakan AWS CLI
<a name="application-encryption-cmk-create-cli"></a>

Untuk membuat aplikasi OpenSearch UI dengan enkripsi kunci yang dikelola pelanggan menggunakan AWS CLI, gunakan perintah [create-application](https://docs.aws.amazon.com/cli/latest/reference/opensearch/create-application.html) dengan parameter. `--kms-key-arn`

Ganti *placeholder values* dengan informasi Anda sendiri.

```
aws opensearch create-application \
    --name my-application \
    --kms-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
```

Jika Anda tidak menentukan `--kms-key-arn` parameter, OpenSearch gunakan kunci AWS-managed untuk mengenkripsi metadata aplikasi.

## Memantau penggunaan kunci yang dikelola pelanggan
<a name="application-encryption-cmk-monitoring"></a>

Saat Anda menggunakan kunci yang dikelola pelanggan dengan aplikasi OpenSearch UI, AWS KMS catat setiap penggunaan kunci dalam AWS CloudTrail log. Anda dapat menggunakan log ini untuk memantau bagaimana dan kapan kunci Anda digunakan. Log menunjukkan pengguna atau layanan mana yang mengakses kunci.

AWS AWS KMS secara otomatis memutar kunci yang dikelola pelanggan setiap tahun. Anda juga dapat memutar tombol secara manual sesuai kebutuhan. Untuk informasi selengkapnya tentang rotasi kunci, lihat [Memutar kunci KMS](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) di Panduan *AWS KMS Pengembang*.

Untuk informasi selengkapnya tentang pemantauan penggunaan kunci, lihat [Logging panggilan AWS KMS API dengan AWS CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html) di *Panduan AWS KMS Pengembang*.

**catatan**  
Menggunakan kunci yang dikelola pelanggan menimbulkan biaya. AWS KMS Biaya didasarkan pada jumlah permintaan API dan kunci yang disimpan. Untuk detail harga, lihat [Harga Layanan Manajemen AWS Utama](https://aws.amazon.com/kms/pricing/).

## Memperbarui pengaturan enkripsi
<a name="application-encryption-cmk-update"></a>

Setelah Anda membuat aplikasi OpenSearch UI, Anda tidak dapat mengubah pengaturan enkripsi. Jika Anda perlu menggunakan kunci yang dikelola pelanggan yang berbeda, Anda harus membuat aplikasi baru. Jika Anda perlu beralih antara kunci AWS-managed dan customer managed, Anda juga harus membuat aplikasi baru dengan pengaturan enkripsi yang diinginkan.

**penting**  
Sebelum Anda menonaktifkan atau menghapus kunci yang dikelola pelanggan, pertimbangkan hal berikut:  
Jika Anda menonaktifkan kunci, aplikasi akan kehilangan akses ke metadata terenkripsi. Anda harus mengaktifkan kembali kunci yang sama untuk memulihkan akses.
Jika Anda menghapus kunci, objek yang disimpan aplikasi menjadi tidak dapat diakses secara permanen. Ini termasuk kueri, visualisasi, dan dasbor. Kunci yang dihapus tidak dapat dipulihkan.
Kami merekomendasikan untuk mendokumentasikan ARN kunci Anda sebelum membuat perubahan apa pun pada status kunci.

**Langkah selanjutnya**  
Setelah Anda mengkonfigurasi enkripsi CMK untuk aplikasi Anda, Anda dapat:
+ Kaitkan sumber data dengan aplikasi Anda. Untuk informasi selengkapnya, lihat [Mengelola asosiasi sumber data dan izin akses Virtual Private Cloud](application-data-sources-and-vpc.md).
+ Buat ruang kerja untuk tim Anda. Untuk informasi selengkapnya, lihat [Menggunakan ruang kerja Amazon OpenSearch Service](application-workspaces.md).
+ Siapkan AWS CloudTrail pemantauan untuk penggunaan kunci. Untuk informasi selengkapnya, lihat [Memantau penggunaan kunci yang dikelola pelanggan](#application-encryption-cmk-monitoring).