Crittografia dei dati inattivi per Amazon OpenSearch Service - OpenSearch Servizio Amazon

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia dei dati inattivi per Amazon OpenSearch Service

OpenSearch I domini di servizio offrono la crittografia dei dati inattivi, una funzionalità di sicurezza che aiuta a prevenire l'accesso non autorizzato ai tuoi dati. La funzionalità utilizza AWS Key Management Service (AWS KMS) per archiviare e gestire le chiavi di crittografia e l'algoritmo Advanced Encryption Standard con chiavi a 256 bit (AES-256) per eseguire la crittografia. Se abilitata, la funzionalità crittografa gli elementi seguenti di un dominio:

  • Tutti gli indici (compresi quelli archiviati) UltraWarm

  • OpenSearch registri

  • File di swap

  • Tutti gli altri dati presenti nella directory dell'applicazione

  • Snapshot automatici

Gli elementi seguenti non vengono crittografati quando abiliti la crittografia dei dati a riposo, ma puoi eseguire operazioni aggiuntive per proteggerli:

Nota

Non puoi abilitare la crittografia a riposo su un dominio esistente se UltraWarm sul dominio è abilitata la conservazione a freddo. È necessario innanzitutto UltraWarm disabilitare la memorizzazione a freddo, abilitare la crittografia a riposo e quindi riattivare UltraWarm la conservazione a freddo. Se si desidera conservare gli indici in una conservazione a caldo UltraWarm o a freddo, è necessario spostarli nella memorizzazione a caldo prima di UltraWarm disattivarli o archiviarli a freddo.

OpenSearch Il servizio supporta solo KMS chiavi di crittografia simmetriche, non asimmetriche. Per informazioni su come creare chiavi simmetriche, vedere Creazione di chiavi nella AWS Key Management Service Guida per gli sviluppatori.

Indipendentemente dal fatto che la crittografia a riposo sia abilitata, tutti i domini crittografano automaticamente i pacchetti personalizzati utilizzando AES -256 e OpenSearch chiavi gestite dal servizio.

Autorizzazioni

Per utilizzare la console di OpenSearch servizio per configurare la crittografia dei dati inattivi, è necessario disporre delle autorizzazioni di lettura per AWS KMS, ad esempio la seguente politica basata sull'identità:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:List*", "kms:Describe*" ], "Resource": "*" } ] }

Se si desidera utilizzare una chiave diversa dalla AWS chiave proprietaria, è inoltre necessario disporre delle autorizzazioni per creare concessioni per la chiave. Queste autorizzazioni in genere hanno la forma di una policy basata su risorse specificata quando crei la chiave.

Se desideri mantenere la tua chiave esclusiva per OpenSearch Service, puoi aggiungere la ViaService condizione kms: a quella policy chiave:

"Condition": { "StringEquals": { "kms:ViaService": "es.us-west-1.amazonaws.com" }, "Bool": { "kms:GrantIsForAWSResource": "true" } }

Per ulteriori informazioni, consulta Utilizzo delle politiche chiave in AWS KMSnel AWS Key Management Service Guida per gli sviluppatori.

Abilitazione della crittografia dei dati a riposo

La crittografia dei dati archiviati su nuovi domini richiede Elasticsearch 5.1 OpenSearch o versione successiva. Per abilitarla su domini esistenti è necessario Elasticsearch 6.7 OpenSearch o versione successiva.

Come abilitare la crittografia dei dati a riposo (console)
  1. Apri il dominio nel AWS console, quindi scegli Azioni e Modifica configurazione di sicurezza.

  2. In Encryption (Crittografia), seleziona Enable encryption of data at rest (Abilita la crittografia dei dati a riposo).

  3. Scegli un AWS KMS chiave da usare, quindi scegli Salva modifiche.

Puoi anche abilitare la crittografia tramite la configurazioneAPI. La seguente richiesta abilita la crittografia dei dati a riposo su un dominio esistente:

{ "ClusterConfig":{ "EncryptionAtRestOptions":{ "Enabled": true, "KmsKeyId":"arn:aws:kms:us-east-1:123456789012:alias/my-key" } } }

KMSChiave disabilitata o eliminata

Se disabiliti o elimini la chiave che hai usato per crittografare un dominio, il dominio diventa inaccessibile. OpenSearch Il servizio ti invia una notifica che ti informa che non può accedere alla chiave. KMS Riabilita immediatamente la chiave per accedere al dominio.

Il team OpenSearch di assistenza non può aiutarti a recuperare i dati se la chiave viene eliminata. AWS KMS elimina le chiavi solo dopo un periodo di attesa di almeno sette giorni. Se la tua chiave è in attesa di cancellazione, annulla la cancellazione o prendi uno Snapshot manuale del dominio per evitare la perdita di dati.

Disabilitazione della crittografia dei dati a riposo

Dopo aver configurato un dominio per crittografare i dati a riposo, non puoi disabilitare l'impostazione. Puoi invece acquisire una snapshot manuale del dominio esistente, creare un altro dominio, migrare i dati ed eliminare il dominio precedente.

Monitoraggio dei domini che crittografano dati a riposo

I domini che crittografano i dati a riposo hanno due parametri aggiuntivi: KMSKeyError e KMSKeyInaccessible. Questi parametri vengono visualizzati solo se il dominio rileva un problema con la chiave di crittografia. Per una descrizione completa di questi parametri, consulta Parametri cluster. Puoi visualizzarli utilizzando la console OpenSearch di servizio o la CloudWatch console Amazon.

Suggerimento

Ogni metrica rappresenta un problema significativo per un dominio, quindi ti consigliamo di creare CloudWatch allarmi per entrambi. Per ulteriori informazioni, consulta CloudWatch Allarmi consigliati per Amazon Service OpenSearch .

Altre considerazioni

  • La rotazione automatica dei tasti preserva le proprietà del AWS KMS chiavi, quindi la rotazione non ha alcun effetto sulla capacità dell'utente di accedere ai OpenSearch dati. I domini OpenSearch di Encrypted Service non supportano la rotazione manuale delle chiavi, che comporta la creazione di una nuova chiave e l'aggiornamento di eventuali riferimenti alla vecchia chiave. Per ulteriori informazioni, consulta Rotazione dei tasti nella AWS Key Management Service Guida per gli sviluppatori.

  • Alcuni tipi di istanza non supportano la crittografia dei dati a riposo. Per dettagli, consulta Tipi di istanze supportati in Amazon OpenSearch Service.

  • I domini che crittografano i dati a riposo usano un nome di repository diverso per i propri snapshot automatici. Per ulteriori informazioni, consulta Ripristino di snapshot.

  • Sebbene consigliamo vivamente di abilitare la crittografia a riposo, può aggiungere ulteriore CPU sovraccarico e alcuni millisecondi di latenza. Tuttavia, la maggior parte dei casi d'uso non è sensibile a queste differenze e l'entità dell'impatto dipende dalla configurazione del cluster, dei client e del profilo di utilizzo.