翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# カスタマーマネージドキーを使用した OpenSearch UI アプリケーションメタデータの暗号化
ビジュアルアセットと設定は、OpenSearch UI アプリケーションのメタデータとして保存されます。これには、保存されたクエリ、視覚化、ダッシュボードが含まれます。関連付けられたデータソースからのデータはメタデータに保存されません。データソース内のデータの暗号化の詳細については、[「Amazon OpenSearch Service for OpenSearch ドメインでのデータ保護](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/data-protection.html)」および[「サーバーレスコレクションでの Amazon OpenSearch Serverless での暗号化](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-encryption.html)」を参照してください。 OpenSearch
OpenSearch UI メタデータは、保管時の暗号化で保護されます。これにより、不正アクセスが防止されます。暗号化では、 AWS Key Management Service (AWS KMS) を使用して暗号化キーを保存および管理します。デフォルトでは、OpenSearch UI メタデータは AWS 所有キーで暗号化されます。
カスタマーマネージドキー (CMK) 機能を使用して、独自の暗号化キーを管理することもできます。これにより、規制とコンプライアンスの要件を満たすことができます。CMK を使用するには、新しい OpenSearch UI アプリケーションを作成し、作成プロセスで CMK を有効にする必要があります。現在、既存の OpenSearch UI アプリケーションを AWS 所有キーから CMK に更新することはサポートされていません。
カスタマーマネージドキーを使用するタイミング:
+ 組織にキー管理に関する規制コンプライアンス要件がある
+ 暗号化キーの使用には監査証跡が必要です
+ キーローテーションスケジュールを制御する場合
+ 既存のキー管理ワークフローと統合する必要があります
カスタマーマネージドキーを使用すると、キーを完全に制御できます。これには、次の機能が含まれます。
+ キーポリシーの確立と維持
+ IAM ポリシーとグラントの確立と維持
+ キーを有効または無効にする
+ キーの暗号化マテリアルをローテーションする
+ キーにタグを追加する
+ キーエイリアスの作成
+ キーの削除をスケジュールする
**注記**
カスタマーマネージドキーは、OpenSearch UI アプリケーション AWS リージョン と同じ にある必要があります。別のリージョンのキーを使用することはできません。
**Topics**
+ [カスタマーマネージドキーを使用するための前提条件](#application-encryption-cmk-prerequisites)
+ [コンソールを使用したカスタマーマネージドキー暗号化を使用したアプリケーションの作成](#application-encryption-cmk-create-console)
+ [を使用したカスタマーマネージドキー暗号化によるアプリケーションの作成 AWS CLI](#application-encryption-cmk-create-cli)
+ [カスタマーマネージドキーの使用状況のモニタリング](#application-encryption-cmk-monitoring)
+ [暗号化設定の更新](#application-encryption-cmk-update)
## カスタマーマネージドキーを使用するための前提条件
カスタマーマネージドキーを使用して OpenSearch UI アプリケーションメタデータを暗号化する前に、 で対称暗号化キーを作成する必要があります AWS KMS。キーの作成手順については、「 *AWS KMS デベロッパーガイド*」の[「キーの作成](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)」を参照してください。
カスタマーマネージドキーのキーポリシーは、そのキーを使用するアクセス許可を OpenSearch UI に付与する必要があります。次のキーポリシーを使用して、*プレースホルダー値を*独自の情報に置き換えます。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowOpenSearchUIToUseKey",
"Effect": "Allow",
"Principal": {
"Service": [
"application.opensearchservice.amazonaws.com"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "AllowKeyAdministration",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account-id:root"
},
"Action": "kms:*",
"Resource": "*"
}
]
}
```
ポリシーには、2 つのステートメントが含まれています。
+ 最初のステートメントでは、OpenSearch UI が暗号化オペレーションに キーを使用することを許可します。
+ 2 番目のステートメントでは、 のユーザーがキーを管理 AWS アカウント できるようにします。これには、キーポリシーを更新し、キーを有効または無効にし、キーの削除をスケジュールするアクセス許可が含まれます。ルートプリンシパルを特定の IAM ユーザーまたはロールに置き換えることで、これらのアクセス許可をさらに制限できます。
キーポリシーの詳細については、 *AWS KMS デベロッパーガイド*の[「 でのキーポリシー AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)の使用」を参照してください。
## コンソールを使用したカスタマーマネージドキー暗号化を使用したアプリケーションの作成
コンソールで OpenSearch UI アプリケーションを作成するときに、アプリケーションのメタデータを暗号化するためのカスタマーマネージドキーを指定できます。
**コンソールを使用してカスタマーマネージドキー暗号化を使用して OpenSearch UI アプリケーションを作成するには**
1. [https://console.aws.amazon.com/aos/home](https://console.aws.amazon.com/aos/home) で Amazon OpenSearch Service コンソールにサインインします。
1. 左のナビゲーションペインの **[OpenSearch UI (ダッシュボード)]** を選択します。
1. [**アプリケーションを作成**] を選択します。
1. **[アプリケーション名]** に、そのアプリケーションの名前を入力します。
1. 必要に応じて、認証と管理者の設定を行います。詳細については、「[Amazon OpenSearch Service における OpenSearch ユーザーインターフェースの開始方法](application-getting-started.md)」を参照してください。
1. **「暗号化**」セクションの**「保管時の暗号化**」で、**「カスタマーマネージドキーを使用する**」を選択します。
1. リストから既存のカスタマーマネージドキーを選択するか、**キーの作成**を選択して新しいキーを作成します AWS KMS。
**注記**
キーは、作成するアプリケーション AWS リージョン と同じ にある必要があります。
1. (オプション) アプリケーションにタグを追加します。
1. **[作成]** を選択します。
## を使用したカスタマーマネージドキー暗号化によるアプリケーションの作成 AWS CLI
を使用してカスタマーマネージドキー暗号化を使用して OpenSearch UI アプリケーションを作成するには AWS CLI、 `--kms-key-arn`パラメータを指定して [create-application](https://docs.aws.amazon.com/cli/latest/reference/opensearch/create-application.html) コマンドを使用します。
*プレースホルダー値*を、ユーザー自身の情報に置き換えます。
```
aws opensearch create-application \
--name my-application \
--kms-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
```
`--kms-key-arn` パラメータを指定しない場合、OpenSearch は AWSマネージドキーを使用してアプリケーションのメタデータを暗号化します。
## カスタマーマネージドキーの使用状況のモニタリング
OpenSearch UI アプリケーションでカスタマーマネージドキーを使用する場合、 AWS KMS はキーのすべての使用を AWS CloudTrail ログに記録します。これらのログを使用して、キーの使用方法とタイミングをモニタリングできます。ログには、キーにアクセスしたユーザーまたはサービスが表示されます。
AWS AWS KMS は、カスタマーマネージドキーを毎年自動的にローテーションします。必要に応じてキーを手動でローテーションすることもできます。キーローテーションの詳細については、 *AWS KMS デベロッパーガイド*の[「KMS キーのローテーション](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html)」を参照してください。
キー使用状況のモニタリングの詳細については、「 *AWS KMS デベロッパーガイド*」の「 [を使用した AWS KMS API コールのログ記録 AWS CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html)」を参照してください。
**注記**
カスタマーマネージドキーを使用すると、 AWS KMS 料金が発生します。料金は、保存された API リクエストとキーの数に基づいています。料金の詳細については、[AWS 「 Key Management Service の料金](https://aws.amazon.com/kms/pricing/)」を参照してください。
## 暗号化設定の更新
OpenSearch UI アプリケーションを作成した後は、暗号化設定を変更することはできません。別のカスタマーマネージドキーを使用する必要がある場合は、新しいアプリケーションを作成する必要があります。 AWSマネージドキーとカスタマーマネージドキーを切り替える必要がある場合は、必要な暗号化設定で新しいアプリケーションを作成する必要があります。
**重要**
カスタマーマネージドキーを無効化または削除する前に、次の点を考慮してください。
キーを無効にすると、アプリケーションは暗号化されたメタデータにアクセスできなくなります。アクセスを復元するには、同じキーを再度有効にする必要があります。
キーを削除すると、アプリケーションの保存されたオブジェクトに永続的にアクセスできなくなります。これには、クエリ、ビジュアライゼーション、ダッシュボードが含まれます。削除されたキーは復元できません。
キーステータスを変更する前に、キー ARN を文書化することをお勧めします。
**次の手順**
アプリケーションの CMK 暗号化を設定したら、次のことができます。
+ データソースをアプリケーションに関連付けます。詳細については、「[データソースの関連付けと Virtual Private Cloud アクセス許可の管理](application-data-sources-and-vpc.md)」を参照してください。
+ チームのワークスペースを作成します。詳細については、「[Amazon OpenSearch Service ワークスペースの使用](application-workspaces.md)」を参照してください。
+ キー使用状況 AWS CloudTrail のモニタリングを設定します。詳細については、「[カスタマーマネージドキーの使用状況のモニタリング](#application-encryption-cmk-monitoring)」を参照してください。