Amazon OpenSearch Service の保存データの暗号化 - Amazon OpenSearch サービス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon OpenSearch Service の保存データの暗号化

OpenSearch サービスドメインは、保管中のデータの暗号化を提供します。これは、データへの不正アクセスを防ぐのに役立つセキュリティ機能です。この機能は AWS Key Management Service (AWS KMS) を使用して暗号化キーを保存および管理し、アドバンスト暗号化スタンダードアルゴリズムを 256 ビットキー (AES-256) で暗号化を実行します。有効にすると、この機能によりドメインの次の要素が暗号化されます。

  • すべてのインデックス ( UltraWarm ストレージにあるインデックスを含む)

  • OpenSearch ログ

  • スワップファイル

  • アプリケーションディレクトリのその他すべてのデータ

  • 自動スナップショット

以下は、保管中のデータの暗号化を有効にするときに暗号化されませんが、追加のステップを行って保護することができます。

注記

ドメインで UltraWarm またはコールドストレージが有効になっている場合、既存のドメインで保管中の暗号化を有効にすることはできません。まずストレージを無効 UltraWarm またはコールドストレージにし、保管中の暗号化を有効にしてから、ストレージを再度有効に UltraWarm またはコールドストレージにする必要があります。インデックスを UltraWarm またはコールドストレージに保持する場合は、それらをホットストレージに移動してから、無効化 UltraWarm またはコールドストレージに移動する必要があります。

OpenSearch サービスは、非対称暗号化KMSキーではなく、対称暗号化キーのみをサポートします。KMS マスターキーを作成する方法については、AWS Key Management Service デベロッパーガイドの「キーの作成」を参照してください。

保存時の暗号化が有効になっているかどうかにかかわらず、すべてのドメインは AES-256 キーと OpenSearch サービス管理キーを使用してカスタムパッケージを自動的に暗号化します。

アクセス許可

OpenSearch サービスコンソールを使用して保管中のデータの暗号化を設定するには、次の ID ベースのポリシーなど AWS KMS、 への読み取りアクセス許可が必要です。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:List*", "kms:Describe*" ], "Resource": "*" } ] }

AWS 所有キー以外のキーを使用する場合は、キーの許可を作成するアクセス許可も必要です。通常、これらの許可は、キーの作成時に指定するリソースベースのポリシーの形式になります。

キーを OpenSearch Service 専用にする場合は、そのキーポリシーに kms:ViaService 条件を追加できます。

"Condition": { "StringEquals": { "kms:ViaService": "es.us-west-1.amazonaws.com" }, "Bool": { "kms:GrantIsForAWSResource": "true" } }

詳細については、AWS Key Management Service 「 デベロッパーガイド」の「キーポリシーの使用 AWS KMS」を参照してください。

保管中のデータの暗号化の有効化

新しいドメインに保存されているデータの暗号化には、 OpenSearch または Elasticsearch 5.1 以降が必要です。既存のドメインで有効にするには、 OpenSearch または Elasticsearch 6.7 以降が必要です。

保管中のデータの暗号化を有効にするには (コンソール)
  1. AWS コンソールでドメインを開き、「アクション」と「セキュリティ設定の編集」を選択します。

  2. 暗号化した状態で、保管中のデータの暗号化を有効にするを選択します。

  3. 使用する AWS KMS キーを選択し、変更の保存 を選択します。

設定 を通じて暗号化を有効にすることもできますAPI。次のリクエストは、既存ドメインで保存中のデータの暗号化を有効にします。

{ "ClusterConfig":{ "EncryptionAtRestOptions":{ "Enabled": true, "KmsKeyId":"arn:aws:kms:us-east-1:123456789012:alias/my-key" } } }

無効または削除されたKMSキー

ドメインの暗号化に使用したキーを無効化または削除すると、ドメインにアクセスできなくなります。 OpenSearch サービスから、KMSキーにアクセスできないことを知らせる通知が送信されます。すぐにキーを再度有効にして、ドメインにアクセスします。

キーが削除された場合、 OpenSearch サービスチームはデータの復旧をサポートできません。 は、少なくとも 7 日間の待機期間後にキー AWS KMS を削除します。キーの削除が保留中の場合は、削除をキャンセルするか、手動スナップショットを取って、ドメインのデータの損失を防ぎます。

保管中のデータの暗号化の無効化

保管中のデータを暗号化するようにドメインを設定した後、設定を無効にすることはできません。代わりに、既存のドメインの手動スナップショットを作成し、別のドメインを作成してからデータを移行して、古いドメインを削除することができます。

保管中のデータを暗号化するドメインのモニタリング

保管中のデータを暗号化するドメインには、KMSKeyErrorKMSKeyInaccessible の 2 つの追加のメトリクスがあります。これらのメトリクスは、ドメインの暗号化キーに問題が発生した場合にのみ表示されます。これらのメトリクスの詳細については、「クラスターメトリクス」を参照してください。これらは、 OpenSearch サービスコンソールまたは Amazon CloudWatch コンソールを使用して表示できます。

ヒント

各メトリクスはドメインにとって重大な問題であるため、両方の CloudWatch アラームを作成することをお勧めします。詳細については、「Amazon OpenSearch Service の推奨 CloudWatch アラーム」を参照してください。

その他の考慮事項

  • 自動キーローテーションは AWS KMS キーのプロパティを保持するため、ローテーションは OpenSearch データにアクセスする機能に影響しません。暗号化された OpenSearch サービスドメインは、手動キーローテーションをサポートしていません。これには、新しいキーの作成と古いキーへの参照の更新が含まれます。詳細については、AWS Key Management Service デベロッパーガイドの「キーローテーション」を参照してください。

  • 特定のインスタンスタイプは、保管中のデータの暗号化をサポートしていません。詳細については、「Amazon OpenSearch Service でサポートされているインスタンスタイプ」を参照してください。

  • 保管中のデータを暗号化するドメインでは、自動スナップショット用に別のリポジトリ名を使用します。詳細については、「スナップショットの復元」を参照してください。

  • 保管中の暗号化を有効にすることを強くお勧めしますが、オーバーCPUヘッドと数ミリ秒のレイテンシーを追加することができます。ただし、ほとんどのユースケースはこれらの違いに敏感ではなく、影響の大きさは、クラスター、クライアント、および使用プロファイルの構成によって異なります。