기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon OpenSearch 서비스를 위한 유휴 데이터 암호화
OpenSearch 서비스 도메인은 데이터에 대한 무단 액세스를 방지하는 데 도움이 되는 보안 기능인 저장 데이터 암호화를 제공합니다. 이 기능은 다음을 사용합니다. AWS Key Management Service (AWS KMS) 를 사용하여 암호화 키를 저장 및 관리하고 암호화를 수행하는 데 256비트 키 (AES-256) 를 사용하는 고급 암호화 표준 알고리즘을 사용합니다. 활성화된 경우 이 기능은 다음과 같은 도메인 측면을 암호화합니다.
-
모든 인덱스 (스토리지에 있는 인덱스 포함) UltraWarm
-
OpenSearch 로그
-
전환 파일
-
애플리케이션 디렉터리의 모든 기타 데이터
-
자동 스냅샷
저장된 데이터 암호화를 활성화할 때 다음은 암호화되지 않지만 추가 단계를 수행하여 보호할 수 있습니다.
-
수동 스냅샷: 현재는 사용할 수 없습니다. AWS KMS 수동 스냅샷을 암호화하는 키. 하지만 S3 관리 키 또는 KMS 키와 함께 서버 측 암호화를 사용하여 스냅샷 저장소로 사용하는 버킷을 암호화할 수 있습니다. 지침은 수동 스냅샷 리포지토리 등록 단원을 참조하십시오.
-
느린 로그 및 오류 로그: 로그를 게시하고 이를 암호화하려는 경우 동일한 방법을 사용하여 해당 로그 로그 그룹을 암호화할 수 있습니다. CloudWatch AWS KMS 키는 OpenSearch 서비스 도메인과 같습니다. 자세한 내용은 다음을 사용하여 CloudWatch 로그의 로그 데이터 암호화를 참조하십시오. AWS KMSAmazon CloudWatch Logs 사용 설명서에서 확인할 수 있습니다.
참고
도메인에 콜드 스토리지가 활성화된 경우 UltraWarm 기존 도메인에서 저장 중 암호화를 활성화할 수 없습니다. 먼저 콜드 UltraWarm 스토리지를 비활성화하고 저장 중 암호화를 활성화한 다음 콜드 스토리지를 다시 UltraWarm 활성화해야 합니다. 인덱스를 콜드 스토리지나 콜드 스토리지에 보존하려면 UltraWarm UltraWarm 비활성화하거나 콜드 스토리지를 사용하기 전에 핫 스토리지로 이동해야 합니다.
OpenSearch 서비스는 대칭 암호화 키만 지원하며 비대칭 암호화 KMS 키는 지원하지 않습니다. 대칭 키를 만드는 방법을 알아보려면 키에서 키 만들기를 참조하십시오. AWS Key Management Service 개발자 가이드.
저장 중 암호화 활성화 여부에 관계없이 모든 도메인은 AES -256 및 OpenSearch 서비스 관리 키를 사용하여 사용자 지정 패키지를 자동으로 암호화합니다.
권한
OpenSearch 서비스 콘솔을 사용하여 저장된 데이터의 암호화를 구성하려면 다음과 같은 읽기 권한이 있어야 합니다. AWS KMS예: 다음과 같은 ID 기반 정책:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:List*", "kms:Describe*" ], "Resource": "*" } ] }
다음 키가 아닌 다른 키를 사용하려는 경우 AWS 소유한 키에는 키에 대한 권한 부여를 생성할 수 있는 권한도 있어야 합니다. 이러한 권한은 보통 키를 만들 때 지정하는 리소스 기반 정책의 형식입니다.
키를 OpenSearch 서비스 전용으로 유지하려면 해당 키 정책에 kms: ViaService 조건을 추가할 수 있습니다.
"Condition": { "StringEquals": { "kms:ViaService": "es.us-west-1.amazonaws.com" }, "Bool": { "kms:GrantIsForAWSResource": "true" } }
자세한 내용은 키 정책 사용을 참조하십시오. AWS KMS에서 AWS Key Management Service 개발자 가이드.
저장된 데이터 암호화 활성화
새 도메인에 저장된 데이터를 암호화하려면 Elasticsearch 5.1 이상이 필요합니다. OpenSearch 기존 도메인에서 활성화하려면 둘 중 하나 OpenSearch 또는 Elasticsearch 6.7 이상이 필요합니다.
저장된 데이터의 암호화를 활성화하려면(콘솔)
-
에서 도메인을 여십시오. AWS 콘솔을 선택한 다음 작업 및 보안 구성 편집을 선택합니다.
-
암호화 아래에서 저장된 데이터 암호화 활성화를 선택하세요.
-
다음 중 하나를 선택합니다. AWS KMS 사용할 키를 선택한 다음 변경사항 저장을 선택합니다.
구성을 통해 암호화를 활성화할 수도 API 있습니다. 다음 요청은 기존 도메인에 저장된 데이터의 암호화를 활성화합니다.
{ "ClusterConfig":{ "EncryptionAtRestOptions":{ "Enabled": true, "KmsKeyId":"arn:aws:kms:us-east-1:123456789012:alias/my-key" } } }
비활성화 또는 삭제된 KMS 키
도메인을 암호화하는 데 사용한 키를 비활성화하거나 삭제하면 도메인에 액세스할 수 없게 됩니다. OpenSearch 서비스에서 키에 액세스할 수 없음을 알리는 알림을 보냅니다. KMS 도메인에 액세스하려면 즉시 키를 다시 사용 설정하세요.
키가 삭제된 경우 OpenSearch 서비스 팀에서 데이터 복구를 도와드릴 수 없습니다. AWS KMS 최소 7일의 대기 기간이 지난 후에만 키를 삭제합니다. 키가 삭제 보류 중인 경우 삭제를 취소하거나 데이터 손실을 방지하기 위해 도메인의 수동 스냅샷을 생성합니다.
저장된 데이터 암호화 비활성화
저장된 데이터를 암호화하기 위해 도메인을 구성한 후 설정을 비활성화할 수 없습니다. 대신 기존 도메인의 수동 스냅샷을 가져와 다른 도메인을 생성하고, 데이터를 마이그레이션하며, 이전 도메인을 삭제할 수 있습니다.
저장된 데이터를 암호화하는 도메인 모니터링
저장된 데이터를 암호화하는 도메인에는 2개의 추가 지표 KMSKeyError 및 KMSKeyInaccessible이 있습니다. 이러한 지표는 도메인에 암호화 키 문제가 있을 때만 나타납니다. 이러한 지표에 대한 자세한 설명은 클러스터 지표 섹션을 참조하세요. OpenSearch 서비스 콘솔 또는 Amazon CloudWatch 콘솔을 사용하여 볼 수 있습니다.
작은 정보
각 지표는 도메인의 심각한 문제를 나타내므로 두 가지 모두에 대해 CloudWatch 경보를 생성하는 것이 좋습니다. 자세한 내용은 아마존 OpenSearch 서비스를 위한 권장 CloudWatch 알람 단원을 참조하십시오.
기타 고려 사항
-
자동 키 교체는 사용자의 속성을 보존합니다. AWS KMS 키이므로 키 회전은 OpenSearch 데이터 액세스 기능에 영향을 주지 않습니다. 암호화된 OpenSearch 서비스 도메인은 새 키를 만들고 이전 키에 대한 참조를 업데이트하는 수동 키 순환을 지원하지 않습니다. 자세한 내용은 내부 키 회전을 참조하십시오. AWS Key Management Service 개발자 가이드.
-
특정 인스턴스 유형은 저장된 데이터의 암호화를 지원하지 않습니다. 자세한 내용은 아마존 OpenSearch 서비스에서 지원되는 인스턴스 유형 섹션을 참조하세요.
-
저장된 데이터를 암호화하는 도메인의 경우 자동 스냅샷을 위해 다른 리포지토리 이름을 사용합니다. 자세한 내용은 스냅샷 복원 단원을 참조하십시오.
-
저장 중 암호화를 활성화하는 것이 좋지만, 이렇게 하면 CPU 오버헤드가 추가되고 몇 밀리초의 지연 시간이 발생할 수 있습니다. 그러나 대부분의 사용 사례는 이러한 차이에 민감하지 않으며, 클러스터, 클라이언트, 사용 프로필 구성에 따라 영향을 미치는 정도는 달라집니다.
