Criptografia de dados em repouso para o Amazon OpenSearch Service - OpenSearch Serviço Amazon
PermissõesAtivação da criptografia de dados em repousoKMSChave desativada ou excluídaDesativação da criptografia de dados em repousoMonitoramento de domínios que criptografam dados em repousoOutras considerações

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografia de dados em repouso para o Amazon OpenSearch Service

OpenSearch Os domínios de serviço oferecem criptografia de dados em repouso, um recurso de segurança que ajuda a impedir o acesso não autorizado aos seus dados. O recurso usa AWS Key Management Service (AWS KMS) para armazenar e gerenciar suas chaves de criptografia e o algoritmo Advanced Encryption Standard com chaves de 256 bits (AES-256) para realizar a criptografia. Se habilitado, o recurso criptografa os seguintes aspectos de um domínio:

  • Todos os índices (incluindo aqueles em UltraWarm armazenamento)

  • OpenSearch troncos

  • Arquivos de troca

  • Todos os outros dados no diretório da aplicação

  • Snapshots automatizados

Os seguintes itens não são criptografados quando você ativa a criptografia de dados em repouso, mas você pode executar etapas adicionais para protegê-los:

  • Instantâneos manuais: no momento, você não pode usar AWS KMS chaves para criptografar instantâneos manuais. No entanto, você pode usar a criptografia do lado do servidor com chaves gerenciadas pelo S3 ou KMS chaves para criptografar o bucket que você usa como repositório de instantâneos. Para obter instruções, consulte Registro de um repositório de snapshots manuais.

  • Registros lentos e registros de erros: se você publicar registros e quiser criptografá-los, poderá criptografar o grupo de CloudWatch registros de registros usando a mesma AWS KMS chave do domínio de OpenSearch serviço. Para obter mais informações, consulte Criptografar dados de log em CloudWatch registros usando AWS KMS o Guia do usuário do Amazon CloudWatch Logs.

nota

Você não pode habilitar a criptografia em repouso em um domínio existente se UltraWarm o armazenamento a frio estiver habilitado no domínio. Primeiro, você deve desativar UltraWarm ou desativar o armazenamento a frio, ativar a criptografia em repouso e, em seguida, reativá-lo UltraWarm ou reativá-lo. Se você quiser manter os índices em UltraWarm um armazenamento refrigerado, você deve movê-los para o armazenamento a quente antes de desativar UltraWarm ou armazenar a frio.

OpenSearch O serviço suporta somente chaves de criptografia simétricas, não KMS chaves assimétricas. Para aprender a criar chaves simétricas, consulte Criação de chaves no Guia do desenvolvedor do AWS Key Management Service .

Independentemente de a criptografia em repouso estar ativada, todos os domínios criptografam automaticamente pacotes personalizados usando AES -256 e OpenSearch chaves gerenciadas pelo serviço.

Permissões

Para usar o console OpenSearch de serviço para configurar a criptografia de dados em repouso, você deve ter permissões de leitura AWS KMS, como a seguinte política baseada em identidade:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:List*",
        "kms:Describe*"
      ],
      "Resource": "*"
    }
  ]
}

Se quiser usar uma chave diferente da chave AWS própria, você também deve ter permissões para criar concessões para a chave. Essas permissões normalmente assumem a forma de uma política baseada em recursos que você especifica ao criar a chave.

Se você quiser manter sua chave exclusiva para o OpenSearch Serviço, você pode adicionar a ViaService condição kms: a essa política de chaves:

"Condition": {
  "StringEquals": {
    "kms:ViaService": "es.us-west-1.amazonaws.com"
  },
  "Bool": {
    "kms:GrantIsForAWSResource": "true"
  }
}

Para obter mais informações, consulte Usando políticas de chaves AWS KMS no Guia do AWS Key Management Service desenvolvedor.

Ativação da criptografia de dados em repouso

A criptografia de dados em repouso em novos domínios requer o Elasticsearch 5.1 OpenSearch ou posterior. Habilitá-lo em domínios existentes requer o Elasticsearch 6.7 OpenSearch ou posterior.

Para habilitar a criptografia de dados em repouso (console)

  1. Abra o domínio no AWS console e escolha Ações e Editar configuração de segurança.

  2. Em Criptografia, selecione Habilitar criptografia de dados em repouso.

  3. Escolha uma AWS KMS chave para usar e escolha Salvar alterações.

Você também pode ativar a criptografia por meio da configuraçãoAPI. A solicitação a seguir permite a criptografia de dados em repouso em um domínio existente:

{
   "ClusterConfig":{
      "EncryptionAtRestOptions":{
         "Enabled": true,
         "KmsKeyId":"arn:aws:kms:us-east-1:123456789012:alias/my-key"
      }
   }
}

KMSChave desativada ou excluída

Se você desativar ou excluir a chave usada para criptografar um domínio, o domínio ficará inacessível. OpenSearch O serviço envia uma notificação informando que não consegue acessar a KMS chave. Habilite novamente a chave imediatamente para acessar o seu domínio.

A equipe OpenSearch de serviço não poderá ajudá-lo a recuperar seus dados se sua chave for excluída. AWS KMS exclui as chaves somente após um período de espera de pelo menos sete dias. Se a exclusão da sua chave estiver pendente, cancele-a ou tire um snapshot manual do domínio para evitar a perda de dados.

Desativação da criptografia de dados em repouso

Depois de configurar um domínio para criptografar dados em repouso, você não pode desativar a configuração. Em vez disso, você pode tirar um snapshot manual do domínio existente, criar outro domínio, migrar seus dados e excluir o domínio anterior.

Monitoramento de domínios que criptografam dados em repouso

Domínios que criptografam dados em repouso têm duas métricas adicionais: KMSKeyError e KMSKeyInaccessible. Essas métricas serão exibidas somente se o domínio encontrar um problema com sua chave de criptografia. Para obter descrições completas dessas métricas, consulte Métricas de cluster. Você pode visualizá-los usando o console do OpenSearch Service ou o CloudWatch console da Amazon.

dica

Cada métrica representa um problema significativo para um domínio, por isso recomendamos que você crie CloudWatch alarmes para ambos. Para obter mais informações, consulte CloudWatch Alarmes recomendados para o Amazon Service OpenSearch .

Outras considerações

  • A rotação automática de chaves preserva as propriedades de suas AWS KMS chaves, portanto, a rotação não afeta sua capacidade de acessar seus OpenSearch dados. Os domínios OpenSearch de serviço criptografados não oferecem suporte à rotação manual de chaves, o que envolve a criação de uma nova chave e a atualização de qualquer referência à chave antiga. Para saber mais, consulte Rotação de chaves no Guia do desenvolvedor do AWS Key Management Service .

  • Certos tipos de instâncias não oferecem suporte à criptografia de dados em repouso. Para obter detalhes, consulte Tipos de instância compatíveis no Amazon OpenSearch Service.

  • Domínios que criptografam dados em repouso usam outro nome de repositório para seus snapshots automatizados. Para obter mais informações, consulte Restauração de snapshots.

  • Embora seja altamente recomendável ativar a criptografia em repouso, ela pode adicionar CPU sobrecarga adicional e alguns milissegundos de latência. Contudo, a maioria dos casos de uso não é afetada por essas diferenças, e a magnitude do impacto depende da configuração do cluster, dos clientes e do perfil de uso.