Amazon OpenSearch Service 的靜態資料加密 - Amazon OpenSearch Service
許可啟用靜態資料加密禁用或刪除的 KMS 金鑰停用靜態資料加密監控靜態加密資料的網域其他考量

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon OpenSearch Service 的靜態資料加密

OpenSearch Service 網域提供靜態資料加密,這是一種安全功能,可協助防止未經授權存取您的資料。此功能使用 AWS Key Management Service (AWS KMS) 來存放和管理加密金鑰,並使用 256 位元金鑰 (AES-256) 的進階加密標準演算法來執行加密。如果啟用,此功能會加密網域的以下層面:

  • 所有索引 (包括 UltraWarm 儲存中的索引)

  • OpenSearch 日誌

  • 置換檔案

  • 應用程式目錄中的所有其他資料

  • 自動快照

當您啟用靜態資料加密時,以下項目不會加密,但您可以採取額外的步驟來保護它們:

  • 手動快照:您目前無法使用 AWS KMS 金鑰來加密手動快照。不過,您可以使用伺服器端加密搭配 S3 受管金鑰或 KMS 金鑰來加密您用作快照儲存庫的儲存貯體。如需說明,請參閱 註冊手動快照儲存庫

  • 慢速日誌和錯誤日誌:如果您發佈日誌並想要加密它們,您可以使用與 OpenSearch Service 網域相同的 AWS KMS 金鑰來加密其 CloudWatch Logs 日誌群組。如需詳細資訊,請參閱《Amazon CloudWatch Logs 使用者指南》使用 AWS KMS加密 CloudWatch Logs 中的日誌資料

注意

如果已在網域上啟用 UltraWarm 或冷儲存,則您無法在現有網域上啟用靜態加密。您必須先停用 UltraWarm 或冷儲存、啟用靜態加密,然後重新啟用 UltraWarm 或冷儲存。如果您想要在 UltraWarm 或冷儲存中保留索引,您必須先將索引移至熱儲存,然後再停用 UltraWarm 或冷儲存。

OpenSearch Service 僅支援對稱加密 KMS 金鑰,不支援非對稱加密 KMS 金鑰。若要了解如何建立對稱金鑰,請參閱 AWS Key Management Service 開發人員指南中的建立金鑰

無論是否啟用靜態加密,所有網域都會使用 AES-256 和 OpenSearch Service 受管密鑰自動加密自訂套件

許可

若要使用 OpenSearch Service 主控台來設定靜態資料的加密,您必須具有 的讀取許可 AWS KMS,例如下列身分型政策:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:List*",
        "kms:Describe*"
      ],
      "Resource": "*"
    }
  ]
}

如果您想要使用 AWS 擁有金鑰以外的金鑰,您還必須具有為金鑰建立授予的許可。這些許可通常採用以資源為基礎的政策形式,當您建立金鑰時會加以指定。

若您想要讓金鑰保持為 OpenSearch Service 獨有,您可以將 kms:ViaService 條件新增到金鑰政策:

"Condition": {
  "StringEquals": {
    "kms:ViaService": "es.us-west-1.amazonaws.com"
  },
  "Bool": {
    "kms:GrantIsForAWSResource": "true"
  }
}

如需詳細資訊,請參閱《 AWS Key Management Service 開發人員指南》中的在 AWS KMS 中使用金鑰政策

啟用靜態資料加密

在新網域中進行靜態資料加密需要 OpenSearch 或 Elasticsearch 5.1 版或更高版本。在現有網域上啟用它需要 OpenSearch 或 Elasticsearch 6.7 或更高版本。

啟用靜態資料加密 (主控台)

  1. 在 AWS 主控台中開啟網域,然後選擇動作編輯安全組態

  2. Encryption (加密),選擇 Enable encryption of data at rest (啟用靜態資料加密)。

  3. 選擇要使用的 AWS KMS 金鑰,然後選擇儲存變更

您也可以透過組態 API 啟用加密。下列請求會啟用現有網域上的靜態資料加密:

{
   "ClusterConfig":{
      "EncryptionAtRestOptions":{
         "Enabled": true,
         "KmsKeyId":"arn:aws:kms:us-east-1:123456789012:alias/my-key"
      }
   }
}

禁用或刪除的 KMS 金鑰

如果您停用或刪除用來加密網域的金鑰,網域將無法存取。OpenSearch Service 會傳送通知,通知您其無法存取 KMS 金鑰。立即重新啟用金鑰以存取您的網域。

如果刪除您的金鑰,OpenSearch Service 團隊無法協助您復原資料。 只會在等待至少七天後 AWS KMS 刪除金鑰。如果您的金鑰仍待刪除,請取消刪除或拍攝網域的手動快照,以避免資料損失。

停用靜態資料加密

在您設定網域以加密靜態資料後,您無法停用設定。相反地,您可以拍攝現有網域的手動快照建立另一個網域,遷移您的資料和刪除舊的網域。

監控靜態加密資料的網域

加密靜態資料的網域有兩個額外的指標:KMSKeyErrorKMSKeyInaccessible。如果網域遇到與您加密金鑰相關的問題,這些指標才會顯示。如需這些指標的完整說明,請參閱叢集指標。您可以使用 OpenSearch Service 主控台或 Amazon CloudWatch 主控台來檢視它們。

提示

每個指標代表網域的重大問題,因此我們建議您為二者建立 CloudWatch 警示。如需詳細資訊,請參閱Amazon OpenSearch Service 的建議 CloudWatch 警示

其他考量

  • 自動金鑰輪換會保留 AWS KMS 金鑰的屬性,因此輪換不會影響您存取 OpenSearch 資料的能力。已加密的 OpenSearch Service 網域不支援手動金鑰輪換,其中包含建立新金鑰和更新任何舊金鑰的參照。如需進一步了解,請參閱 AWS Key Management Service 開發人員指南中的輪換金鑰

  • 有些執行個體類型不支援靜態資料的加密。如需詳細資訊,請參閱 Amazon OpenSearch Service 中支援的執行個體類型

  • 加密靜態資料的網域對於其自動快照使用不同的儲存庫名稱。如需詳細資訊,請參閱還原快照

  • 雖然我們強烈建議啟用靜態加密,但這可能會增加額外的 CPU 負荷和幾毫秒的延遲。不過,大多數使用案例對這些差異並不敏感,且影響程度取決於叢集、用户端和使用設定檔的組態。