Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verschlüsselung von Daten im Ruhezustand für Amazon OpenSearch Service
OpenSearch Service-Domains bieten die Verschlüsselung von Daten im Ruhezustand, eine Sicherheitsfunktion, die dazu beiträgt, unbefugten Zugriff auf Ihre Daten zu verhindern. Die Funktion verwendet AWS Key Management Service (AWS KMS) zum Speichern und Verwalten Ihrer Verschlüsselungsschlüssel und den Advanced Encryption Standard-Algorithmus mit 256-Bit-Schlüsseln (AES-256) für die Verschlüsselung. Wenn die Funktion aktiviert ist, verschlüsselt sie die folgenden Aspekte einer Domain:
-
Alle Indizes (einschließlich der Indizes im Speicher) UltraWarm
-
OpenSearch Logs
-
Swap-Dateien
-
Alle anderen Daten im Anwendungsverzeichnis
-
Automatisierte Snapshots
Die folgenden Dinge werden nicht verschlüsselt, wenn Sie die Verschlüsselung gespeicherter Daten aktivieren, aber Sie können weitere Schritte zu ihrem Schutz unternehmen:
-
Manuelle Schnappschüsse: Sie können derzeit keine AWS KMS Schlüssel verwenden, um manuelle Schnappschüsse zu verschlüsseln. Sie können jedoch eine serverseitige Verschlüsselung mit in S3 verwalteten Schlüsseln oder KMS-Schlüsseln zum Verschlüsseln des Buckets verwenden, den Sie als Snapshot-Repository verwenden. Anweisungen finden Sie unter Registrieren eines manuellen Snapshot-Repositorys.
-
Langsame Protokolle und Fehlerprotokolle: Wenn Sie Protokolle veröffentlichen und diese verschlüsseln möchten, können Sie die zugehörige CloudWatch Protokollgruppe mit demselben AWS KMS Schlüssel wie die Dienstdomäne verschlüsseln. OpenSearch Weitere Informationen finden Sie unter Verschlüsseln von Protokolldaten in CloudWatch Logs using AWS KMS im Amazon CloudWatch Logs-Benutzerhandbuch.
Anmerkung
Sie können die Verschlüsselung im Ruhezustand für eine bestehende Domain nicht aktivieren, wenn UltraWarm oder Cold Storage auf der Domain aktiviert ist. Sie müssen zuerst Cold Storage UltraWarm deaktivieren, Verschlüsselung im Ruhezustand aktivieren und dann Cold Storage wieder aktivieren UltraWarm . Wenn Sie Indizes im Cold Storage UltraWarm oder Cold Storage behalten möchten, müssen Sie sie zunächst in den Hot-Storage verschieben, bevor Sie sie deaktivieren UltraWarm oder Cold Storage aktivieren.
OpenSearch Der Service unterstützt nur KMS-Schlüssel mit symmetrischer Verschlüsselung, keine asymmetrischen Schlüssel. Informationen zum Erstellen symmetrischer Schlüssel finden Sie unter Erstellen von Schlüsseln im AWS Key Management Service -Entwicklerhandbuch.
Unabhängig davon, ob die Verschlüsselung im Ruhezustand aktiviert ist, verschlüsseln alle Domänen automatisch benutzerdefinierte Pakete mithilfe von AES-256 und vom Service verwalteten Schlüsseln. OpenSearch
Berechtigungen
Um die OpenSearch Service-Konsole zur Konfiguration der Verschlüsselung von Daten im Ruhezustand zu verwenden, benötigen Sie Leseberechtigungen AWS KMS, z. B. für die folgende identitätsbasierte Richtlinie:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:List*", "kms:Describe*" ], "Resource": "*" } ] }
Wenn Sie einen anderen Schlüssel als den AWS eigenen Schlüssel verwenden möchten, müssen Sie auch über die erforderlichen Berechtigungen verfügen, um Berechtigungen für den Schlüssel zu erstellen. Diese Berechtigung erfolgt in der Regel über eine ressourcenbasierte Richtlinie, die Sie beim Erstellen des Schlüssels angeben.
Wenn Sie Ihren Schlüssel ausschließlich für OpenSearch Service behalten möchten, können Sie dieser Schlüsselrichtlinie die ViaService Bedingung kms: hinzufügen:
"Condition": { "StringEquals": { "kms:ViaService": "es.us-west-1.amazonaws.com" }, "Bool": { "kms:GrantIsForAWSResource": "true" } }
Weitere Informationen finden Sie unter Verwenden von Schlüsselrichtlinien in AWS KMS im AWS Key Management Service Entwicklerhandbuch.
Verschlüsselung gespeicherter Daten aktivieren
Für die Verschlüsselung ruhender Daten auf neuen Domains ist entweder OpenSearch Elasticsearch 5.1 oder höher erforderlich. Für die Aktivierung auf bestehenden Domains ist entweder Elasticsearch 6.7 OpenSearch oder höher erforderlich.
So aktivieren Sie die Verschlüsselung von Data-at-Rest (Konsole)
-
Öffnen Sie die Domain in der AWS Konsole und wählen Sie dann Aktionen und Sicherheitskonfiguration bearbeiten aus.
-
Wählen Sie unter Verschlüsselung die Option Verschlüsselung von Data-at-Rest aktivieren aus.
-
Wählen Sie einen AWS KMS Schlüssel aus, den Sie verwenden möchten, und klicken Sie dann auf Änderungen speichern.
Sie können die Verschlüsselung auch über die Konfigurations-API aktivieren. Die folgende Anforderung ermöglicht die Verschlüsselung von Daten im Ruhezustand, die sich auf einer vorhandenen Domain befinden:
{ "ClusterConfig":{ "EncryptionAtRestOptions":{ "Enabled": true, "KmsKeyId":"arn:aws:kms:us-east-1:123456789012:alias/my-key" } } }
Deaktivierter oder gelöschter KMS-Schlüssel
Wenn du den Schlüssel, mit dem du eine Domain verschlüsselt hast, deaktivierst oder löschst, kann nicht mehr auf die Domain zugegriffen werden. OpenSearch Der Dienst sendet Ihnen eine Benachrichtigung, in der Sie darüber informiert werden, dass er nicht auf den KMS-Schlüssel zugreifen kann. Aktivieren Sie den Schlüssel erneut umgehend, um auf Ihre Domain zuzugreifen.
Das OpenSearch Serviceteam kann Ihnen nicht helfen, Ihre Daten wiederherzustellen, wenn Ihr Schlüssel gelöscht wird. AWS KMS löscht Schlüssel erst nach einer Wartezeit von mindestens sieben Tagen. Wenn Ihr Schlüssel gelöscht werden soll, brechen Sie entweder die Löschung ab oder machen Sie einen manuellen Snapshot der Domain, um den Verlust Ihrer Daten zu verhindern.
Verschlüsselung gespeicherter Daten deaktivieren
Nachdem Sie eine Domain zum Verschlüsseln von Daten im Ruhezustand konfiguriert haben, können Sie die Einstellung nicht mehr deaktivieren. Stattdessen können Sie einen manuellen Snapshot der vorhandenen Domain erstellen, eine andere Domain erstellen, Ihre Daten migrieren und die alte Domain löschen.
Überwachen von Domains, die Daten im Ruhezustand verschlüsseln
Domains, die Daten im Ruhezustand verschlüsseln, haben zwei zusätzliche Metriken: KMSKeyError und KMSKeyInaccessible. Diese Metriken werden nur angezeigt, wenn die Domain ein Problem mit Ihrem Verschlüsselungsschlüssel feststellt. Vollständige Beschreibungen dieser Metriken finden Sie unter Cluster-Metriken. Sie können sie entweder über die OpenSearch Service-Konsole oder die CloudWatch Amazon-Konsole anzeigen.
Tipp
Jede Metrik stellt ein erhebliches Problem für eine Domain dar. Wir empfehlen daher, CloudWatch Alarme für beide zu erstellen. Weitere Informationen finden Sie unter Empfohlene CloudWatch Alarme für Amazon OpenSearch Service.
Weitere Überlegungen
-
Bei der automatischen Schlüsselrotation bleiben die Eigenschaften Ihrer AWS KMS Schlüssel erhalten, sodass die Rotation keine Auswirkungen auf Ihre Fähigkeit hat, auf Ihre OpenSearch Daten zuzugreifen. Verschlüsselte OpenSearch Dienstdomänen unterstützen keine manuelle Schlüsselrotation, bei der ein neuer Schlüssel erstellt und alle Verweise auf den alten Schlüssel aktualisiert werden. Weitere Informationen finden Sie unter Rotieren von Schlüsseln im AWS Key Management Service -Entwicklerhandbuch.
-
Bestimmte Instance-Typen unterstützen die Verschlüsselung gespeicherter Daten nicht. Details hierzu finden Sie unter Unterstützte Instance-Typen in Amazon OpenSearch Service.
-
Domains, die gespeicherte Daten verschlüsseln, verwenden einen anderen Repository-Namen für ihre automatischen Snapshots. Weitere Informationen finden Sie unter Wiederherstellen von Snapshots.
-
Während wir dringend empfehlen, die Verschlüsselung im Ruhezustand zu aktivieren, kann dies zusätzlichen CPU-Overhead und einige Millisekunden Latenz verursachen. Die meisten Anwendungsfälle reagieren jedoch nicht empfindlich auf diese Unterschiede, und das Ausmaß der Auswirkungen hängt von der Konfiguration Ihres Clusters, Ihrer Clients und Ihres Nutzungsprofils ab.
