Requisitos previos para usar claves administradas por el cliente Creación de una aplicación con cifrado de claves gestionado por el cliente mediante la consola Crear una aplicación con cifrado de clave gestionado por el cliente mediante AWS CLI Supervisión del uso de claves gestionadas por el cliente Actualización de la configuración de cifrado

Cifrar los metadatos de las aplicaciones de OpenSearch interfaz de usuario con claves administradas por el cliente

Los activos y las configuraciones visuales se almacenan como metadatos para sus aplicaciones de OpenSearch interfaz de usuario. Esto incluye consultas, visualizaciones y paneles guardados. Los datos de las fuentes de datos asociadas no se almacenan en los metadatos. Para obtener información sobre el cifrado de datos en sus fuentes de datos, consulte Protección de datos en Amazon OpenSearch Service para OpenSearch dominios y Cifrado en Amazon OpenSearch Serverless para colecciones sin servidor.

Los metadatos de la OpenSearch interfaz de usuario están protegidos con cifrado en reposo. Esto evita el acceso no autorizado. El cifrado utiliza AWS Key Management Service (AWS KMS) para almacenar y gestionar las claves de cifrado. De forma predeterminada, los metadatos de la OpenSearch interfaz de usuario se cifran con las claves AWS propias.

También puedes usar la función de clave administrada por el cliente (CMK) para administrar tus propias claves de cifrado. Esto le ayuda a cumplir los requisitos normativos y de conformidad. Para usar CMK, debe crear una nueva aplicación de OpenSearch interfaz de usuario y habilitar CMK en el proceso de creación. Actualmente, no se admite la actualización de una aplicación de OpenSearch interfaz de usuario existente desde una clave propia AWS a CMK.

Cuándo usar las claves administradas por el cliente:

Su organización tiene requisitos de conformidad normativa para la gestión de claves
Necesita registros de auditoría para el uso de las claves de cifrado
Desea controlar los horarios de rotación de claves
Debe integrarse con los flujos de trabajo de administración de claves existentes

Cuando utiliza una clave gestionada por el cliente, tiene el control total sobre la clave. Esto incluye la capacidad de:

Establecer y mantener políticas de claves.
Establecer y mantener políticas y concesiones de IAM.
Activar y desactivar la clave
Gire el material criptográfico de la clave
Añada etiquetas a la clave
Crear alias de claves.
Programa la eliminación de la clave

nota

La clave gestionada por el cliente debe estar en el mismo lugar Región de AWS que la aplicación de OpenSearch interfaz de usuario. No puede usar una clave de una región diferente.

Temas

Requisitos previos para usar claves administradas por el cliente
Creación de una aplicación con cifrado de claves gestionado por el cliente mediante la consola
Crear una aplicación con cifrado de clave gestionado por el cliente mediante AWS CLI
Supervisión del uso de claves gestionadas por el cliente
Actualización de la configuración de cifrado

Requisitos previos para usar claves administradas por el cliente

Antes de poder utilizar una clave gestionada por el cliente para cifrar los metadatos de la aplicación de OpenSearch interfaz de usuario, debe crear una clave de cifrado simétrica. AWS KMS Para obtener instrucciones sobre cómo crear claves, consulte Creación de claves en la Guía AWS KMS para desarrolladores.

La política de claves de la clave gestionada por el cliente debe conceder a la OpenSearch interfaz de usuario el permiso para utilizarla. Utilice la siguiente política clave, sustituyéndola placeholder values por su propia información:


{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowOpenSearchUIToUseKey",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "application.opensearchservice.amazonaws.com"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowKeyAdministration",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        }
    ]
}

La política incluye dos instrucciones:

La primera sentencia permite a OpenSearch UI utilizar la clave para las operaciones de cifrado.
La segunda sentencia permite Cuenta de AWS a sus usuarios administrar la clave. Esto incluye los permisos para actualizar la política de claves, habilitar o deshabilitar la clave y programar su eliminación. Puede restringir aún más estos permisos sustituyendo el principal raíz por usuarios o roles específicos de IAM.

Para obtener más información sobre las políticas clave, consulte Uso de políticas clave AWS KMS en la Guía para AWS KMS desarrolladores.

Creación de una aplicación con cifrado de claves gestionado por el cliente mediante la consola

Al crear una aplicación de OpenSearch interfaz de usuario en la consola, puede especificar una clave gestionada por el cliente para cifrar los metadatos de la aplicación.

Para crear una aplicación de OpenSearch interfaz de usuario con cifrado de claves gestionado por el cliente mediante la consola

Inicia sesión en la consola OpenSearch de Amazon Service desde https://console.aws.amazon.com/aos/casa.
En el panel de navegación izquierdo, selecciona OpenSearch UI (paneles).
Elija Creación de aplicación.
En Nombre de la aplicación, especifique un nombre para su aplicación.
Configure los ajustes de autenticación y administración según sea necesario. Para obtener más información, consulte Introducción a la interfaz OpenSearch de usuario de Amazon OpenSearch Service.
En la sección Cifrado, en Cifrado en reposo, selecciona Usar clave gestionada por el cliente.
Selecciona una clave gestionada por el cliente existente de la lista o selecciona Crear una clave para crear una clave nueva AWS KMS.

nota
La clave debe estar en la Región de AWS misma forma que la aplicación que está creando.
(Opcional) Añada etiquetas a la aplicación.
Seleccione Crear.

Crear una aplicación con cifrado de clave gestionado por el cliente mediante AWS CLI

Para crear una aplicación de OpenSearch interfaz de usuario con cifrado por clave gestionado por el AWS CLI cliente mediante el comando create-application con el --kms-key-arn parámetro.

Sustituya placeholder values por su propia información.


aws opensearch create-application \
    --name my-application \
    --kms-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012

Si no especificas el --kms-key-arn parámetro, OpenSearch utiliza una clave AWS administrada para cifrar los metadatos de la aplicación.

Supervisión del uso de claves gestionadas por el cliente

Cuando utilizas una clave gestionada por el cliente con una aplicación de OpenSearch interfaz de usuario, AWS KMS registra cada uso de la clave en AWS CloudTrail los registros. Puedes usar estos registros para monitorear cómo y cuándo se usa tu clave. Los registros muestran qué usuario o servicio accedió a la clave.

AWS AWS KMS rota automáticamente las claves gestionadas por el cliente cada año. También puede girar las teclas manualmente según sea necesario. Para obtener más información sobre la rotación de claves, consulte Rotación de claves KMS en la Guía para AWS KMS desarrolladores.

Para obtener más información sobre la supervisión del uso de las claves, consulte Registrar las llamadas a la AWS KMS API AWS CloudTrail en la Guía para AWS KMS desarrolladores.

nota

El uso de claves administradas por el cliente conlleva AWS KMS cargos. Los cargos se basan en la cantidad de solicitudes de API y claves almacenadas. Para obtener información detallada sobre los precios, consulta los precios de los servicios de administración de AWS claves.

Actualización de la configuración de cifrado

Tras crear una aplicación de OpenSearch interfaz de usuario, no puede cambiar su configuración de cifrado. Si necesita usar una clave gestionada por el cliente diferente, debe crear una nueva aplicación. Si necesita cambiar entre claves AWS administradas por el cliente y administradas por el cliente, también debe crear una nueva aplicación con la configuración de cifrado deseada.

importante

Antes de deshabilitar o eliminar una clave administrada por el cliente, tenga en cuenta lo siguiente:

Si deshabilita la clave, la aplicación perderá el acceso a sus metadatos cifrados. Debe volver a habilitar la misma clave para restablecer el acceso.
Si elimina la clave, los objetos guardados de la aplicación quedarán permanentemente inaccesibles. Esto incluye consultas, visualizaciones y paneles. Las claves eliminadas no se pueden recuperar.
Recomendamos documentar el ARN de la clave antes de realizar cualquier cambio en el estado de la clave.

Siguientes pasos

Tras configurar el cifrado CMK para la aplicación, puede:

Asocie las fuentes de datos a su aplicación. Para obtener más información, consulte Administración de las asociaciones de orígenes de datos y los permisos de acceso a la nube privada virtual.
Cree espacios de trabajo para su equipo. Para obtener más información, consulte Uso de los espacios de trabajo OpenSearch de Amazon Service.
Configura la AWS CloudTrail supervisión del uso de las claves. Para obtener más información, consulte Supervisión del uso de claves gestionadas por el cliente.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Introducción

Habilitar la federación SAML con IAM