Chiffrer les métadonnées des applications d' OpenSearch interface utilisateur à l'aide de clés gérées par le client

Les ressources visuelles et les configurations sont stockées sous forme de métadonnées pour vos applications d' OpenSearch interface utilisateur. Cela inclut les requêtes enregistrées, les visualisations et les tableaux de bord. Les données provenant des sources de données associées ne sont pas stockées dans les métadonnées. Pour plus d'informations sur le chiffrement des données dans vos sources de données, consultez les sections Protection des données dans Amazon OpenSearch Service pour les OpenSearch domaines et Chiffrement dans Amazon OpenSearch Serverless pour les collections sans serveur.

Les métadonnées de votre OpenSearch interface utilisateur sont protégées par un chiffrement au repos. Cela empêche tout accès non autorisé. Le chiffrement utilise AWS Key Management Service (AWS KMS) pour stocker et gérer les clés de chiffrement. Par défaut, les métadonnées de l' OpenSearch interface utilisateur sont chiffrées avec des clés AWS détenues.

Vous pouvez également utiliser la fonction de clé gérée par le client (CMK) pour gérer vos propres clés de chiffrement. Cela vous permet de répondre aux exigences réglementaires et de conformité. Pour utiliser CMK, vous devez créer une nouvelle application d' OpenSearch interface utilisateur et activer CMK lors du processus de création. La mise à jour d'une application d' OpenSearch interface utilisateur existante d'une clé AWS détenue vers CMK n'est actuellement pas prise en charge.

Quand utiliser des clés gérées par le client :

• Votre organisation a des exigences de conformité réglementaires pour la gestion des clés

• Vous avez besoin de pistes d'audit pour l'utilisation des clés de chiffrement

• Vous souhaitez contrôler les principaux programmes de rotation

• Vous devez intégrer les flux de travail de gestion des clés existants

Lorsque vous utilisez une clé gérée par le client, vous en avez le contrôle total. Cela inclut la capacité de :

• Établissement et gestion des stratégies de clé

• Établissement et gestion des politiques IAM et des octrois

• Activer et désactiver la clé

• Faites pivoter le matériel cryptographique de la clé

• Ajouter des tags à la clé

• Création d’alias de clé

• Planifier la suppression de la clé

Note

La clé gérée par le client doit être Région AWS identique à celle de l'application d' OpenSearch interface utilisateur. Vous ne pouvez pas utiliser une clé provenant d'une autre région.

Conditions préalables à l'utilisation de clés gérées par le client

Avant de pouvoir utiliser une clé gérée par le client pour chiffrer les métadonnées de votre application d' OpenSearch interface utilisateur, vous devez créer une clé de chiffrement symétrique dans. AWS KMS Pour obtenir des instructions sur la création de clés, consultez la section Création de clés dans le guide du AWS KMS développeur.

La politique clé relative à votre clé gérée par le client doit autoriser l' OpenSearch interface utilisateur à utiliser la clé. Utilisez les règles clés suivantes, en les placeholder values remplaçant par vos propres informations :

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowOpenSearchUIToUseKey",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "application.opensearchservice.amazonaws.com"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowKeyAdministration",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        }
    ]
}

La stratégie comprend deux déclarations :

• La première instruction permet à l' OpenSearch interface utilisateur d'utiliser la clé pour les opérations de chiffrement.

• La deuxième instruction permet aux utilisateurs de votre compte Compte AWS d'administrer la clé. Cela inclut les autorisations permettant de mettre à jour la politique des clés, d'activer ou de désactiver la clé et de planifier la suppression de la clé. Vous pouvez restreindre davantage ces autorisations en remplaçant le principal root par des utilisateurs ou des rôles IAM spécifiques.

Pour plus d'informations sur les politiques clés, consultez la section Utilisation des politiques clés AWS KMS dans le Guide du AWS KMS développeur.

Création d'une application avec chiffrement par clé géré par le client à l'aide de la console

Lorsque vous créez une application d' OpenSearch interface utilisateur dans la console, vous pouvez spécifier une clé gérée par le client pour chiffrer les métadonnées de l'application.

Pour créer une application d' OpenSearch interface utilisateur avec chiffrement par clé géré par le client à l'aide de la console

1. Connectez-vous à la console Amazon OpenSearch Service à la https://console.aws.amazon.com/aos/maison.

2. Dans le volet de navigation de gauche, choisissez OpenSearch UI (Dashboards).

3. Choisissez Créer une application.

4. Dans Nom de l'application, entrez le nom de l'application.

5. Configurez les paramètres d'authentification et d'administration selon vos besoins. Pour de plus amples informations, veuillez consulter Commencer à utiliser l'interface OpenSearch utilisateur d'Amazon OpenSearch Service.

6. Dans la section Chiffrement, pour Chiffrement au repos, sélectionnez Utiliser la clé gérée par le client.

7. Sélectionnez une clé gérée par le client existante dans la liste, ou choisissez Créer une clé pour créer une nouvelle clé dans AWS KMS.

   Note

   La clé doit être dans la même Région AWS que celle de l'application que vous créez.

8. (Facultatif) Ajoutez des balises à l'application.

9. Choisissez Créer.

Création d'une application avec chiffrement par clé géré par le client à l'aide du AWS CLI

Pour créer une application d' OpenSearch interface utilisateur avec chiffrement par clé géré par le client à l'aide de AWS CLI, utilisez la commande create-application avec le --kms-key-arn paramètre.

Remplacez les placeholder values par vos propres informations.

aws opensearch create-application \
    --name my-application \
    --kms-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012

Si vous ne spécifiez pas le --kms-key-arn paramètre, OpenSearch utilise une clé AWS gérée pour chiffrer les métadonnées de l'application.

Surveillance de l'utilisation des clés gérées par le client

Lorsque vous utilisez une clé gérée par le client avec une application d' OpenSearch interface utilisateur, AWS KMS chaque utilisation de la clé est enregistrée dans AWS CloudTrail des journaux. Vous pouvez utiliser ces journaux pour contrôler comment et quand votre clé est utilisée. Les journaux indiquent quel utilisateur ou service a accédé à la clé.

AWS AWS KMS effectue une rotation automatique des clés gérées par le client chaque année. Vous pouvez également faire pivoter les touches manuellement selon vos besoins. Pour plus d'informations sur la rotation des clés, voir Rotation des clés KMS dans le manuel du AWS KMS développeur.

Pour plus d'informations sur la surveillance de l'utilisation des clés, consultez la section Journalisation des appels d' AWS KMS API AWS CloudTrail dans le manuel du AWS KMS développeur.

Note

L'utilisation de clés gérées par le client entraîne des AWS KMS frais. Les frais sont basés sur le nombre de demandes d'API et de clés stockées. Pour plus de détails sur les tarifs, consultez la section Tarification des services de gestion des AWS clés.

Mise à jour des paramètres de chiffrement

Une fois que vous avez créé une application d' OpenSearch interface utilisateur, vous ne pouvez pas modifier ses paramètres de chiffrement. Si vous devez utiliser une autre clé gérée par le client, vous devez créer une nouvelle application. Si vous devez passer d'une clé AWS gérée à une clé gérée par le client, vous devez également créer une nouvelle application avec les paramètres de chiffrement souhaités.

Important

Avant de désactiver ou de supprimer une clé gérée par le client, tenez compte des points suivants :

• Si vous désactivez la clé, l'application perdra l'accès à ses métadonnées chiffrées. Vous devez réactiver la même clé pour rétablir l'accès.

• Si vous supprimez la clé, les objets enregistrés dans l'application deviennent définitivement inaccessibles. Cela inclut les requêtes, les visualisations et les tableaux de bord. Les clés supprimées ne peuvent pas être récupérées.

• Nous vous recommandons de documenter l'ARN de votre clé avant de modifier le statut de la clé.

Étapes suivantes

Après avoir configuré le chiffrement CMK pour votre application, vous pouvez :

• Associez des sources de données à votre application. Pour de plus amples informations, veuillez consulter Gestion des associations de sources de données et des autorisations d'accès au Virtual Private Cloud.

• Créez des espaces de travail pour votre équipe. Pour de plus amples informations, veuillez consulter Utilisation des espaces OpenSearch de travail Amazon Service.

• Configurez AWS CloudTrail la surveillance de l'utilisation des clés. Pour de plus amples informations, veuillez consulter Surveillance de l'utilisation des clés gérées par le client.