Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengenkripsi metadata aplikasi OpenSearch UI dengan kunci yang dikelola pelanggan
Aset dan konfigurasi visual disimpan sebagai metadata untuk aplikasi UI Anda OpenSearch . Ini termasuk kueri yang disimpan, visualisasi, dan dasbor. Data dari sumber data terkait tidak disimpan dalam metadata. Untuk informasi tentang mengenkripsi data di sumber data Anda, lihat Perlindungan data di OpenSearch Layanan Amazon untuk OpenSearch domain dan Enkripsi di Amazon Tanpa Server untuk koleksi tanpa OpenSearch server.
Metadata OpenSearch UI Anda dilindungi dengan enkripsi saat istirahat. Ini mencegah akses yang tidak sah. Enkripsi menggunakan AWS Key Management Service (AWS KMS) untuk menyimpan dan mengelola kunci enkripsi. Secara default, metadata OpenSearch UI dienkripsi dengan kunci yang dimiliki. AWS
Anda juga dapat menggunakan fitur Customer Managed Key (CMK) untuk mengelola kunci enkripsi Anda sendiri. Ini membantu Anda memenuhi persyaratan peraturan dan kepatuhan. Untuk menggunakan CMK, Anda harus membuat aplikasi OpenSearch UI baru dan mengaktifkan CMK dalam proses pembuatan. Saat ini tidak didukung untuk memperbarui aplikasi OpenSearch UI yang ada dari kunci yang AWS dimiliki ke CMK.
Kapan menggunakan kunci yang dikelola pelanggan:
-
Organisasi Anda memiliki persyaratan kepatuhan terhadap peraturan untuk manajemen kunci
-
Anda memerlukan jejak audit untuk penggunaan kunci enkripsi
-
Anda ingin mengontrol jadwal rotasi tombol
-
Anda perlu mengintegrasikan dengan alur kerja manajemen kunci yang ada
Saat Anda menggunakan kunci yang dikelola pelanggan, Anda memiliki kendali penuh atas kunci tersebut. Ini termasuk kemampuan untuk:
-
Menetapkan dan memelihara kebijakan utama
-
Menetapkan dan memelihara kebijakan dan hibah IAM
-
Aktifkan dan nonaktifkan kunci
-
Putar materi kriptografi kunci
-
Tambahkan tag ke kunci
-
Buat alias kunci
-
Jadwalkan kunci untuk dihapus
catatan
Kunci yang dikelola pelanggan harus Wilayah AWS sama dengan aplikasi OpenSearch UI. Anda tidak dapat menggunakan kunci dari Wilayah yang berbeda.
Topik
Prasyarat untuk menggunakan kunci yang dikelola pelanggan
Sebelum Anda dapat menggunakan kunci yang dikelola pelanggan untuk mengenkripsi metadata aplikasi OpenSearch UI Anda, Anda harus membuat kunci enkripsi simetris. AWS KMS Untuk petunjuk cara membuat kunci, lihat Membuat kunci di Panduan AWS KMS Pengembang.
Kebijakan kunci untuk kunci terkelola pelanggan Anda harus memberikan izin OpenSearch UI untuk menggunakan kunci tersebut. Gunakan kebijakan kunci berikut, ganti placeholder values dengan informasi Anda sendiri:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowOpenSearchUIToUseKey", "Effect": "Allow", "Principal": { "Service": [ "application.opensearchservice.amazonaws.com" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "AllowKeyAdministration", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:root" }, "Action": "kms:*", "Resource": "*" } ] }
Kebijakan ini mencakup dua pernyataan:
-
Pernyataan pertama memungkinkan OpenSearch UI untuk menggunakan kunci untuk operasi enkripsi.
-
Pernyataan kedua memungkinkan pengguna di Anda Akun AWS untuk mengelola kunci. Ini termasuk izin untuk memperbarui kebijakan kunci, mengaktifkan atau menonaktifkan kunci, dan menjadwalkan kunci untuk dihapus. Anda dapat membatasi izin ini lebih lanjut dengan mengganti prinsip root dengan pengguna atau peran IAM tertentu.
Untuk informasi selengkapnya tentang kebijakan utama, lihat Menggunakan kebijakan utama AWS KMS di Panduan AWS KMS Pengembang.
Membuat aplikasi dengan enkripsi kunci yang dikelola pelanggan menggunakan konsol
Saat membuat aplikasi OpenSearch UI di konsol, Anda dapat menentukan kunci yang dikelola pelanggan untuk mengenkripsi metadata aplikasi.
Untuk membuat aplikasi OpenSearch UI dengan enkripsi kunci yang dikelola pelanggan menggunakan konsol
-
Masuk ke konsol OpenSearch Layanan Amazon di https://console.aws.amazon.com/aos/rumah
. -
Di panel navigasi kiri, pilih OpenSearch UI (Dasbor).
-
Pilih Create application (Buat aplikasi).
-
Untuk nama Aplikasi, masukkan nama untuk aplikasi.
-
Konfigurasikan pengaturan otentikasi dan administrator sesuai kebutuhan. Untuk informasi selengkapnya, lihat Memulai antarmuka OpenSearch pengguna di Amazon OpenSearch Service.
-
Di bagian Enkripsi, untuk Enkripsi saat istirahat, pilih Gunakan kunci yang dikelola pelanggan.
-
Pilih kunci terkelola pelanggan yang sudah ada dari daftar, atau pilih Buat kunci untuk membuat kunci baru AWS KMS.
catatan
Kuncinya harus Wilayah AWS sama dengan aplikasi yang Anda buat.
-
(Opsional) Tambahkan tag ke aplikasi.
-
Pilih Buat.
Membuat aplikasi dengan enkripsi kunci yang dikelola pelanggan menggunakan AWS CLI
Untuk membuat aplikasi OpenSearch UI dengan enkripsi kunci yang dikelola pelanggan menggunakan AWS CLI, gunakan perintah create-application dengan parameter. --kms-key-arn
Ganti placeholder values dengan informasi Anda sendiri.
aws opensearch create-application \ --namemy-application\ --kms-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
Jika Anda tidak menentukan --kms-key-arn parameter, OpenSearch gunakan kunci AWS-managed untuk mengenkripsi metadata aplikasi.
Memantau penggunaan kunci yang dikelola pelanggan
Saat Anda menggunakan kunci yang dikelola pelanggan dengan aplikasi OpenSearch UI, AWS KMS catat setiap penggunaan kunci dalam AWS CloudTrail log. Anda dapat menggunakan log ini untuk memantau bagaimana dan kapan kunci Anda digunakan. Log menunjukkan pengguna atau layanan mana yang mengakses kunci.
AWS AWS KMS secara otomatis memutar kunci yang dikelola pelanggan setiap tahun. Anda juga dapat memutar tombol secara manual sesuai kebutuhan. Untuk informasi selengkapnya tentang rotasi kunci, lihat Memutar kunci KMS di Panduan AWS KMS Pengembang.
Untuk informasi selengkapnya tentang pemantauan penggunaan kunci, lihat Logging panggilan AWS KMS API dengan AWS CloudTrail di Panduan AWS KMS Pengembang.
catatan
Menggunakan kunci yang dikelola pelanggan menimbulkan biaya. AWS KMS Biaya didasarkan pada jumlah permintaan API dan kunci yang disimpan. Untuk detail harga, lihat Harga Layanan Manajemen AWS Utama
Memperbarui pengaturan enkripsi
Setelah Anda membuat aplikasi OpenSearch UI, Anda tidak dapat mengubah pengaturan enkripsi. Jika Anda perlu menggunakan kunci yang dikelola pelanggan yang berbeda, Anda harus membuat aplikasi baru. Jika Anda perlu beralih antara kunci AWS-managed dan customer managed, Anda juga harus membuat aplikasi baru dengan pengaturan enkripsi yang diinginkan.
penting
Sebelum Anda menonaktifkan atau menghapus kunci yang dikelola pelanggan, pertimbangkan hal berikut:
-
Jika Anda menonaktifkan kunci, aplikasi akan kehilangan akses ke metadata terenkripsi. Anda harus mengaktifkan kembali kunci yang sama untuk memulihkan akses.
-
Jika Anda menghapus kunci, objek yang disimpan aplikasi menjadi tidak dapat diakses secara permanen. Ini termasuk kueri, visualisasi, dan dasbor. Kunci yang dihapus tidak dapat dipulihkan.
-
Kami merekomendasikan untuk mendokumentasikan ARN kunci Anda sebelum membuat perubahan apa pun pada status kunci.
Langkah selanjutnya
Setelah Anda mengkonfigurasi enkripsi CMK untuk aplikasi Anda, Anda dapat:
-
Kaitkan sumber data dengan aplikasi Anda. Untuk informasi selengkapnya, lihat Mengelola asosiasi sumber data dan izin akses Virtual Private Cloud.
-
Buat ruang kerja untuk tim Anda. Untuk informasi selengkapnya, lihat Menggunakan ruang kerja Amazon OpenSearch Service.
-
Siapkan AWS CloudTrail pemantauan untuk penggunaan kunci. Untuk informasi selengkapnya, lihat Memantau penggunaan kunci yang dikelola pelanggan.
