Enkripsi data saat istirahat untuk OpenSearch Layanan Amazon - OpenSearch Layanan Amazon
IzinMengaktifkan enkripsi data saat tidak digunakanKMSKunci dinonaktifkan atau dihapusMenonaktifkan enkripsi data saat tidak digunakanMemantau domain yang mengenkripsi data saat tidak digunakanPertimbangan lainnya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi data saat istirahat untuk OpenSearch Layanan Amazon

OpenSearch Domain layanan menawarkan enkripsi data saat istirahat, fitur keamanan yang membantu mencegah akses tidak sah ke data Anda. Fitur ini menggunakan AWS Key Management Service (AWS KMS) untuk menyimpan dan mengelola kunci enkripsi Anda dan algoritma Advanced Encryption Standard dengan kunci 256-bit (AES-256) untuk melakukan enkripsi. Jika diaktifkan, fitur mengenkripsi aspek-aspek domain berikut:

  • Semua indeks (termasuk yang ada di UltraWarm penyimpanan)

  • OpenSearch log

  • Swap file

  • Semua data lain dalam direktori aplikasi

  • Snapshot otomatis

Berikut ini tidak dienkripsi saat Anda mengaktifkan enkripsi data saat tidak digunakan, namun Anda dapat mengambil langkah tambahan untuk melindunginya:

  • Snapshot manual: Saat ini Anda tidak dapat menggunakan AWS KMS kunci untuk mengenkripsi snapshot manual. Namun, Anda dapat menggunakan enkripsi sisi server dengan kunci atau KMS kunci yang dikelola S3 untuk mengenkripsi bucket yang Anda gunakan sebagai repositori snapshot. Untuk petunjuk, silakan lihat Mendaftarkan repositori snapshot manual.

  • Log lambat dan log kesalahan: Jika Anda mempublikasikan log dan ingin mengenkripsinya, Anda dapat mengenkripsi grup CloudWatch log Log mereka menggunakan AWS KMS kunci yang sama dengan domain OpenSearch Layanan. Untuk informasi selengkapnya, lihat Mengenkripsi data CloudWatch log di Log menggunakan AWS KMS Panduan Pengguna Amazon CloudWatch Logs.

catatan

Anda tidak dapat mengaktifkan enkripsi saat istirahat di domain yang ada jika UltraWarm atau penyimpanan dingin diaktifkan di domain. Anda harus terlebih dahulu menonaktifkan UltraWarm atau penyimpanan dingin, mengaktifkan enkripsi saat istirahat, dan kemudian mengaktifkan kembali UltraWarm atau penyimpanan dingin. Jika Anda ingin menyimpan indeks di dalam UltraWarm atau penyimpanan dingin, Anda harus memindahkannya ke penyimpanan panas sebelum menonaktifkan UltraWarm atau penyimpanan dingin.

OpenSearch Layanan hanya mendukung KMS kunci enkripsi simetris, bukan kunci asimetris. Untuk mempelajari cara membuat kunci simetris, lihat Membuat kunci di Panduan AWS Key Management Service Pengembang.

Terlepas dari apakah enkripsi saat istirahat diaktifkan, semua domain secara otomatis mengenkripsi paket khusus menggunakan AES -256 dan OpenSearch kunci yang dikelola Layanan.

Izin

Untuk menggunakan konsol OpenSearch Layanan untuk mengonfigurasi enkripsi data saat istirahat, Anda harus memiliki izin membaca AWS KMS, seperti kebijakan berbasis identitas berikut:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:List*",
        "kms:Describe*"
      ],
      "Resource": "*"
    }
  ]
}

Jika Anda ingin menggunakan kunci selain kunci yang AWS dimiliki, Anda juga harus memiliki izin untuk membuat hibah untuk kunci tersebut. Izin ini biasanya mengambil bentuk kebijakan berbasis sumber daya yang Anda tentukan ketika Anda membuat kunci.

Jika Anda ingin menjaga kunci Anda tetap eksklusif untuk OpenSearch Layanan, Anda dapat menambahkan ViaService kondisi kms: ke kebijakan kunci tersebut:

"Condition": {
  "StringEquals": {
    "kms:ViaService": "es.us-west-1.amazonaws.com"
  },
  "Bool": {
    "kms:GrantIsForAWSResource": "true"
  }
}

Untuk informasi selengkapnya, lihat Menggunakan kebijakan utama AWS KMS di Panduan AWS Key Management Service Pengembang.

Mengaktifkan enkripsi data saat tidak digunakan

Enkripsi data saat istirahat pada domain baru memerlukan salah satu OpenSearch atau Elasticsearch 5.1 atau yang lebih baru. Mengaktifkannya di domain yang ada memerlukan salah satu OpenSearch atau Elasticsearch 6.7 atau yang lebih baru.

Untuk mengaktifkan enkripsi data saat istirahat (konsol)

  1. Buka domain di AWS konsol, lalu pilih Tindakan dan Edit konfigurasi keamanan.

  2. Di bawah Enkripsi, pilih Aktifkan enkripsi data saat istirahat.

  3. Pilih AWS KMS kunci yang akan digunakan, lalu pilih Simpan perubahan.

Anda juga dapat mengaktifkan enkripsi melalui konfigurasiAPI. Permintaan berikut memungkinkan enkripsi data saat istirahat pada domain yang ada:

{
   "ClusterConfig":{
      "EncryptionAtRestOptions":{
         "Enabled": true,
         "KmsKeyId":"arn:aws:kms:us-east-1:123456789012:alias/my-key"
      }
   }
}

KMSKunci dinonaktifkan atau dihapus

Jika Anda menonaktifkan atau menghapus kunci yang Anda gunakan untuk mengenkripsi domain, domain menjadi tidak dapat diakses. OpenSearch Layanan mengirimi Anda pemberitahuan yang memberi tahu Anda bahwa itu tidak dapat mengakses KMS kunci. Aktifkan kembali kunci segera untuk mengakses domain Anda.

Tim OpenSearch Layanan tidak dapat membantu memulihkan data Anda jika kunci Anda dihapus. AWS KMS menghapus kunci hanya setelah masa tunggu setidaknya tujuh hari. Jika kunci Anda tertunda penghapusan, batalkan penghapusan atau ambil snapshot manual domain untuk mencegah hilangnya data.

Menonaktifkan enkripsi data saat tidak digunakan

Setelah mengonfigurasi domain untuk mengenkripsi data saat tidak digunakan, Anda tidak dapat menonaktifkan pengaturan. Sebagai gantinya, Anda dapat mengambil Snapshot manual dari domain yang sudah ada, membuat domain lain, memigrasikan data Anda, dan menghapus domain lama.

Memantau domain yang mengenkripsi data saat tidak digunakan

Domain yang mengenkripsi data saat tidak digunakan memiliki dua metrik tambahan: KMSKeyError dan KMSKeyInaccessible. Metrik ini hanya muncul jika domain mengalami masalah dengan kunci enkripsi Anda. Untuk deskripsi lengkap metrik ini, lihat Metrik klaster. Anda dapat melihatnya menggunakan konsol OpenSearch Layanan atau CloudWatch konsol Amazon.

Tip

Setiap metrik mewakili masalah yang signifikan untuk domain, jadi sebaiknya Anda membuat CloudWatch alarm untuk keduanya. Untuk informasi selengkapnya, lihat CloudWatch Alarm yang disarankan untuk Layanan Amazon OpenSearch .

Pertimbangan lainnya

  • Rotasi kunci otomatis mempertahankan properti AWS KMS kunci Anda, sehingga rotasi tidak berpengaruh pada kemampuan Anda untuk mengakses OpenSearch data Anda. Domain OpenSearch Layanan Terenkripsi tidak mendukung rotasi kunci manual, yang melibatkan pembuatan kunci baru dan memperbarui referensi apa pun ke kunci lama. Untuk mempelajari selengkapnya, lihat Memutar kunci di Panduan AWS Key Management Service Pengembang.

  • Tipe instans tertentu tidak mendukung enkripsi data saat tidak digunakan. Untuk detailnya, lihat Jenis instans yang didukung di Amazon OpenSearch Service.

  • Domain yang mengenkripsi data saat tidak digunakan menggunakan nama repositori yang berbeda untuk snapshot otomatis mereka. Untuk informasi selengkapnya, lihat Memulihkan snapshot.

  • Meskipun kami sangat menyarankan untuk mengaktifkan enkripsi saat istirahat, ini dapat menambahkan CPU overhead tambahan dan latensi beberapa milidetik. Namun, sebagian besar kasus penggunaan tidak sensitif terhadap perbedaan ini, dan besarnya dampaknya bergantung pada konfigurasi klaster, klien, dan profil penggunaan Anda.