Crittografia dei dati inattivi per Amazon OpenSearch Service - OpenSearch Servizio Amazon

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia dei dati inattivi per Amazon OpenSearch Service

OpenSearch I domini di servizio offrono la crittografia dei dati inattivi, una funzionalità di sicurezza che aiuta a prevenire l'accesso non autorizzato ai tuoi dati. La funzionalità utilizza AWS Key Management Service (AWS KMS) per archiviare e gestire le chiavi di crittografia e l'algoritmo Advanced Encryption Standard con chiavi a 256 bit (AES-256) per eseguire la crittografia. Se abilitata, la funzionalità crittografa gli elementi seguenti di un dominio:

  • Tutti gli indici (compresi quelli archiviati) UltraWarm

  • OpenSearch registri

  • File di swap

  • Tutti gli altri dati presenti nella directory dell'applicazione

  • Snapshot automatici

Gli elementi seguenti non vengono crittografati quando abiliti la crittografia dei dati a riposo, ma puoi eseguire operazioni aggiuntive per proteggerli:

  • Istantanee manuali: al momento non è possibile utilizzare AWS KMS le chiavi per crittografare le istantanee manuali. Tuttavia, è possibile usare la crittografia lato server con chiavi gestite da S3 o chiavi KMS per crittografare il bucket che si utilizza come repository degli snapshot. Per istruzioni, consultare Registrazione di un repository di snapshot manuali.

  • Slow log e log degli errori: se pubblichi log e desideri crittografarli, puoi crittografare il relativo gruppo di log CloudWatch Logs utilizzando la stessa chiave del dominio del servizio. AWS KMS OpenSearch Per ulteriori informazioni, consulta Encrypt log data in CloudWatch Logs using AWS KMS nella Amazon CloudWatch Logs User Guide.

Nota

Non puoi abilitare la crittografia a riposo su un dominio esistente se UltraWarm sul dominio è abilitata la memorizzazione a freddo. È necessario innanzitutto UltraWarm disabilitare la memorizzazione a freddo, abilitare la crittografia a riposo e quindi riattivare UltraWarm la conservazione a freddo. Se si desidera conservare gli indici in una conservazione a caldo UltraWarm o a freddo, è necessario spostarli nella memorizzazione a caldo prima di UltraWarm disattivarli o archiviarli a freddo.

OpenSearch Il servizio supporta solo chiavi KMS con crittografia simmetrica, non asimmetriche. Per informazioni su come creare chiavi simmetriche, consultare Creazione di chiavi nella Guida per gli sviluppatori di AWS Key Management Service .

Indipendentemente dal fatto che la crittografia a riposo sia abilitata, tutti i domini crittografano automaticamente i pacchetti personalizzati utilizzando AES-256 e chiavi gestite dal servizio. OpenSearch

Autorizzazioni

Per utilizzare la console di OpenSearch servizio per configurare la crittografia dei dati inattivi, è necessario disporre delle autorizzazioni di lettura per AWS KMS, ad esempio la seguente politica basata sull'identità:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:List*", "kms:Describe*" ], "Resource": "*" } ] }

Se desideri utilizzare una chiave diversa da quella di AWS proprietà, devi disporre anche delle autorizzazioni per creare concessioni per la chiave. Queste autorizzazioni in genere hanno la forma di una policy basata su risorse specificata quando crei la chiave.

Se desideri mantenere la tua chiave esclusiva per OpenSearch Service, puoi aggiungere la ViaService condizione kms: a quella policy chiave:

"Condition": { "StringEquals": { "kms:ViaService": "es.us-west-1.amazonaws.com" }, "Bool": { "kms:GrantIsForAWSResource": "true" } }

Per ulteriori informazioni, consulta Utilizzo delle politiche chiave in AWS KMS nella Guida per gli AWS Key Management Service sviluppatori.

Abilitazione della crittografia dei dati a riposo

La crittografia dei dati archiviati su nuovi domini richiede Elasticsearch OpenSearch 5.1 o versione successiva. Per abilitarla su domini esistenti è necessario Elasticsearch 6.7 OpenSearch o versione successiva.

Come abilitare la crittografia dei dati a riposo (console)
  1. Apri il dominio nella AWS console, quindi scegli Azioni e Modifica configurazione di sicurezza.

  2. In Encryption (Crittografia), seleziona Enable encryption of data at rest (Abilita la crittografia dei dati a riposo).

  3. Scegli una AWS KMS chiave da usare, quindi scegli Salva modifiche.

Puoi abilitare la crittografia anche tramite l'API di configurazione. La seguente richiesta abilita la crittografia dei dati a riposo su un dominio esistente:

{ "ClusterConfig":{ "EncryptionAtRestOptions":{ "Enabled": true, "KmsKeyId":"arn:aws:kms:us-east-1:123456789012:alias/my-key" } } }

Chiave KMS disabilitata o eliminata

Se disabiliti o elimini la chiave che hai usato per crittografare un dominio, il dominio diventa inaccessibile. OpenSearch Il servizio ti invia una notifica che ti informa che non può accedere alla chiave KMS. Riabilita immediatamente la chiave per accedere al dominio.

Il team OpenSearch di assistenza non può aiutarti a recuperare i dati se la chiave viene eliminata. AWS KMS elimina le chiavi solo dopo un periodo di attesa di almeno sette giorni. Se la tua chiave è in attesa di cancellazione, annulla la cancellazione o prendi uno Snapshot manuale del dominio per evitare la perdita di dati.

Disabilitazione della crittografia dei dati a riposo

Dopo aver configurato un dominio per crittografare i dati a riposo, non puoi disabilitare l'impostazione. Puoi invece acquisire una snapshot manuale del dominio esistente, creare un altro dominio, migrare i dati ed eliminare il dominio precedente.

Monitoraggio dei domini che crittografano dati a riposo

I domini che crittografano i dati a riposo hanno due parametri aggiuntivi: KMSKeyError e KMSKeyInaccessible. Questi parametri vengono visualizzati solo se il dominio rileva un problema con la chiave di crittografia. Per una descrizione completa di questi parametri, consulta Parametri cluster. Puoi visualizzarli utilizzando la console OpenSearch di servizio o la CloudWatch console Amazon.

Suggerimento

Ogni metrica rappresenta un problema significativo per un dominio, quindi ti consigliamo di creare CloudWatch allarmi per entrambi. Per ulteriori informazioni, consulta CloudWatch Allarmi consigliati per Amazon Service OpenSearch .

Altre considerazioni

  • La rotazione automatica delle chiavi preserva le proprietà delle AWS KMS chiavi, quindi la rotazione non ha alcun effetto sulla capacità di accedere ai dati. OpenSearch I domini OpenSearch di Encrypted Service non supportano la rotazione manuale delle chiavi, che comporta la creazione di una nuova chiave e l'aggiornamento di eventuali riferimenti alla vecchia chiave. Per ulteriori informazioni, consultare Rotazione delle chiavi nella Guida per gli sviluppatori di AWS Key Management Service .

  • Alcuni tipi di istanza non supportano la crittografia dei dati a riposo. Per dettagli, consulta Tipi di istanze supportati in Amazon OpenSearch Service.

  • I domini che crittografano i dati a riposo usano un nome di repository diverso per i propri snapshot automatici. Per ulteriori informazioni, consultare Ripristino di snapshot.

  • Anche se consigliamo vivamente di abilitare la crittografia dei dati a riposo, questa potrebbe aggiungere un sovraccarico aggiuntivo della CPU e alcuni millisecondi di latenza. Tuttavia, la maggior parte dei casi d'uso non è sensibile a queste differenze e l'entità dell'impatto dipende dalla configurazione del cluster, dei client e del profilo di utilizzo.