Amazon Elasticsearch Service の保管時のデータの暗号化 - Amazon Elasticsearch Service

英語の翻訳が提供されている場合で、内容が矛盾する場合には、英語版がオリジナルとして取り扱われます。翻訳は機械翻訳により提供されています。

Amazon Elasticsearch Service の保管時のデータの暗号化

Amazon ES ドメインでは、保管時のデータの暗号化という、データへの不正アクセスを防止するのに役立つセキュリティ機能が提供されます。この機能は、AWS Key Management Service (AWS KMS) を使用して暗号化キーを保存および管理し、256 ビットキーを使用した Advanced Encryption Standard アルゴリズム (AES-256) を使用して暗号化を実行します。有効にすると、この機能によりドメインの次の要素が暗号化されます。

  • インデックス

  • Elasticsearch のログ

  • スワップファイル

  • アプリケーションディレクトリのその他すべてのデータ

  • 自動スナップショット

以下は、保管時のデータの暗号化を有効にするときに暗号化されませんが、追加のステップを行って保護することができます。

Amazon ES は、対称カスタマーマスターキーのみをサポートしています。非対称カスタマーマスターキーはサポートしていません。対称顧客マスターキーの作成方法については、以下を参照してください。 キーの作成AWS Key Management Service Developer Guide.

保存時の暗号化が有効かどうかに関係なく、すべてのドメインが自動的に暗号化されます。 カスタムパッケージ AES-256 および Amazon ES-管理キー。

保管時のデータの暗号化の有効化

既存のドメインでは、保存時の暗号化を有効にすることはできません。新しいドメインでのみ有効にできます。保管時のデータの暗号化には Elasticsearch 5.1 以降が必要です。

Amazon ES コンソールを使用して保管時のデータを暗号化するドメインを作成するためには、次のような ID ベースのポリシーなど、AWS KMS への読み取り専用アクセス権限を持っている必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:List*", "kms:Describe*" ], "Resource": "*" } ] }

[(Default) aws/es ((デフォルト) aws/es)] 以外のキーを使用する場合、キーの許可を作成するアクセス許可も必要です。通常、これらのアクセス許可は、キーの作成時に指定するリソースベースのポリシーの形式になります。

キーを Amazon ES 固有にする場合、キーポリシーに kms:ViaService 条件を追加できます。

"Condition": { "StringEquals": { "kms:ViaService": "es.us-west-1.amazonaws.com" }, "Bool": { "kms:GrantIsForAWSResource": "true" } }

詳細については、以下を参照してください。 AWS KMSでの主要なポリシーの使用AWS Key Management Service Developer Guide.

警告

ドメインの暗号化に使用したキーを削除すると、そのドメインにアクセスできなくなります。Amazon ES チームはデータを復元することはできません。AWS KMS でマスターキーが削除されるのは 7 日以上の待機期間が経過した後に限られるため、Amazon ES チームはドメインにそのリスクがあることを検出した場合はその旨を連絡する場合があります。

保管時のデータの暗号化の無効化

保管時のデータを暗号化するようにドメインを設定した後、設定を無効にすることはできません。代わりに、既存のドメインの手動スナップショットを作成し、別のドメインを作成してからデータを移行して、古いドメインを削除することができます。

保管時のデータを暗号化するドメインのモニタリング

保存データを暗号化するドメインには、次の2つのメトリックスがあります。KMSKeyError および KMSKeyInaccessible。 これらのメトリクスは、ドメインが暗号化キーの問題に遭遇した場合にのみ表示されます。これらのメトリクスの詳細については、「クラスターメトリクス」を参照してください。Amazon ES コンソールまたは Amazon CloudWatch コンソールのいずれかを使用して表示できます。

ヒント

各メトリクスは、ドメインの重大な問題を表しているため、両方の CloudWatch アラームを作成することをお勧めします。詳細については、「推奨 CloudWatch アラーム」を参照してください。

その他の考慮事項

  • 自動キーローテーションは AWS KMS マスターキーのプロパティを保持するため、このローテーションは Elasticsearch データにアクセスする能力には影響しません。暗号化された Amazon ES ドメインは、新しいマスターキーの作成と古いキーのすべてのレファレンスの更新を含むマスターキーローテーションをサポートしません。詳細については、『https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html』の「AWS Key Management Service Developer Guideカスタマーマスターキーをローテーションする」を参照してください 。

  • 特定のインスタンスタイプは、保管時のデータの暗号化をサポートしていません。詳細については、「サポートされる インスタンスタイプ」を参照してください。

  • 保管時のデータを暗号化するドメインでは、自動スナップショット用に別のリポジトリ名を使用します。詳細については、「スナップショットの復元」を参照してください。

  • Amazon ES ドメインの暗号化には 1 つの許可が必要であり、各暗号化キーにはプリンシパルあたり 500 個の許可という制限があります。この制限は、1 つのキーを使用して暗号化できる Amazon ES ドメインの最大数が 500 個であることを意味します。現在、Amazon ES でサポートされているドメインは (リージョンごとに) アカウントあたり最大 100 個であるため、権限に関するこの制限による影響はありません。アカウントごとのドメイン数の制限が引き上げられると、権限に関する制限による影響が生じる可能性があります。

    現時点で 500 個を超えるドメインを暗号化する必要がある場合は、追加のキーを作成してください。キーはグローバルではなくリージョン単位であるため、複数の AWS リージョンで運用している場合は、現在でも複数のキーが必要です。