カスタマーマネージドキーを使用するための前提条件コンソールを使用したカスタマーマネージドキー暗号化によるアプリケーションの作成を使用したカスタマーマネージドキー暗号化によるアプリケーションの作成 AWS CLI カスタマーマネージドキーの使用状況のモニタリング暗号化設定の更新

カスタマーマネージドキーを使用した OpenSearch UI アプリケーションメタデータの暗号化

ビジュアルアセットと設定は、OpenSearch UI アプリケーションのメタデータとして保存されます。これには、保存されたクエリ、視覚化、ダッシュボードが含まれます。関連付けられたデータソースからのデータはメタデータに保存されません。データソース内のデータの暗号化の詳細については、「Amazon OpenSearch Service for OpenSearch ドメインでのデータ保護」および「サーバーレスコレクションでの Amazon OpenSearch Serverless での暗号化」を参照してください。 OpenSearch

OpenSearch UI メタデータは、保管時の暗号化で保護されます。これにより、不正アクセスが防止されます。暗号化では AWS Key Management Service 、 (AWS KMS) を使用して暗号化キーを保存および管理します。デフォルトでは、OpenSearch UI メタデータは AWS 所有キーで暗号化されます。

カスタマーマネージドキー (CMK) 機能を使用して、独自の暗号化キーを管理することもできます。これにより、規制とコンプライアンスの要件を満たすことができます。CMK を使用するには、新しい OpenSearch UI アプリケーションを作成し、作成プロセスで CMK を有効にする必要があります。現在、既存の OpenSearch UI アプリケーションを AWS 所有キーから CMK に更新することはサポートされていません。

カスタマーマネージドキーを使用するタイミング:

組織にキー管理に関する規制コンプライアンス要件がある
暗号化キーの使用には監査証跡が必要です
キーローテーションスケジュールを制御する場合
既存のキー管理ワークフローと統合する必要があります

カスタマーマネージドキーを使用すると、キーを完全に制御できます。これには、次の機能が含まれます。

キーポリシーの確立と維持
IAM ポリシーとグラントの確立と維持
キーを有効または無効にする
キーの暗号化マテリアルをローテーションする
キーにタグを追加する
キーエイリアスの作成
キーの削除をスケジュールする

注記

カスタマーマネージドキーは、OpenSearch UI アプリケーション AWS リージョンと同じにある必要があります。別のリージョンのキーを使用することはできません。

トピック

カスタマーマネージドキーを使用するための前提条件
コンソールを使用したカスタマーマネージドキー暗号化によるアプリケーションの作成
を使用したカスタマーマネージドキー暗号化によるアプリケーションの作成 AWS CLI
カスタマーマネージドキーの使用状況のモニタリング
暗号化設定の更新

カスタマーマネージドキーを使用するための前提条件

カスタマーマネージドキーを使用して OpenSearch UI アプリケーションメタデータを暗号化する前に、で対称暗号化キーを作成する必要があります AWS KMS。キーの作成手順については、「 AWS KMS デベロッパーガイド」の「キーの作成」を参照してください。

カスタマーマネージドキーのキーポリシーは、そのキーを使用するアクセス許可を OpenSearch UI に付与する必要があります。次のキーポリシーを使用して、プレースホルダー値を独自の情報に置き換えます。


{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowOpenSearchUIToUseKey",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "application.opensearchservice.amazonaws.com"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowKeyAdministration",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        }
    ]
}

ポリシーには、2 つのステートメントが含まれています。

最初のステートメントでは、OpenSearch UI が暗号化オペレーションにキーを使用することを許可します。
2 番目のステートメントでは、のユーザーがキーを管理 AWS アカウントできるようにします。これには、キーポリシーの更新、キーの有効化または無効化、キーの削除をスケジュールするアクセス許可が含まれます。ルートプリンシパルを特定の IAM ユーザーまたはロールに置き換えることで、これらのアクセス許可をさらに制限できます。

キーポリシーの詳細については、 AWS KMS デベロッパーガイドの「でのキーポリシー AWS KMSの使用」を参照してください。

コンソールを使用したカスタマーマネージドキー暗号化によるアプリケーションの作成

コンソールで OpenSearch UI アプリケーションを作成するときに、アプリケーションのメタデータを暗号化するためのカスタマーマネージドキーを指定できます。

コンソールを使用してカスタマーマネージドキー暗号化を使用して OpenSearch UI アプリケーションを作成するには

https://console.aws.amazon.com/aos/home で Amazon OpenSearch Service コンソールにサインインします。
左のナビゲーションペインの [OpenSearch UI (ダッシュボード)] を選択します。
[アプリケーションを作成] を選択します。
[アプリケーション名] に、そのアプリケーションの名前を入力します。
必要に応じて、認証と管理者の設定を行います。詳細については、「Amazon OpenSearch Service における OpenSearch ユーザーインターフェースの開始方法」を参照してください。
「暗号化」セクションの「保管時の暗号化」で、「カスタマーマネージドキーを使用する」を選択します。
リストから既存のカスタマーマネージドキーを選択するか、キーの作成を選択して新しいキーを作成します AWS KMS。

注記
キーは、作成するアプリケーション AWS リージョンと同じにある必要があります。
(オプション) アプリケーションにタグを追加します。
[作成] を選択します。

を使用したカスタマーマネージドキー暗号化によるアプリケーションの作成 AWS CLI

を使用してカスタマーマネージドキー暗号化を使用して OpenSearch UI アプリケーションを作成するには AWS CLI、 --kms-key-arnパラメータを指定して create-application コマンドを使用します。

プレースホルダー値を、ユーザー自身の情報に置き換えます。


aws opensearch create-application \
    --name my-application \
    --kms-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012

--kms-key-arn パラメータを指定しない場合、OpenSearch は AWSマネージドキーを使用してアプリケーションのメタデータを暗号化します。

カスタマーマネージドキーの使用状況のモニタリング

OpenSearch UI アプリケーションでカスタマーマネージドキーを使用する場合、 AWS KMS はキーのすべての使用を AWS CloudTrail ログに記録します。これらのログを使用して、キーの使用方法とタイミングをモニタリングできます。ログには、キーにアクセスしたユーザーまたはサービスが表示されます。

AWS AWS KMS は、カスタマーマネージドキーを毎年自動的にローテーションします。必要に応じてキーを手動でローテーションすることもできます。キーローテーションの詳細については、 AWS KMS デベロッパーガイドの「KMS キーのローテーション」を参照してください。

キー使用状況のモニタリングの詳細については、「 AWS KMS デベロッパーガイド」の「を使用した AWS KMS API コールのログ記録 AWS CloudTrail」を参照してください。

注記

カスタマーマネージドキーを使用すると、 AWS KMS 料金が発生します。料金は、保存された API リクエストとキーの数に基づいています。料金の詳細については、AWS 「 Key Management Service の料金」を参照してください。

暗号化設定の更新

OpenSearch UI アプリケーションを作成した後は、暗号化設定を変更することはできません。別のカスタマーマネージドキーを使用する必要がある場合は、新しいアプリケーションを作成する必要があります。 AWSマネージドキーとカスタマーマネージドキーを切り替える必要がある場合は、必要な暗号化設定で新しいアプリケーションを作成する必要があります。

重要

カスタマーマネージドキーを無効化または削除する前に、次の点を考慮してください。

キーを無効にすると、アプリケーションは暗号化されたメタデータにアクセスできなくなります。アクセスを復元するには、同じキーを再度有効にする必要があります。
キーを削除すると、アプリケーションの保存されたオブジェクトに永続的にアクセスできなくなります。これには、クエリ、ビジュアライゼーション、ダッシュボードが含まれます。削除されたキーは復元できません。
キーステータスを変更する前に、キー ARN を文書化することをお勧めします。

次の手順

アプリケーションの CMK 暗号化を設定したら、次のことができます。

データソースをアプリケーションに関連付けます。詳細については、「データソースの関連付けと Virtual Private Cloud アクセス許可の管理」を参照してください。
チームのワークスペースを作成します。詳細については、「Amazon OpenSearch Service ワークスペースの使用」を参照してください。
キー使用状況 AWS CloudTrail のモニタリングを設定します。詳細については、「カスタマーマネージドキーの使用状況のモニタリング」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

開始方法

IAM による SAML フェデレーションの有効化