Amazon OpenSearch Service の保存データの暗号化

OpenSearch サービスドメインは、保管中のデータの暗号化を提供します。これは、データへの不正アクセスを防ぐのに役立つセキュリティ機能です。この機能は AWS Key Management Service （AWS KMS) を使用して暗号化キーを保存および管理し、アドバンスト暗号化スタンダードアルゴリズムを 256 ビットキー (AES-256) で暗号化を実行します。有効にすると、この機能によりドメインの次の要素が暗号化されます。

• すべてのインデックス ( UltraWarm ストレージにあるインデックスを含む）

• OpenSearch ログ

• スワップファイル

• アプリケーションディレクトリのその他すべてのデータ

• 自動スナップショット

以下は、保管中のデータの暗号化を有効にするときに暗号化されませんが、追加のステップを行って保護することができます。

• 手動スナップショット: 現在、 AWS KMS キーを使用して手動スナップショットを暗号化することはできません。ただし、S3-managedキーまたはKMSキーでサーバー側の暗号化を使用して、スナップショットリポジトリとして使用するバケットを暗号化できます。手順については、手動スナップショットレポジトリの登録 を参照してください。

• スローログとエラーログ: ログを発行して暗号化する場合は、 OpenSearch サービスドメインと同じ AWS KMS キーを使用して CloudWatch ログロググループを暗号化できます。詳細については、「Amazon Logs ユーザーガイド」の「 を使用して CloudWatch ログのログデータを暗号化 AWS KMSする」を参照してください。 CloudWatch

注記

ドメインで UltraWarm またはコールドストレージが有効になっている場合、既存のドメインで保管中の暗号化を有効にすることはできません。まずストレージを無効 UltraWarm またはコールドストレージにし、保管中の暗号化を有効にしてから、ストレージを再度有効に UltraWarm またはコールドストレージにする必要があります。インデックスを UltraWarm またはコールドストレージに保持する場合は、それらをホットストレージに移動してから、無効化 UltraWarm またはコールドストレージに移動する必要があります。

OpenSearch サービスは、非対称暗号化KMSキーではなく、対称暗号化キーのみをサポートします。KMS マスターキーを作成する方法については、AWS Key Management Service デベロッパーガイドの「キーの作成」を参照してください。

保存時の暗号化が有効になっているかどうかにかかわらず、すべてのドメインは AES-256 キーと OpenSearch サービス管理キーを使用してカスタムパッケージを自動的に暗号化します。

アクセス許可

OpenSearch サービスコンソールを使用して保管中のデータの暗号化を設定するには、次の ID ベースのポリシーなど AWS KMS、 への読み取りアクセス許可が必要です。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:List*",
        "kms:Describe*"
      ],
      "Resource": "*"
    }
  ]
}

AWS 所有キー以外のキーを使用する場合は、キーの許可を作成するアクセス許可も必要です。通常、これらの許可は、キーの作成時に指定するリソースベースのポリシーの形式になります。

キーを OpenSearch Service 専用にする場合は、そのキーポリシーに kms:ViaService 条件を追加できます。

"Condition": {
  "StringEquals": {
    "kms:ViaService": "es.us-west-1.amazonaws.com"
  },
  "Bool": {
    "kms:GrantIsForAWSResource": "true"
  }
}

詳細については、AWS Key Management Service 「 デベロッパーガイド」の「キーポリシーの使用 AWS KMS」を参照してください。

保管中のデータの暗号化の有効化

新しいドメインに保存されているデータの暗号化には、 OpenSearch または Elasticsearch 5.1 以降が必要です。既存のドメインで有効にするには、 OpenSearch または Elasticsearch 6.7 以降が必要です。

保管中のデータの暗号化を有効にするには (コンソール)

1. AWS コンソールでドメインを開き、「アクション」と「セキュリティ設定の編集」を選択します。

2. 暗号化した状態で、保管中のデータの暗号化を有効にするを選択します。

3. 使用する AWS KMS キーを選択し、変更の保存 を選択します。

設定 を通じて暗号化を有効にすることもできますAPI。次のリクエストは、既存ドメインで保存中のデータの暗号化を有効にします。

{
   "ClusterConfig":{
      "EncryptionAtRestOptions":{
         "Enabled": true,
         "KmsKeyId":"arn:aws:kms:us-east-1:123456789012:alias/my-key"
      }
   }
}

無効または削除されたKMSキー

ドメインの暗号化に使用したキーを無効化または削除すると、ドメインにアクセスできなくなります。 OpenSearch サービスから、KMSキーにアクセスできないことを知らせる通知が送信されます。すぐにキーを再度有効にして、ドメインにアクセスします。

キーが削除された場合、 OpenSearch サービスチームはデータの復旧をサポートできません。 は、少なくとも 7 日間の待機期間後にキー AWS KMS を削除します。キーの削除が保留中の場合は、削除をキャンセルするか、手動スナップショットを取って、ドメインのデータの損失を防ぎます。

保管中のデータの暗号化の無効化

保管中のデータを暗号化するようにドメインを設定した後、設定を無効にすることはできません。代わりに、既存のドメインの手動スナップショットを作成し、別のドメインを作成してからデータを移行して、古いドメインを削除することができます。

保管中のデータを暗号化するドメインのモニタリング

保管中のデータを暗号化するドメインには、KMSKeyError と KMSKeyInaccessible の 2 つの追加のメトリクスがあります。これらのメトリクスは、ドメインの暗号化キーに問題が発生した場合にのみ表示されます。これらのメトリクスの詳細については、「クラスターメトリクス」を参照してください。これらは、 OpenSearch サービスコンソールまたは Amazon CloudWatch コンソールを使用して表示できます。

ヒント

各メトリクスはドメインにとって重大な問題であるため、両方の CloudWatch アラームを作成することをお勧めします。詳細については、「Amazon OpenSearch Service の推奨 CloudWatch アラーム」を参照してください。

その他の考慮事項

• 自動キーローテーションは AWS KMS キーのプロパティを保持するため、ローテーションは OpenSearch データにアクセスする機能に影響しません。暗号化された OpenSearch サービスドメインは、手動キーローテーションをサポートしていません。これには、新しいキーの作成と古いキーへの参照の更新が含まれます。詳細については、AWS Key Management Service デベロッパーガイドの「キーローテーション」を参照してください。

• 特定のインスタンスタイプは、保管中のデータの暗号化をサポートしていません。詳細については、「Amazon OpenSearch Service でサポートされているインスタンスタイプ」を参照してください。

• 保管中のデータを暗号化するドメインでは、自動スナップショット用に別のリポジトリ名を使用します。詳細については、「スナップショットの復元」を参照してください。

• 保管中の暗号化を有効にすることを強くお勧めしますが、オーバーCPUヘッドと数ミリ秒のレイテンシーを追加することができます。ただし、ほとんどのユースケースはこれらの違いに敏感ではなく、影響の大きさは、クラスター、クライアント、および使用プロファイルの構成によって異なります。