Amazon OpenSearch サービスの保存データの暗号化 - Amazon OpenSearch サービス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon OpenSearch サービスの保存データの暗号化

OpenSearch サービスドメインでは、データへの不正アクセスを防止するセキュリティ機能である保存データの暗号化が可能です。この機能では、 AWS Key Management Service (AWS KMS) を使用して暗号化キーの保存と管理を行い、256 ビットキーによる高度暗号化標準アルゴリズム (AES-256) を使用して暗号化を実行します。有効にすると、この機能によりドメインの次の要素が暗号化されます。

  • すべてのインデックス (ストレージ内のインデックスを含む) UltraWarm

  • OpenSearch ログ

  • スワップファイル

  • アプリケーションディレクトリのその他すべてのデータ

  • 自動スナップショット

以下は、保管中のデータの暗号化を有効にするときに暗号化されませんが、追加のステップを行って保護することができます。

注記

既存のドメインでコールドストレージが有効になっている場合、 UltraWarm またはドメインでコールドストレージが有効になっている場合、保存時の暗号化を有効にすることはできません。 UltraWarm 最初にコールドストレージを無効にし、保存時の暗号化を有効にしてから、 UltraWarm コールドストレージまたはコールドストレージを再度有効にする必要があります。 UltraWarm インデックスをコールドストレージまたはコールドストレージに保存する場合は、 UltraWarm 無効にする前にホットストレージに移動する必要があります。

OpenSearch サービスは対称暗号化 KMS キーのみをサポートし、非対称キーはサポートしません。KMS マスターキーを作成する方法については、AWS Key Management Service デベロッパーガイドの「キーの作成」を参照してください。

保存時の暗号化が有効になっているかどうかに関係なく、すべてのドメインは AES-256 キーとサービス管理キーを使用してカスタムパッケージを自動的に暗号化します。 OpenSearch

アクセス許可

OpenSearch サービスコンソールを使用して保存データの暗号化を設定するには、次の ID ベースのポリシーなどの読み取り権限が必要です。 AWS KMS

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:List*", "kms:Describe*" ], "Resource": "*" } ] }

AWS 所有しているキー以外のキーを使用する場合は、そのキーに権限を付与する権限も必要です。通常、これらの許可は、キーの作成時に指定するリソースベースのポリシーの形式になります。

キーを OpenSearch Service 専用にしておきたい場合は、そのキーポリシーに kms: ViaService 条件を追加できます。

"Condition": { "StringEquals": { "kms:ViaService": "es.us-west-1.amazonaws.com" }, "Bool": { "kms:GrantIsForAWSResource": "true" } }

詳細については、『AWS Key Management Service 開発者ガイド』の「AWS KMS でのキーポリシーの使用」を参照してください。

保管中のデータの暗号化の有効化

新しいドメインで保存中のデータを暗号化するには、Elasticsearch OpenSearch 5.1 以降が必要です。既存のドメインで有効にするには、Elasticsearch OpenSearch 6.7 以降が必要です。

保管中のデータの暗号化を有効にするには (コンソール)
  1. AWS コンソールでドメインを開き、[アクション] と [セキュリティ設定の編集] を選択します。

  2. 暗号化した状態で、保管中のデータの暗号化を有効にするを選択します。

  3. AWS KMS 使用するキーを選択し、[変更を保存] を選択します。

設定 API を使って、暗号化を有効にすることもできます。次のリクエストは、既存ドメインで保存中のデータの暗号化を有効にします。

{ "ClusterConfig":{ "EncryptionAtRestOptions":{ "Enabled": true, "KmsKeyId":"arn:aws:kms:us-east-1:123456789012:alias/my-key" } } }

KMS キーを無効化または削除

ドメインの暗号化に使用したキーを無効にするか削除すると、ドメインにアクセスできなくなります。 OpenSearch サービスから KMS キーにアクセスできないことを通知する通知が送信されます。すぐにキーを再度有効にして、ドメインにアクセスします。

キーが削除された場合、 OpenSearch サービスチームはデータの回復をお手伝いできません。 AWS KMS 少なくとも 7 日間の待機期間が経過した後にのみ、キーを削除します。キーの削除が保留中の場合は、削除をキャンセルするか、手動スナップショットを取って、ドメインのデータの損失を防ぎます。

保管中のデータの暗号化の無効化

保管中のデータを暗号化するようにドメインを設定した後、設定を無効にすることはできません。代わりに、既存のドメインの手動スナップショットを作成し、別のドメインを作成してからデータを移行して、古いドメインを削除することができます。

保管中のデータを暗号化するドメインのモニタリング

保管中のデータを暗号化するドメインには、KMSKeyErrorKMSKeyInaccessible の 2 つの追加のメトリクスがあります。これらのメトリクスは、ドメインの暗号化キーに問題が発生した場合にのみ表示されます。これらのメトリクスの詳細については、「クラスターメトリクス」を参照してください。これらは、 OpenSearch サービスコンソールまたは Amazon CloudWatch コンソールのいずれかを使用して表示できます。

ヒント

各メトリックスはドメインにとって重大な問題を表しているため、 CloudWatch 両方のアラームを作成することをお勧めします。詳細については、「Amazon OpenSearch Service の推奨 CloudWatch アラーム」を参照してください。

その他の考慮事項

  • AWS KMS 自動キーローテーションではキーのプロパティが保持されるため、ローテーションによってデータへのアクセスに影響が及ぶことはありません。 OpenSearch OpenSearch 暗号化されたサービスドメインは、新しいキーを作成し、古いキーへの参照を更新する手動キーローテーションをサポートしていません。詳細については、AWS Key Management Service デベロッパーガイドの「キーローテーション」を参照してください。

  • 特定のインスタンスタイプは、保管中のデータの暗号化をサポートしていません。詳細については、「Amazon OpenSearch サービスでサポートされているインスタンスタイプ」を参照してください。

  • 保管中のデータを暗号化するドメインでは、自動スナップショット用に別のリポジトリ名を使用します。詳細については、「スナップショットの復元」を参照してください。

  • 静止時に暗号化を有効にすることを強くお勧めしますが、CPU オーバーヘッドが増加し、数ミリ秒の遅延が発生する可能性があります。ただし、ほとんどのユースケースはこれらの違いに敏感ではなく、影響の大きさは、クラスター、クライアント、および使用プロファイルの構成によって異なります。