Amazon OpenSearch Service の保管中のデータの暗号化 - Amazon OpenSearch サービス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon OpenSearch Service の保管中のデータの暗号化

OpenSearch サービスドメインは、データへの不正アクセスを防ぐのに役立つセキュリティ機能である、保管中のデータの暗号化を提供します。この機能は AWS Key Management Service 、暗号化キーの保存と管理に (AWS KMS) を使用し、暗号化を実行するために 256 ビットキー (AES-256) を使用する Advanced Encryption Standard アルゴリズムを使用します。有効にすると、この機能によりドメインの次の要素が暗号化されます。

  • すべてのインデックス ( UltraWarm ストレージ内のインデックスを含む)

  • OpenSearch ログ

  • スワップファイル

  • アプリケーションディレクトリのその他すべてのデータ

  • 自動スナップショット

以下は、保管中のデータの暗号化を有効にするときに暗号化されませんが、追加のステップを行って保護することができます。

注記

UltraWarm またはコールドストレージがドメインで有効になっている場合、既存のドメインで保管時の暗号化を有効にすることはできません。まず UltraWarm またはコールドストレージを無効にし、保管時の暗号化を有効にしてから、 UltraWarm またはコールドストレージを再度有効にする必要があります。インデックスを UltraWarm またはコールドストレージに保持する場合は、 UltraWarm またはコールドストレージを無効にする前に、それらをホットストレージに移動する必要があります。

OpenSearch サービスは対称暗号化KMSキーのみをサポートし、非対称暗号化キーはサポートしません。KMS マスターキーを作成する方法については、AWS Key Management Service デベロッパーガイドの「キーの作成」を参照してください。

保管時の暗号化が有効になっているかどうかにかかわらず、すべてのドメインは AES-256 と OpenSearch サービスマネージドキーを使用してカスタムパッケージを自動的に暗号化します。

アクセス許可

OpenSearch サービスコンソールを使用して保管中のデータの暗号化を設定するには、次のアイデンティティベースのポリシーなど AWS KMS、 への読み取りアクセス許可が必要です。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:List*", "kms:Describe*" ], "Resource": "*" } ] }

AWS 所有キー以外のキーを使用する場合は、キーの許可を作成するためのアクセス許可も必要です。通常、これらの許可は、キーの作成時に指定するリソースベースのポリシーの形式になります。

キーを OpenSearch Service 専用にする場合は、そのキーポリシーに kms:ViaService 条件を追加できます。

"Condition": { "StringEquals": { "kms:ViaService": "es.us-west-1.amazonaws.com" }, "Bool": { "kms:GrantIsForAWSResource": "true" } }

詳細については、AWS Key Management Service デベロッパーガイドの「AWS でのキーポリシーの使用KMS」を参照してください。

保管中のデータの暗号化の有効化

新しいドメインに保管中のデータを暗号化するには、 OpenSearch または Elasticsearch 5.1 以降が必要です。既存のドメインで有効にするには、 OpenSearch または Elasticsearch 6.7 以降が必要です。

保管中のデータの暗号化を有効にするには (コンソール)
  1. AWS コンソールでドメインを開き、アクションセキュリティ設定の編集を選択します。

  2. 暗号化した状態で、保管中のデータの暗号化を有効にするを選択します。

  3. 使用する AWS KMS キーを選択し、変更の保存を選択します。

設定 を使用して暗号化を有効にすることもできますAPI。次のリクエストは、既存ドメインで保存中のデータの暗号化を有効にします。

{ "ClusterConfig":{ "EncryptionAtRestOptions":{ "Enabled": true, "KmsKeyId":"arn:aws:kms:us-east-1:123456789012:alias/my-key" } } }

無効または削除されたKMSキー

ドメインの暗号化に使用したキーを無効化または削除すると、ドメインにアクセスできなくなります。 OpenSearch サービスから、KMSキーにアクセスできないことを通知する通知が送信されます。すぐにキーを再度有効にして、ドメインにアクセスします。

キーが削除された場合、 OpenSearch サービスチームはデータの復旧をサポートできません。 は、少なくとも 7 日間の待機期間後にのみキー AWS KMS を削除します。キーの削除が保留中の場合は、削除をキャンセルするか、手動スナップショットを取って、ドメインのデータの損失を防ぎます。

保管中のデータの暗号化の無効化

保管中のデータを暗号化するようにドメインを設定した後、設定を無効にすることはできません。代わりに、既存のドメインの手動スナップショットを作成し、別のドメインを作成してからデータを移行して、古いドメインを削除することができます。

保管中のデータを暗号化するドメインのモニタリング

保管中のデータを暗号化するドメインには、KMSKeyErrorKMSKeyInaccessible の 2 つの追加のメトリクスがあります。これらのメトリクスは、ドメインの暗号化キーに問題が発生した場合にのみ表示されます。これらのメトリクスの詳細については、「クラスターメトリクス」を参照してください。サービス OpenSearch コンソールまたは Amazon CloudWatch コンソールを使用して表示できます。

ヒント

各メトリクスはドメインの重要な問題を表しているため、両方の CloudWatch アラームを作成することをお勧めします。詳細については、「Amazon OpenSearch Service の推奨 CloudWatch アラーム」を参照してください。

その他の考慮事項

  • 自動キーローテーションは AWS KMS キーのプロパティを保持するため、ローテーションは OpenSearch データにアクセスする機能には影響しません。暗号化された OpenSearch サービスドメインは、新しいキーの作成と古いキーへの参照の更新を含む手動キーローテーションをサポートしていません。詳細については、AWS Key Management Service デベロッパーガイドの「キーローテーション」を参照してください。

  • 特定のインスタンスタイプは、保管中のデータの暗号化をサポートしていません。詳細については、「Amazon OpenSearch Service でサポートされているインスタンスタイプ」を参照してください。

  • 保管中のデータを暗号化するドメインでは、自動スナップショット用に別のリポジトリ名を使用します。詳細については、「スナップショットの復元」を参照してください。

  • 保管時の暗号化を有効にすることを強くお勧めしますが、オーバーCPUヘッドが増え、数ミリ秒のレイテンシーが発生する可能性があります。ただし、ほとんどのユースケースはこれらの違いに敏感ではなく、影響の大きさは、クラスター、クライアント、および使用プロファイルの構成によって異なります。