Amazon OpenSearch Service における保管時のデータの暗号化 - Amazon OpenSearch Service (Amazon Elasticsearch Service の後継サービス)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon OpenSearch Service における保管時のデータの暗号化

OpenSearch Service ドメインでは、保管時のデータの暗号化という、データへの不正アクセスを防止するのに役立つセキュリティ機能が提供されます。この機能は、AWS Key Management Service (AWS KMS) を使用して暗号化キーを保存および管理し、256 ビットキーを使用した Advanced Encryption Standard アルゴリズム (AES-256) を使用して暗号化を実行します。有効にすると、この機能によりドメインの次の要素が暗号化されます。

  • すべてのインデックス(UltraWarmストレージのものを含む)

  • OpenSearch log

  • スワップファイル

  • アプリケーションディレクトリのその他すべてのデータ

  • 自動スナップショット

以下は、保管時のデータの暗号化を有効にするときに暗号化されませんが、追加のステップを行って保護することができます。

  • 手動スナップショット: 現在使用することはできませんAWS KMSキーを使用して、手動スナップショットを暗号化します。ただし、S3 で管理されたキーまたは KMS キーによるサーバー側の暗号化を使用して、スナップショットリポジトリとして使用するバケットを暗号化できます。手順については、「手動スナップショットリポジトリの登録」を参照してください。

  • 遅いログとエラーログ:後でへのログの発行暗号化する必要がある場合、同じ CloudWatch Logs ロググループを暗号化できます。AWS KMSキーを OpenSearch サービスドメインとして使用します。詳しくは、Amazon CloudWatch Logs ユーザーガイドAWS KMS を使用して CloudWatch Logs のログデータを暗号化するを参照してください。

OpenSearch Service では、対称な KMS キーのみがサポートされています。非対称なキーはサポートしていません。対称キーを作成する方法については、「」を参照してください。キーの作成AWS Key Management Serviceデベロッパーガイド

保存時の暗号化が有効になっているかどうかにかかわらず、すべてのドメインが自動的に暗号化されますカスタムパッケージAES-256 および OpenSearch サービスによって管理されるキーを使用します。

保管時のデータの暗号化を有効にする

新しいドメインで保管されているデータの暗号化には OpenSearch または Elasticsearch 5.1 以降が必要です。既存のドメインで有効にするには、OpenSearch または Elasticsearch 6.7 以降が必要です。既存のドメインをAWSコンソール、アクション, および暗号化の変更

OpenSearch Service コンソールを使用して保存データの暗号化を設定するには、AWS KMS(ID ベースのポリシーなど)。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:List*", "kms:Describe*" ], "Resource": "*" } ] }

キーを使用したい場合AWS所有キーを使用する場合は、作成するための権限も必要です。許可キーのために。通常、これらのアクセス許可は、キーの作成時に指定するリソースベースのポリシーの形式になります。

OpenSearch Service 専用キーを使用する場合は、キーにkms:ViaService条件をキーポリシーに追加します。

"Condition": { "StringEquals": { "kms:ViaService": "es.us-west-1.amazonaws.com" }, "Bool": { "kms:GrantIsForAWSResource": "true" } }

詳細については、「」を参照してください。でのキーポリシーの使用AWSKMSAWS Key Management Serviceデベロッパーガイド

警告

ドメインの暗号化に使用したキーを削除すると、そのドメインにアクセスできなくなります。OpenSearch Service チームはデータを復元することはできません。AWS KMSでキーが削除されるのは 7 日以上の待機期間が経過した後に限られるため、OpenSearch Service チームはドメインにそのリスクがあることを検出した場合はその旨を連絡する場合があります。

保管時のデータの暗号化を無効にする

保管時のデータを暗号化するようにドメインを設定した後、設定を無効にすることはできません。代わりに、既存のドメインの手動スナップショットを作成し、別のドメインを作成してからデータを移行して、古いドメインを削除することができます。

保管時のデータを暗号化するドメインの監視

保管時のデータを暗号化するドメインには、KMSKeyErrorKMSKeyInaccessible の 2 つの追加のメトリクスがあります。これらのメトリクスは、ドメインの暗号化キーに問題が発生した場合にのみ表示されます。これらのメトリクスの詳細については、「クラスターメトリクス」を参照してください。OpenSearch Service コンソールまたは Amazon CloudWatch コンソールのいずれかを使用して表示できます。

ヒント

各メトリクスは、ドメインの重大な問題を表しているため、両方の CloudWatch アラームを作成することをお勧めします。詳細については、「Amazon OpenSearch Service 用の推奨CloudWatch アラーム」を参照してください。

その他の考慮事項

  • 自動キー回転では、AWS KMSキーを使用して保存されます。そのため、ローテーションは OpenSearch データにアクセスできる能力には影響しません。暗号化された OpenSearch Service ドメインは、新しいキーの作成と古いキーのすべてのレファレンスの更新を含むキーローテーションをサポートしません。詳細については、次を参照してください。キーローテーションAWS Key Management Serviceデベロッパーガイド

  • 特定のインスタンスタイプは、保管時のデータの暗号化をサポートしていません。詳細については、「」を参照してくださいAmazon OpenSearch サービスでサポートされるインスタンスタイプ

  • 保管時のデータを暗号化するドメインでは、自動スナップショット用に別のリポジトリ名を使用します。詳細については、「スナップショットの復元」を参照してください。

  • OpenSearch サービスのドメインを暗号化するには、grantがあり、各暗号化キーには制限元本あたり500助成金の。この制限は、単一のキーを使用して暗号化できる OpenSearch Service ドメインの最大数が 500 個であることを意味します。現在、OpenSearch Service でサポートされているドメインは (リージョンごとに) アカウントあたり最大 100 個であるため、権限に関するこの制限による影響はありません。アカウントごとのドメイン数の制限が引き上げられると、権限に関する制限による影響が生じる可能性があります。

    現時点で 500 個を超えるドメインを暗号化する必要がある場合は、追加のキーを作成してください。キーはグローバルではなくリージョン単位であるため、複数の AWS リージョンで運用している場合は、現在でも複数のキーが必要です。