고객 관리형 키를 사용하여 OpenSearch UI 애플리케이션 메타데이터 암호화

시각적 자산 및 구성은 OpenSearch UI 애플리케이션의 메타데이터로 저장됩니다. 여기에는 저장된 쿼리, 시각화 및 대시보드가 포함됩니다. 연결된 데이터 소스의 데이터는 메타데이터에 저장되지 않습니다. 데이터 소스의 데이터 암호화에 대한 자세한 내용은 Amazon OpenSearch Service for OpenSearch 도메인의 데이터 보호 및 Amazon OpenSearch Serverless for 서버리스 컬렉션의 암호화를 참조하세요. OpenSearch

OpenSearch UI 메타데이터는 저장 시 암호화로 보호됩니다. 이렇게 하면 무단 액세스가 방지됩니다. 암호화는 AWS Key Management Service (AWS KMS)를 사용하여 암호화 키를 저장하고 관리합니다. 기본적으로 OpenSearch UI 메타데이터는 AWS 소유 키로 암호화됩니다.

고객 관리형 키(CMK) 기능을 사용하여 자체 암호화 키를 관리할 수도 있습니다. 이를 통해 규제 및 규정 준수 요구 사항을 충족할 수 있습니다. CMK를 사용하려면 새 OpenSearch UI 애플리케이션을 생성하고 생성 프로세스에서 CMK를 활성화해야 합니다. 현재 기존 OpenSearch UI 애플리케이션을 AWS 소유 키에서 CMK로 업데이트하는 것은 지원되지 않습니다.

고객 관리형 키를 사용해야 하는 경우:

• 조직에 키 관리에 대한 규정 준수 요구 사항이 있음

• 암호화 키 사용에 대한 감사 추적이 필요합니다.

• 키 교체 일정을 제어하려는 경우

• 기존 키 관리 워크플로와 통합해야 함

고객 관리형 키를 사용하면 키를 완전히 제어할 수 있습니다. 여기에는 다음과 같은 기능이 포함됩니다.

• 키 정책 수립 및 관리

• IAM 정책 및 권한 부여 수립 및 관리

• 키 활성화 및 비활성화

• 키의 암호화 구성 요소 교체

• 키에 태그 추가

• 키 별칭 생성

• 키 삭제 예약

참고

고객 관리형 키는 OpenSearch UI 애플리케이션 AWS 리전 과 동일한에 있어야 합니다. 다른 리전의 키는 사용할 수 없습니다.

고객 관리형 키를 사용하기 위한 사전 조건

고객 관리형 키를 사용하여 OpenSearch UI 애플리케이션 메타데이터를 암호화하려면 먼저에서 대칭 암호화 키를 생성해야 합니다 AWS KMS. 키 생성에 대한 지침은 AWS KMS 개발자 안내서의 키 생성을 참조하세요.

고객 관리형 키의 키 정책은 키를 사용할 수 있는 OpenSearch UI 권한을 부여해야 합니다. 다음 키 정책을 사용하여 자리 표시자 값을 자신의 정보로 바꿉니다.

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowOpenSearchUIToUseKey",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "application.opensearchservice.amazonaws.com"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowKeyAdministration",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        }
    ]
}

이 정책에는 두 가지 문이 포함됩니다.

• 첫 번째 문은 OpenSearch UI가 암호화 작업에 키를 사용하도록 허용합니다.

• 두 번째 문은의 사용자가 키를 관리할 AWS 계정 수 있도록 허용합니다. 여기에는 키 정책을 업데이트하고, 키를 활성화 또는 비활성화하고, 키 삭제를 예약할 수 있는 권한이 포함됩니다. 루트 보안 주체를 특정 IAM 사용자 또는 역할로 대체하여 이러한 권한을 추가로 제한할 수 있습니다.

키 정책에 대한 자세한 내용은 AWS KMS 개발자 안내서의 에서 키 정책 사용을 AWS KMS 참조하세요.

콘솔을 사용하여 고객 관리형 키 암호화로 애플리케이션 생성

콘솔에서 OpenSearch UI 애플리케이션을 생성할 때 애플리케이션의 메타데이터를 암호화하기 위한 고객 관리형 키를 지정할 수 있습니다.

콘솔을 사용하여 고객 관리형 키 암호화로 OpenSearch UI 애플리케이션을 생성하려면

1. https://console.aws.amazon.com/aos/home Amazon OpenSearch Service 콘솔에 로그인합니다.

2. 왼쪽 탐색 창에서 OpenSearch UI(Dashboards)를 선택합니다.

3. 애플리케이션 생성을 선택합니다.

4. 애플리케이션 이름에 애플리케이션의 이름을 입력합니다.

5. 필요에 따라 인증 및 관리자 설정을 구성합니다. 자세한 내용은 Amazon OpenSearch Service에서 OpenSearch 사용자 인터페이스 시작하기 단원을 참조하십시오.

6. 암호화 섹션의 저장 시 암호화에서 고객 관리형 키 사용을 선택합니다.

7. 목록에서 기존 고객 관리형 키를 선택하거나 키 생성을 선택하여 새 키를 생성합니다 AWS KMS.

   참고

   키는 생성 중인 애플리케이션 AWS 리전 과 동일한에 있어야 합니다.

8. (선택 사항) 애플리케이션에 태그를 추가합니다.

9. 생성(Create)을 선택합니다.

를 사용하여 고객 관리형 키 암호화로 애플리케이션 생성 AWS CLI

를 사용하여 고객 관리형 키 암호화로 OpenSearch UI 애플리케이션을 생성하려면 --kms-key-arn 파라미터와 함께 create-application 명령을 AWS CLI사용합니다.

자리 표시자를 자신의 정보로 바꿉니다.

aws opensearch create-application \
    --name my-application \
    --kms-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012

--kms-key-arn 파라미터를 지정하지 않으면 OpenSearch는 AWS관리형 키를 사용하여 애플리케이션의 메타데이터를 암호화합니다.

고객 관리형 키 사용 모니터링

OpenSearch UI 애플리케이션에서 고객 관리형 키를 사용하는 경우는 키를 사용할 때마다 AWS CloudTrail 로그에 AWS KMS 기록합니다. 이러한 로그를 사용하여 키 사용 방식과 시기를 모니터링할 수 있습니다. 로그에는 키에 액세스한 사용자 또는 서비스가 표시됩니다.

AWS AWS KMS 는 매년 고객 관리형 키를 자동으로 교체합니다. 필요에 따라 키를 수동으로 교체할 수도 있습니다. 키 교체에 대한 자세한 내용은 AWS KMS 개발자 안내서의 KMS 키 교체를 참조하세요.

키 사용량 모니터링에 대한 자세한 내용은 AWS KMS 개발자 안내서의 를 사용하여 AWS KMS API 호출 로깅 AWS CloudTrail을 참조하세요.

참고

고객 관리형 키를 사용하면 AWS KMS 요금이 발생합니다. 요금은 저장된 API 요청 및 키 수를 기준으로 합니다. 요금 세부 정보는 AWS Key Management Service 요금을 참조하세요.

암호화 설정 업데이트

OpenSearch UI 애플리케이션을 생성한 후에는 암호화 설정을 변경할 수 없습니다. 다른 고객 관리형 키를 사용해야 하는 경우 새 애플리케이션을 생성해야 합니다. 관리 AWS형 키와 고객 관리형 키 간에 전환해야 하는 경우 원하는 암호화 설정으로 새 애플리케이션도 생성해야 합니다.

중요

고객 관리형 키를 비활성화하거나 삭제하기 전에 다음 사항을 고려하세요.

• 키를 비활성화하면 애플리케이션이 암호화된 메타데이터에 액세스할 수 없게 됩니다. 액세스를 복원하려면 동일한 키를 다시 활성화해야 합니다.

• 키를 삭제하면 애플리케이션의 저장된 객체에 영구적으로 액세스할 수 없게 됩니다. 여기에는 쿼리, 시각화 및 대시보드가 포함됩니다. 삭제된 키는 복구할 수 없습니다.

• 키 상태를 변경하기 전에 키 ARN을 문서화하는 것이 좋습니다.

다음 단계

애플리케이션에 대한 CMK 암호화를 구성한 후 다음을 수행할 수 있습니다.

• 데이터 소스를 애플리케이션과 연결합니다. 자세한 내용은 데이터 소스 연결 및 가상 프라이빗 클라우드 액세스 권한 관리 단원을 참조하십시오.

• 팀을 위한 워크스페이스를 생성합니다. 자세한 내용은 Amazon OpenSearch Service 워크스페이스 사용 단원을 참조하십시오.

• 키 사용에 대한 AWS CloudTrail 모니터링을 설정합니다. 자세한 내용은 고객 관리형 키 사용 모니터링 단원을 참조하십시오.