Amazon OpenSearch 서버리스의 보안 개요 - 아마존 OpenSearch 서비스
암호화 정책네트워크 정책데이터 액세스 정책IAM 및 SAML 인증인프라 보안

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon OpenSearch 서버리스의 보안 개요

Amazon OpenSearch Serverless의 보안은 다음과 같은 점에서 Amazon OpenSearch Service의 보안과 근본적으로 다릅니다.

기능 OpenSearch 서비스 OpenSearch 서버리스
데이터 액세스 제어 데이터 액세스는 IAM 정책 및 세분화된 액세스 제어에 의해 결정됩니다. 데이터 액세스는 데이터 액세스 정책에 따라 결정됩니다.
저장된 데이터 암호화 저장된 암호화는 도메인에 대한 선택 사항입니다. 저장된 암호화는 컬렉션에 필수입니다.
보안 설정 및 관리 각 도메인에 대해 네트워크, 암호화, 데이터 액세스를 개별적으로 구성해야 합니다. 보안 정책을 사용하여 여러 컬렉션의 보안 설정을 대규모로 관리할 수 있습니다.

다음 다이어그램은 기능 컬렉션을 구성하는 보안 구성 요소를 보여줍니다. 컬렉션에는 할당된 암호화 키, 네트워크 액세스 설정, 해당 리소스에 권한을 부여하는 일치하는 데이터 액세스 정책이 있어야 합니다.

Diagram showing encryption, network, data access, and authentication policies for a collection.
주제

암호화 정책

암호화 정책은 컬렉션을 암호화할지 아니면 고객 관리 키로 암호화할지를 정의합니다. AWS 소유 키 암호화 정책은 리소스 패턴암호화 키라는 두 가지 구성 요소로 구성됩니다. 리소스 패턴은 정책이 적용되는 컬렉션을 정의합니다. 암호화 키는 관련 컬렉션을 보호하는 방법을 결정합니다.

정책을 여러 컬렉션에 적용하려면 정책 규칙에 와일드카드(*)를 포함해야 합니다. 예를 들어 다음 정책은 이름이 “log”로 시작하는 모든 컬렉션에 적용됩니다.

Input field for specifying a prefix term or collection name, with "logs*" entered.

암호화 정책은 특히 프로그래밍 방식으로 컬렉션을 생성하고 관리하는 프로세스를 간소화합니다. 이름을 지정하기만 하면 컬렉션을 생성할 수 있으며 생성 시 암호화 키가 자동으로 할당됩니다.

네트워크 정책

네트워크 정책은 컬렉션에 비공개로 액세스할 수 있는지 아니면 공용 네트워크에서 인터넷을 통해 액세스할 수 있는지를 정의합니다. 프라이빗 컬렉션은 OpenSearch 서버리스 관리형 VPC 엔드포인트를 통해 액세스하거나, 프라이빗 액세스를 사용하여 Amazon Bedrock과 AWS 서비스 같은 특정 엔드포인트를 통해 액세스할 수 있습니다.AWS 서비스 암호화 정책과 마찬가지로 네트워크 정책도 여러 컬렉션에 적용할 수 있으므로 여러 컬렉션에 대한 네트워크 액세스를 대규모로 관리할 수 있습니다.

네트워크 정책은 액세스 유형리소스 유형이라는 두 가지 구성 요소로 구성됩니다. 액세스 유형은 퍼블릭 또는 프라이빗일 수 있습니다. 리소스 유형에 따라 선택한 액세스가 컬렉션 엔드포인트, OpenSearch 대시보드 엔드포인트 또는 둘 다에 적용되는지 여부가 결정됩니다.

Access type and resource type options for configuring network policies in OpenSearch.

네트워크 정책 내에서 VPC 액세스를 구성하려는 경우 먼저 OpenSearch 서버리스 관리형 VPC 엔드포인트를 하나 이상 만들어야 합니다. 이러한 엔드포인트를 사용하면 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 연결을 사용하지 않고도 VPC에 있는 것처럼 OpenSearch 서버리스에 액세스할 수 있습니다. AWS Direct Connect

에 대한 비공개 액세스는 컬렉션의 엔드포인트에만 적용할 AWS 서비스 수 있으며 대시보드 OpenSearch 엔드포인트에는 적용할 수 없습니다. OpenSearch AWS 서비스 OpenSearch 대시보드에 대한 액세스 권한을 부여할 수 없습니다.

데이터 액세스 정책

데이터 액세스 정책은 사용자가 컬렉션 내 데이터에 액세스하는 방법을 정의합니다. 데이터 액세스 정책을 사용하면 특정 패턴과 일치하는 컬렉션 및 인덱스에 액세스 권한을 자동으로 할당하여 컬렉션을 대규모로 관리하는 데 도움이 됩니다. 단일 리소스에 여러 정책을 적용할 수 있습니다.

데이터 액세스 정책은 일련의 규칙으로 구성되며, 각 규칙에는 리소스 유형, 부여된 리소스, 권한 세트의 세 가지 구성 요소가 있습니다. 리소스 유형은 컬렉션 또는 인덱스일 수 있습니다. 부여된 리소스는 컬렉션/인덱스 이름 또는 와일드카드(*)가 있는 패턴일 수 있습니다. 권한 목록은 정책에서 액세스 권한을 부여하는 OpenSearch API 작업을 지정합니다. 또한 정책에는 액세스 권한을 부여할 IAM 역할, 사용자 및 SAML ID를 지정하는 보안 주체 목록이 포함되어 있습니다.

Selected principals and granted resources with permissions for collection and index access.

데이터 액세스 정책의 형식에 대한 자세한 내용은 정책 구문을 참조하세요.

데이터 액세스 정책을 생성하기 전에 정책에서 액세스를 제공할 하나 이상의 IAM 역할 또는 사용자나 SAML ID가 있어야 합니다. 자세한 내용은 다음 섹션을 참조하세요.

IAM 및 SAML 인증

IAM 보안 주체 및 SAML 자격 증명은 데이터 액세스 정책의 구성 요소 중 하나입니다. 액세스 정책의 principal 설명에 IAM 역할, 사용자 및 SAML ID를 포함할 수 있습니다. 그러면 해당 보안 주체에게 관련 정책 규칙에 지정한 권한이 부여됩니다.

[
   {
      "Rules":[
         {
            "ResourceType":"index",
            "Resource":[
               "index/marketing/orders*"
            ],
            "Permission":[
               "aoss:*"
            ]
         }
      ],
      "Principal":[
         "arn:aws:iam::123456789012:user/Dale",
         "arn:aws:iam::123456789012:role/RegulatoryCompliance",
         "saml/123456789012/myprovider/user/Annie"
      ]
   }
]

OpenSearch 서버리스 내에서 직접 SAML 인증을 구성합니다. 자세한 정보는 SAMLAmazon OpenSearch 서버리스에 대한 인증을 참조하세요.

인프라 보안

Amazon OpenSearch 서버리스는 AWS 글로벌 네트워크 보안으로 보호됩니다. AWS 보안 서비스 및 인프라 AWS 보호 방법에 대한 자세한 내용은 AWS 클라우드 보안을 참조하십시오. 인프라 보안 모범 사례를 사용하여 AWS 환경을 설계하려면 Security Pillar AWS Well‐Architected Framework의 인프라 보호를 참조하십시오.

AWS 게시된 API 호출을 사용하여 네트워크를 통해 Amazon OpenSearch 서버리스에 액세스할 수 있습니다. 클라이언트가 TLS(전송 계층 보안)를 지원해야 합니다. TLS 1.2는 필수이며 TLS 1.3을 권장합니다. TLS 1.3에 지원되는 암호 목록은 Elastic Load Balancing 설명서에서 TLS 프로토콜 및 암호를 참조하십시오.

또한 액세스 키 ID와 IAM 보안 주체와 연결된 비밀 액세스 키를 사용하여 요청에 서명해야 합니다. 또는 AWS Security Token Service(AWS STS)를 사용하여 임시 보안 인증 정보를 생성하여 요청에 서명할 수 있습니다.