Criptografia de dados em repouso do Amazon Elasticsearch Service - Amazon Elasticsearch Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografia de dados em repouso do Amazon Elasticsearch Service

Os domínios do Amazon ES oferecem criptografia de dados em repouso, um recurso de segurança que ajuda a impedir o acesso não autorizado aos seus dados. O recurso usa o AWS Key Management Service (AWS KMS) para armazenar e gerenciar suas chaves de criptografia e o algoritmo Advanced Encryption Standard com chaves de 256 bits (AES-256) para executar a criptografia. Se habilitado, o recurso criptografa os seguintes aspectos de um domínio:

  • Índices

  • Logs do Elasticsearch

  • Arquivos de troca

  • Todos os outros dados no diretório do aplicativo

  • Snapshots automatizados

Os seguintes itens não são criptografados quando você ativa a criptografia de dados em repouso, mas você pode executar etapas adicionais para protegê-los:

O Amazon ES oferece suporte somente a chaves mestras do cliente simétricas, e não às assimétricas. Para saber como criar chaves mestras do cliente simétricas, consulte Criar de chaves no AWS Key Management Service Developer Guide.

Independentemente de a criptografia em repouso estar habilitada, todos os domínios criptografam pacotes personalizados automaticamente usando AES-256 e chaves gerenciadas pelo Amazon ES.

Ativação da criptografia de dados em repouso

Não é possível habilitar a criptografia em repouso em domínios existentes, somente em novos. A criptografia de dados em repouso requer o Elasticsearch 5.1 ou posterior.

Para usar o console do Amazon ES para criar um domínio que criptografa dados em repouso, você deve ter permissões de leitura para o AWS KMS, como a seguinte política baseada em identidade:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:List*", "kms:Describe*" ], "Resource": "*" } ] }

Se quiser usar uma chave mestra diferente de (Default) aws/es ((Padrão) aws/es), você também deverá ter permissões para criar concessões para a chave. Essas permissões normalmente assumem a forma de uma política baseada em recursos que você especifica ao criar a chave.

Se quiser manter sua chave exclusiva no Amazon ES, você poderá adicionar a condição kms:ViaService a essa política de chaves:

"Condition": { "StringEquals": { "kms:ViaService": "es.us-west-1.amazonaws.com" }, "Bool": { "kms:GrantIsForAWSResource": "true" } }

Para obter mais informações, consulte Como usar políticas de chave no AWS KMS no AWS Key Management Service Developer Guide.

Atenção

Se você excluir a chave usada para criptografar um domínio, o domínio ficará inacessível. A equipe do Amazon ES não pode ajudá-lo a recuperar seus dados. O AWS KMS exclui as chaves mestras apenas depois de um período de espera de pelo menos sete dias, para que a equipe do Amazon ES possa entrar em contato com você se detectar que o seu domínio está correndo risco.

Desativação da criptografia de dados em repouso

Depois de configurar um domínio para criptografar dados em repouso, você não pode desativar a configuração. Em vez disso, você pode tirar um snapshot manual do domínio existente, criar outro domínio, migrar seus dados e excluir o domínio anterior.

Monitoramento de domínios que criptografam dados em repouso

Domínios que criptografam dados em repouso têm duas métricas adicionais: KMSKeyError e KMSKeyInaccessible. Essas métricas serão exibidas somente se o domínio encontrar um problema com sua chave de criptografia. Para obter descrições completas dessas métricas, consulte Métricas de cluster. Você pode visualizá-las usando o console do Amazon ES ou o console do Amazon CloudWatch.

dica

Cada métrica representa um problema significativo de um domínio, portanto, recomendamos criar alarmes do CloudWatch para ambas. Para obter mais informações, consulte Alarmes do CloudWatch recomendados.

Outras considerações

  • A mudança de chaves automática preserva as propriedades de suas chaves mestras do AWS KMS e, portanto, a rotação não afeta sua capacidade de acessar os dados do Elasticsearch. Os domínios criptografados do Amazon ES não oferecem suporte à mudança de chaves manual, que envolve a criação de uma nova chave mestra e a atualização das referências à chave antiga. Para saber mais, consulte Como mudar chaves mestre de cliente no AWS Key Management Service Developer Guide.

  • Certos tipos de instâncias não oferecem suporte à criptografia de dados em repouso. Para obter mais detalhes, consulte Tipos de instâncias do compatíveis.

  • Domínios que criptografam dados em repouso usam outro nome de repositório para seus snapshots automatizados. Para obter mais informações, consulte Restauração de snapshots.

  • A criptografia de um domínio do Amazon ES exige uma concessão, e cada chave de criptografia tem um limite de 500 concessões por principal. Esse limite significa que o número máximo de domínios do Amazon ES que podem ser criptografados usando uma única chave é 500. Atualmente, o Amazon ES oferece suporte a, no máximo, 100 domínios por conta (por região), portanto, esse limite de concessões não tem importância. No entanto, se o limite de domínios por conta aumentar, o limite de concessões poderá se tornar relevante.

    Se, nesse momento, se for necessário criptografar mais de 500 domínios, será possível criar chaves adicionais. As chaves são regionais, não globais, portanto, se você opera em mais de uma região da AWS, já precisa de várias chaves.