Pré-requisitos para usar chaves gerenciadas pelo cliente Criação de um aplicativo com criptografia de chave gerenciada pelo cliente usando o console Criação de um aplicativo com criptografia de chave gerenciada pelo cliente usando o AWS CLI Monitorando o uso da chave gerenciada pelo cliente Atualizando as configurações de criptografia

Criptografando metadados de aplicativos de OpenSearch interface de usuário com chaves gerenciadas pelo cliente

Os ativos visuais e as configurações são armazenados como metadados para seus aplicativos de OpenSearch interface do usuário. Isso inclui consultas, visualizações e painéis salvos. Os dados das fontes de dados associadas não são armazenados nos metadados. Para obter informações sobre criptografia de dados em suas fontes de dados, consulte Proteção de dados no Amazon OpenSearch Service para OpenSearch domínios e Criptografia no Amazon OpenSearch Serverless para coleções sem servidor.

Seus metadados de OpenSearch interface do usuário são protegidos com criptografia em repouso. Isso impede o acesso não autorizado. A criptografia usa AWS Key Management Service (AWS KMS) para armazenar e gerenciar as chaves de criptografia. Por padrão, os metadados da OpenSearch interface do usuário são criptografados com chaves AWS próprias.

Você também pode usar o recurso de chave gerenciada pelo cliente (CMK) para gerenciar suas próprias chaves de criptografia. Isso ajuda você a atender aos requisitos regulatórios e de conformidade. Para usar a CMK, você deve criar um novo aplicativo de OpenSearch interface de usuário e habilitar a CMK no processo de criação. No momento, não há suporte para atualizar um aplicativo de OpenSearch interface de usuário existente da chave AWS própria para a CMK.

Quando usar as chaves gerenciadas pelo cliente:

Sua organização tem requisitos de conformidade regulatória para o gerenciamento de chaves
Você precisa de trilhas de auditoria para o uso da chave de criptografia
Você deseja controlar os principais horários de rotação
Você precisa se integrar aos fluxos de trabalho de gerenciamento de chaves existentes

Ao usar uma chave gerenciada pelo cliente, você tem controle total sobre a chave. Isso inclui a capacidade de:

Estabelecer e manter as políticas de chaves
Estabelecer e manter políticas e concessões do IAM
Ativar e desativar a chave
Gire o material criptográfico da chave
Adicione tags à chave
Criar aliases de chaves
Programe a chave para exclusão

nota

A chave gerenciada pelo cliente deve estar na Região da AWS mesma do aplicativo de OpenSearch interface do usuário. Você não pode usar uma chave de uma região diferente.

Tópicos

Pré-requisitos para usar chaves gerenciadas pelo cliente
Criação de um aplicativo com criptografia de chave gerenciada pelo cliente usando o console
Criação de um aplicativo com criptografia de chave gerenciada pelo cliente usando o AWS CLI
Monitorando o uso da chave gerenciada pelo cliente
Atualizando as configurações de criptografia

Pré-requisitos para usar chaves gerenciadas pelo cliente

Antes de usar uma chave gerenciada pelo cliente para criptografar os metadados do seu aplicativo de OpenSearch interface de usuário, você deve criar uma chave de criptografia simétrica em. AWS KMS Para obter instruções sobre como criar chaves, consulte Criação de chaves no Guia do AWS KMS desenvolvedor.

A política de chaves da sua chave gerenciada pelo cliente deve conceder permissão à OpenSearch interface do usuário para usar a chave. Use a política principal a seguir, placeholder values substituindo-a por suas próprias informações:


{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowOpenSearchUIToUseKey",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "application.opensearchservice.amazonaws.com"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowKeyAdministration",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        }
    ]
}

A política inclui duas instruções:

A primeira instrução permite que a OpenSearch UI use a chave para operações de criptografia.
A segunda instrução permite que os usuários administrem a chave. Conta da AWS Isso inclui permissões para atualizar a política de chaves, ativar ou desativar a chave e programar a exclusão da chave. Você pode restringir ainda mais essas permissões substituindo o principal raiz por usuários ou funções específicas do IAM.

Para obter mais informações sobre políticas de chaves, consulte Como usar políticas de chaves AWS KMS no Guia do AWS KMS desenvolvedor.

Criação de um aplicativo com criptografia de chave gerenciada pelo cliente usando o console

Ao criar um aplicativo de OpenSearch interface de usuário no console, você pode especificar uma chave gerenciada pelo cliente para criptografar os metadados do aplicativo.

Para criar um aplicativo de OpenSearch interface de usuário com criptografia de chave gerenciada pelo cliente usando o console

Faça login no console do Amazon OpenSearch Service em https://console.aws.amazon.com/aos/casa.
No painel de navegação esquerdo, escolha OpenSearch UI (painéis).
Selecione Criar aplicativo.
Em Nome da aplicação, insira um nome para a aplicação.
Defina as configurações de autenticação e administrador conforme necessário. Para obter mais informações, consulte Introdução à interface do OpenSearch usuário no Amazon OpenSearch Service.
Na seção Criptografia, em Criptografia em repouso, escolha Usar chave gerenciada pelo cliente.
Selecione uma chave gerenciada pelo cliente existente na lista ou escolha Criar uma chave para criar uma nova chave AWS KMS.

nota
A chave deve estar na Região da AWS mesma do aplicativo que você está criando.
(Opcional) Adicione tags ao aplicativo.
Escolha Criar.

Criação de um aplicativo com criptografia de chave gerenciada pelo cliente usando o AWS CLI

Para criar um aplicativo de OpenSearch interface de usuário com criptografia de chave gerenciada pelo cliente usando o AWS CLI, use o comando create-application com o parâmetro. --kms-key-arn

Substitua placeholder values por suas próprias informações.


aws opensearch create-application \
    --name my-application \
    --kms-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012

Se você não especificar o --kms-key-arn parâmetro, OpenSearch usa uma chave AWS gerenciada para criptografar os metadados do aplicativo.

Monitorando o uso da chave gerenciada pelo cliente

Quando você usa uma chave gerenciada pelo cliente com um aplicativo de OpenSearch interface de usuário, AWS KMS registra cada uso da chave nos AWS CloudTrail registros. Você pode usar esses registros para monitorar como e quando sua chave é usada. Os registros mostram qual usuário ou serviço acessou a chave.

AWS AWS KMS gira automaticamente as chaves gerenciadas pelo cliente todos os anos. Você também pode girar manualmente as teclas conforme necessário. Para obter mais informações sobre rotação de chaves, consulte Como girar chaves KMS no Guia do AWS KMS desenvolvedor.

Para obter mais informações sobre como monitorar o uso de chaves, consulte Registrar chamadas de AWS KMS API AWS CloudTrail no Guia do AWS KMS desenvolvedor.

nota

O uso de chaves gerenciadas pelo cliente gera AWS KMS cobranças. As cobranças são baseadas no número de solicitações de API e chaves armazenadas. Para obter detalhes sobre preços, consulte Preços do serviço de gerenciamento de AWS chaves.

Atualizando as configurações de criptografia

Depois de criar um aplicativo de OpenSearch interface de usuário, você não pode alterar suas configurações de criptografia. Se você precisar usar uma chave gerenciada pelo cliente diferente, deverá criar um novo aplicativo. Se precisar alternar entre chaves AWS gerenciadas e gerenciadas pelo cliente, você também deverá criar um novo aplicativo com as configurações de criptografia desejadas.

Importante

Antes de desativar ou excluir uma chave gerenciada pelo cliente, considere o seguinte:

Se você desativar a chave, o aplicativo perderá o acesso aos metadados criptografados. Você deve reativar a mesma chave para restaurar o acesso.
Se você excluir a chave, os objetos salvos do aplicativo ficarão permanentemente inacessíveis. Isso inclui consultas, visualizações e painéis. As chaves excluídas não podem ser recuperadas.
Recomendamos documentar o ARN da chave antes de fazer qualquer alteração no status da chave.

Próximas etapas

Depois de configurar a criptografia CMK para seu aplicativo, você pode:

Associe fontes de dados ao seu aplicativo. Para obter mais informações, consulte Gerenciar associações de fontes de dados e permissões de acesso à nuvem privada virtual.
Crie espaços de trabalho para sua equipe. Para obter mais informações, consulte Usando espaços de trabalho OpenSearch do Amazon Service.
Configure o AWS CloudTrail monitoramento do uso da chave. Para obter mais informações, consulte Monitorando o uso da chave gerenciada pelo cliente.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Introdução

Habilitar federação SAML com o IAM