Criptografia de dados em repouso para o Amazon OpenSearch Service - OpenSearch Serviço Amazon

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografia de dados em repouso para o Amazon OpenSearch Service

OpenSearch Os domínios de serviço oferecem criptografia de dados em repouso, um recurso de segurança que ajuda a impedir o acesso não autorizado aos seus dados. O recurso usa o AWS Key Management Service (AWS KMS) para armazenar e gerenciar suas chaves de criptografia e o algoritmo Advanced Encryption Standard com chaves de 256 bits (AES-256) para executar a criptografia. Se habilitado, o recurso criptografa os seguintes aspectos de um domínio:

  • Todos os índices (incluindo aqueles em UltraWarm armazenamento)

  • OpenSearch troncos

  • Arquivos de troca

  • Todos os outros dados no diretório da aplicação

  • Snapshots automatizados

Os seguintes itens não são criptografados quando você ativa a criptografia de dados em repouso, mas você pode executar etapas adicionais para protegê-los:

  • Snapshots manuais: no momento, não é possível usar chaves do AWS KMS para criptografar snapshots manuais. No entanto, você pode usar a criptografia no lado do servidor com chaves gerenciadas pelo S3 ou chaves do KMS para criptografar o bucket que você usa como repositório de snapshots. Para obter instruções, consulte Registro de um repositório de snapshots manuais.

  • Registros lentos e registros de erros: se você publicar registros e quiser criptografá-los, poderá criptografar o grupo de CloudWatch registros de registros usando a mesma AWS KMS chave do domínio de OpenSearch serviço. Para obter mais informações, consulte Criptografar dados de log em CloudWatch registros usando AWS KMS o Guia do usuário do Amazon CloudWatch Logs.

nota

Você não pode habilitar a criptografia em repouso em um domínio existente se UltraWarm o armazenamento a frio estiver habilitado no domínio. Primeiro, você deve desativar UltraWarm ou desativar o armazenamento a frio, ativar a criptografia em repouso e, em seguida, reativá-lo UltraWarm ou reativá-lo. Se você quiser manter os índices em UltraWarm um armazenamento refrigerado, você deve movê-los para o armazenamento a quente antes de desativá-los UltraWarm ou armazená-los a frio.

OpenSearch O serviço suporta somente chaves KMS de criptografia simétrica, não chaves assimétricas. Para aprender a criar chaves simétricas, consulte Criação de chaves no Guia do desenvolvedor do AWS Key Management Service.

Independentemente de a criptografia em repouso estar ativada, todos os domínios criptografam automaticamente pacotes personalizados usando AES-256 e chaves gerenciadas por serviços. OpenSearch

Permissões

Para usar o console OpenSearch de serviço para configurar a criptografia de dados em repouso, você deve ter permissões de leituraAWS KMS, como a seguinte política baseada em identidade:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:List*", "kms:Describe*" ], "Resource": "*" } ] }

Se você quiser usar uma chave diferente da chave pertencente à AWS, também deverá ter permissões para criar concessões para a chave. Essas permissões normalmente assumem a forma de uma política baseada em recursos que você especifica ao criar a chave.

Se você quiser manter sua chave exclusiva para o OpenSearch Serviço, você pode adicionar a ViaService condição kms: a essa política de chaves:

"Condition": { "StringEquals": { "kms:ViaService": "es.us-west-1.amazonaws.com" }, "Bool": { "kms:GrantIsForAWSResource": "true" } }

Para obter mais informações, consulte Como usar políticas de chaves no AWS KMS no Guia do desenvolvedor do AWS Key Management Service.

Ativação da criptografia de dados em repouso

A criptografia de dados em repouso em novos domínios requer o Elasticsearch 5.1 OpenSearch ou posterior. Habilitá-lo em domínios existentes requer o Elasticsearch 6.7 OpenSearch ou posterior.

Para habilitar a criptografia de dados em repouso (console)
  1. Abra o domínio existente no console da AWS, em seguida escolha Ações e Editar configuração de segurança.

  2. Em Criptografia, selecione Habilitar criptografia de dados em repouso.

  3. Escolha uma chave do AWS KMS para usar, em seguida escolha Salvar alterações.

Também é possível habilitar a criptografia por meio da API de configuração. A solicitação a seguir permite a criptografia de dados em repouso em um domínio existente:

{ "ClusterConfig":{ "EncryptionAtRestOptions":{ "Enabled": true, "KmsKeyId":"arn:aws:kms:us-east-1:123456789012:alias/my-key" } } }

A chave do KMS foi desabilitada ou excluída

Se você desabilitar ou excluir a chave usada para criptografar um domínio, o domínio ficará inacessível. OpenSearch O serviço envia uma notificação informando que não consegue acessar a chave KMS. Habilite novamente a chave imediatamente para acessar o seu domínio.

A equipe OpenSearch de serviço não poderá ajudá-lo a recuperar seus dados se sua chave for excluída. AWS KMSexclui as chaves somente após um período de espera de pelo menos sete dias. Se a exclusão da sua chave estiver pendente, cancele-a ou tire um snapshot manual do domínio para evitar a perda de dados.

Desativação da criptografia de dados em repouso

Depois de configurar um domínio para criptografar dados em repouso, você não pode desativar a configuração. Em vez disso, você pode tirar um snapshot manual do domínio existente, criar outro domínio, migrar seus dados e excluir o domínio anterior.

Monitoramento de domínios que criptografam dados em repouso

Domínios que criptografam dados em repouso têm duas métricas adicionais: KMSKeyError e KMSKeyInaccessible. Essas métricas serão exibidas somente se o domínio encontrar um problema com sua chave de criptografia. Para obter descrições completas dessas métricas, consulte Métricas de cluster. Você pode visualizá-los usando o console do OpenSearch Service ou o CloudWatch console da Amazon.

dica

Cada métrica representa um problema significativo para um domínio, por isso recomendamos que você crie CloudWatch alarmes para ambos. Para ter mais informações, consulte CloudWatch Alarmes recomendados para o Amazon Service OpenSearch .

Outras considerações

  • A rotação automática de chaves preserva as propriedades de suas AWS KMS chaves, portanto, a rotação não afeta sua capacidade de acessar seus OpenSearch dados. Os domínios OpenSearch de serviço criptografados não oferecem suporte à rotação manual de chaves, o que envolve a criação de uma nova chave e a atualização de qualquer referência à chave antiga. Para saber mais, consulte Rotação de chaves no Guia do desenvolvedor do AWS Key Management Service.

  • Certos tipos de instâncias não oferecem suporte à criptografia de dados em repouso. Para obter detalhes, consulte Tipos de instância compatíveis no Amazon OpenSearch Service.

  • Domínios que criptografam dados em repouso usam outro nome de repositório para seus snapshots automatizados. Para ter mais informações, consulte Restauração de snapshots.

  • Embora seja altamente recomendável habilitar a criptografia em repouso, esse recurso pode adicionar sobrecarga adicional à CPU e acrescentar alguns milissegundos de latência. Contudo, a maioria dos casos de uso não é afetada por essas diferenças, e a magnitude do impacto depende da configuração do cluster, dos clientes e do perfil de uso.