使用客戶受管金鑰加密 OpenSearch UI 應用程式中繼資料 - Amazon OpenSearch Service
使用客戶受管金鑰的先決條件使用 主控台建立具有客戶受管金鑰加密的應用程式使用 建立具有客戶受管金鑰加密的應用程式 AWS CLI監控客戶受管金鑰用量更新加密設定

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用客戶受管金鑰加密 OpenSearch UI 應用程式中繼資料

視覺化資產和組態會儲存為 OpenSearch UI 應用程式的中繼資料。這包括已儲存的查詢、視覺化和儀表板。來自相關聯資料來源的資料不會存放在中繼資料中。如需有關加密資料來源中資料的資訊,請參閱 Amazon OpenSearch Service for OpenSearch 網域中的資料保護Amazon OpenSearch Serverless 中的無伺服器集合中的加密。 OpenSearch

您的 OpenSearch UI 中繼資料受到靜態加密保護。這可防止未經授權的存取。加密會使用 AWS Key Management Service (AWS KMS) 來存放和管理加密金鑰。根據預設,OpenSearch UI 中繼資料會使用 AWS 擁有的金鑰加密。

您也可以使用客戶受管金鑰 (CMK) 功能來管理您自己的加密金鑰。這可協助您符合法規和合規要求。若要使用 CMK,您必須建立新的 OpenSearch UI 應用程式,並在建立程序中啟用 CMK。目前不支援將現有的 OpenSearch UI 應用程式從 AWS 擁有的金鑰更新為 CMK。

何時使用客戶受管金鑰:

  • 您的組織具有金鑰管理的法規合規要求

  • 您需要加密金鑰用量的稽核線索

  • 您想要控制金鑰輪換排程

  • 您需要與現有的金鑰管理工作流程整合

當您使用客戶受管金鑰時,您可以完全控制金鑰。這包括能夠:

  • 建立和維護金鑰政策

  • 建立和維護 IAM 政策和授予

  • 啟用和停用金鑰

  • 輪換金鑰的密碼編譯材料

  • 將標籤新增至金鑰

  • 建立金鑰別名

  • 排程要刪除的金鑰

注意

客戶受管金鑰必須與 OpenSearch UI 應用程式位於相同的 AWS 區域 中。您無法使用不同區域的金鑰。

使用客戶受管金鑰的先決條件

您必須先在其中建立對稱加密金鑰,才能使用客戶受管金鑰來加密 OpenSearch UI 應用程式中繼資料 AWS KMS。如需建立金鑰的指示,請參閱《 AWS KMS 開發人員指南》中的建立金鑰

客戶受管金鑰的金鑰政策必須授予 OpenSearch UI 許可才能使用金鑰。使用下列金鑰政策,將預留位置值取代為您自己的資訊:

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowOpenSearchUIToUseKey",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "application.opensearchservice.amazonaws.com"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowKeyAdministration",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        }
    ]
}

政策包含兩個陳述式:

  • 第一個陳述式允許 OpenSearch UI 使用 金鑰進行加密操作。

  • 第二個陳述式可讓 中的使用者 AWS 帳戶 管理金鑰。這包括更新金鑰政策、啟用或停用金鑰,以及排程刪除金鑰的許可。您可以將根主體取代為特定的 IAM 使用者或角色,以進一步限制這些許可。

如需金鑰政策的詳細資訊,請參閱《 AWS KMS 開發人員指南》中的在 中使用金鑰政策 AWS KMS

使用 主控台建立具有客戶受管金鑰加密的應用程式

在主控台中建立 OpenSearch UI 應用程式時,您可以指定客戶受管金鑰來加密應用程式的中繼資料。

使用主控台建立具有客戶受管金鑰加密的 OpenSearch UI 應用程式

  1. 登入 Amazon OpenSearch Service 主控台,網址為 https://https://console.aws.amazon.com/aos/home

  2. 在左側導覽窗格中,選擇 OpenSearch UI (儀表板)

  3. 選擇建立應用程式

  4. 應用程式名稱中,輸入應用程式的名稱。

  5. 視需要設定身分驗證和管理員設定。如需詳細資訊,請參閱Amazon OpenSearch Service 中的 OpenSearch 使用者介面入門

  6. 加密區段中,針對靜態加密,選擇使用客戶受管金鑰

  7. 從清單中選擇現有的客戶受管金鑰,或選擇建立金鑰以建立新的金鑰 AWS KMS。

    注意

    金鑰必須與您正在建立的應用程式位於相同的 AWS 區域 中。

  8. (選用) 將標籤新增至應用程式。

  9. 選擇建立

使用 建立具有客戶受管金鑰加密的應用程式 AWS CLI

若要使用 建立具有客戶受管金鑰加密的 OpenSearch UI 應用程式 AWS CLI,請使用 create-application 命令搭配 --kms-key-arn 參數。

使用您的資訊取代預留位置的值

aws opensearch create-application \
    --name my-application \
    --kms-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012

如果您未指定 --kms-key-arn 參數,OpenSearch 會使用 AWS受管金鑰來加密應用程式的中繼資料。

監控客戶受管金鑰用量

當您搭配 OpenSearch UI 應用程式使用客戶受管金鑰時, 會在 AWS CloudTrail 日誌中 AWS KMS 記錄金鑰的每次使用。您可以使用這些日誌來監控金鑰的使用方式和時間。日誌會顯示哪些使用者或服務存取了金鑰。

AWS AWS KMS 每年會自動輪換客戶受管金鑰。您也可以視需要手動輪換金鑰。如需金鑰輪換的詳細資訊,請參閱《 AWS KMS 開發人員指南》中的輪換 KMS 金鑰

如需監控金鑰用量的詳細資訊,請參閱《 AWS KMS 開發人員指南》中的使用 記錄 AWS KMS API 呼叫 AWS CloudTrail

注意

使用客戶受管金鑰會產生 AWS KMS 費用。費用是根據儲存的 API 請求和金鑰數量而定。如需定價詳細資訊,請參閱 AWS Key Management Service 定價

更新加密設定

建立 OpenSearch UI 應用程式後,您無法變更其加密設定。如果您需要使用不同的客戶受管金鑰,則必須建立新的應用程式。如果您需要在 AWS受管金鑰和客戶受管金鑰之間切換,您還必須使用所需的加密設定建立新的應用程式。

重要

在您停用或刪除客戶受管金鑰之前,請考慮下列事項:

  • 如果您停用金鑰,應用程式將無法存取其加密的中繼資料。您必須重新啟用相同的金鑰才能還原存取權。

  • 如果您刪除金鑰,應用程式儲存的物件將永久無法存取。這包括查詢、視覺化和儀表板。無法刪除已刪除的金鑰。

  • 我們建議您在對金鑰狀態進行任何變更之前,先記錄您的金鑰 ARN。

後續步驟

為您的應用程式設定 CMK 加密之後,您可以: