Amazon OpenSearch Service 的靜態資料加密 - Amazon OpenSearch Service

Amazon OpenSearch Service 的靜態資料加密

OpenSearch Service 網域提供靜態資料加密,這是一種安全功能,可協助防止未經授權存取您的資料。此功能會使用 AWS Key Management Service (AWS KMS) 來儲存和管理加密金鑰,並使用 256 位元金鑰的進階加密標準演算法 (AES-256) 來執行加密。如果啟用,此功能會加密網域的以下層面:

  • 所有索引 (包括 UltraWarm 儲存中的索引)

  • OpenSearch 日誌

  • 置換檔案

  • 應用程式目錄中的所有其他資料

  • 自動快照

當您啟用靜態資料加密時,以下項目不會加密,但您可以採取額外的步驟來保護它們:

  • 手動快照:目前您無法使用 AWS KMS 金鑰來加密手動快照。不過,您可以使用伺服器端加密搭配 S3 受管金鑰或 KMS 金鑰來加密您用作快照儲存庫的儲存貯體。如需指示,請參閱 註冊手動快照儲存庫

  • 慢速日誌和錯誤日誌:如果您發佈日誌並想要對其進行加密,可以使用與 OpenSearch Service 網域相同的 AWS KMS 金鑰加密其 CloudWatch Logs 日誌群組。如需詳細資訊,請參閱《Amazon CloudWatch Logs 使用者指南》使用 AWS KMS 加密 CloudWatch Logs 中的日誌資料

OpenSearch Service 僅支援對稱 KMS 金鑰,不支援非對稱 KMS 金鑰。若要了解如何建立對稱金鑰,請參閱 AWS Key Management Service 開發人員指南中的建立金鑰

無論是否啟用靜態加密,所有網域都會使用 AES-256 和 OpenSearch Service 受管密鑰自動加密自訂套件

許可

為了使用 OpenSearch Service 主控台來設定靜態資料加密,您必須擁有 AWS KMS 的讀取許可,例如以下以身分為基礎的政策:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:List*", "kms:Describe*" ], "Resource": "*" } ] }

如果您想要使用的金鑰並非 AWS 擁有的金鑰,您還必須具有許可才能建立該金鑰的授權。這些許可通常採用以資源為基礎的政策形式,當您建立金鑰時會加以指定。

若您想要讓金鑰保持為 OpenSearch Service 獨有,您可以將 kms:ViaService 條件新增到金鑰政策:

"Condition": { "StringEquals": { "kms:ViaService": "es.us-west-1.amazonaws.com" }, "Bool": { "kms:GrantIsForAWSResource": "true" } }

如需詳細資訊,請參閱 AWS Key Management Service 開發人員指南中的在 AWS KMS 中使用金鑰政策

啟用靜態資料加密

在新網域中進行靜態資料加密需要 OpenSearch 或 Elasticsearch 5.1 版或更高版本。在現有網域上啟用它需要 OpenSearch 或 Elasticsearch 6.7 或更高版本。

啟用靜態資料加密 (主控台)

  1. 開啟 AWS 主控台中的網域,然後選擇 Actions (動作),以及 Edit security configuration (編輯安全組態)。

  2. Encryption (加密),選擇 Enable encryption of data at rest (啟用靜態資料加密)。

  3. 選擇使用 AWS KMS 金鑰,然後選擇 Save changes (儲存變更)。

您也可以透過組態 API 啟用加密。下列請求會啟用現有網域上的靜態資料加密:

{ "ClusterConfig":{ "EncryptionAtRestOptions":{ "Enabled": true, "KmsKeyId":"arn:aws:kms:us-east-1:123456789012:alias/my-key" } } }

禁用或刪除的 KMS 金鑰

如果您停用或刪除用來加密網域的金鑰,網域將無法存取。OpenSearch Service 會傳送通知,通知您其無法存取 KMS 金鑰。立即重新啟用金鑰以存取您的網域。

若您的金鑰已刪除,則 OpenSearch Service 團隊便無法協助您復原資料。AWS KMS 只會在等待至少七天之後才會刪除金鑰。如果您的金鑰仍待刪除,請取消刪除或拍攝網域的手動快照,以避免資料損失。

停用靜態資料加密

在您設定網域以加密靜態資料後,您無法停用設定。相反地,您可以拍攝現有網域的手動快照建立另一個網域,遷移您的資料和刪除舊的網域。

監控靜態加密資料的網域

加密靜態資料的網域有兩個額外的指標:KMSKeyErrorKMSKeyInaccessible。如果網域遇到與您加密金鑰相關的問題,這些指標才會顯示。如需這些指標的完整說明,請參閱叢集指標。您可以使用 OpenSearch Service 主控台或 Amazon CloudWatch 主控台來檢視它們。

提示

每個指標代表網域的重大問題,因此我們建議您為二者建立 CloudWatch 警示。如需更多詳細資訊,請參閱 Amazon OpenSearch Service 的建議 CloudWatch 警示

其他考量

  • 自動金鑰輪換會保留您的 AWS KMS 金鑰的屬性,因此輪換並不影響您存取 OpenSearch 資料的能力。已加密的 OpenSearch Service 網域不支援手動金鑰輪換,其中包含建立新金鑰和更新任何舊金鑰的參照。如需進一步了解,請參閱 AWS Key Management Service 開發人員指南中的輪換金鑰

  • 有些執行個體類型不支援靜態資料的加密。如需詳細資訊,請參閱Amazon OpenSearch Service 中支援的執行個體類型

  • 加密靜態資料的網域對於其自動快照使用不同的儲存庫名稱。如需更多詳細資訊,請參閱 還原快照

  • 加密 OpenSearch Service 網域需要一個授權,而每個加密金鑰針對每個委託人具有 500 個授權限制。此限制表示您可以使用單一金鑰加密的 OpenSearch Service 網域數目上限為 500。目前,OpenSearch Service 支援每個帳戶 (每個區域) 最多 100 個網域,所以此授權限制並不重要。如果每個帳戶的網域限制提高,不過授與限制可能變得相關。

    如果您那時候必須加密超過 500 個網域,您可以建立額外的金鑰。金鑰是區域性,而不是全球,所以如果您在多個 AWS 區域 操作,您需要多個金鑰。