Verschlüsselung der Metadaten von OpenSearch UI-Anwendungen mit vom Kunden verwalteten Schlüsseln - OpenSearch Amazon-Dienst
Voraussetzungen für die Verwendung von vom Kunden verwalteten SchlüsselnEine Anwendung mit vom Kunden verwalteter Schlüsselverschlüsselung mithilfe der Konsole erstellenErstellen einer Anwendung mit vom Kunden verwalteter Schlüsselverschlüsselung mit dem AWS CLIÜberwachung der Verwendung von vom Kunden verwalteten SchlüsselnDie Verschlüsselungseinstellungen werden aktualisiert

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsselung der Metadaten von OpenSearch UI-Anwendungen mit vom Kunden verwalteten Schlüsseln

Visuelle Elemente und Konfigurationen werden als Metadaten für Ihre OpenSearch UI-Anwendungen gespeichert. Dazu gehören gespeicherte Abfragen, Visualisierungen und Dashboards. Daten aus den zugehörigen Datenquellen werden nicht in den Metadaten gespeichert. Informationen zur Verschlüsselung von Daten in Ihren Datenquellen finden Sie unter Datenschutz in Amazon OpenSearch Service für OpenSearch Domains und Verschlüsselung in Amazon OpenSearch Serverless für serverlose Sammlungen.

Ihre OpenSearch UI-Metadaten sind durch Verschlüsselung im Ruhezustand geschützt. Dies verhindert unbefugten Zugriff. Die Verschlüsselung verwendet AWS Key Management Service (AWS KMS) zum Speichern und Verwalten der Verschlüsselungsschlüssel. Standardmäßig werden OpenSearch UI-Metadaten mit AWS eigenen Schlüsseln verschlüsselt.

Sie können auch die CMK-Funktion (Customer Managed Key) verwenden, um Ihre eigenen Verschlüsselungsschlüssel zu verwalten. Auf diese Weise können Sie gesetzliche Vorschriften und Compliance-Anforderungen erfüllen. Um CMK verwenden zu können, müssen Sie eine neue OpenSearch UI-Anwendung erstellen und CMK im Erstellungsprozess aktivieren. Es wird derzeit nicht unterstützt, eine bestehende OpenSearch UI-Anwendung von einem AWS eigenen Schlüssel auf CMK zu aktualisieren.

Wann sollten vom Kunden verwaltete Schlüssel verwendet werden:

  • Ihr Unternehmen hat gesetzliche Compliance-Anforderungen für das Schlüsselmanagement

  • Sie benötigen Prüfprotokolle für die Verwendung von Verschlüsselungsschlüsseln

  • Sie möchten die Zeitpläne für die Schlüsselrotation kontrollieren

  • Sie müssen sie in bestehende Workflows für die Schlüsselverwaltung integrieren

Wenn Sie einen vom Kunden verwalteten Schlüssel verwenden, haben Sie die volle Kontrolle über den Schlüssel. Dies beinhaltet die Fähigkeit:

  • Schlüsselrichtlinien festlegen und erhalten

  • IAM-Richtlinien und Erteilungen festlegen und erhalten

  • Aktivieren und deaktivieren Sie den Schlüssel

  • Dreht das kryptografische Material des Schlüssels

  • Fügen Sie dem Schlüssel Tags hinzu

  • Schlüsselaliase erstellen

  • Planen Sie das Löschen des Schlüssels ein

Anmerkung

Der vom Kunden verwaltete Schlüssel muss sich in derselben Datei befinden AWS-Region wie die OpenSearch UI-Anwendung. Sie können keinen Schlüssel aus einer anderen Region verwenden.

Voraussetzungen für die Verwendung von vom Kunden verwalteten Schlüsseln

Bevor Sie einen vom Kunden verwalteten Schlüssel zum Verschlüsseln der Metadaten Ihrer OpenSearch UI-Anwendung verwenden können, müssen Sie in einen symmetrischen Verschlüsselungsschlüssel erstellen. AWS KMS Anweisungen zum Erstellen von Schlüsseln finden Sie unter Schlüssel erstellen im AWS KMS Entwicklerhandbuch.

Die Schlüsselrichtlinie für Ihren vom Kunden verwalteten Schlüssel muss die OpenSearch Benutzerschnittstelle zur Verwendung des Schlüssels berechtigen. Verwenden Sie die folgende wichtige Richtlinie und ersetzen Sie sie durch Ihre eigenen Informationen: placeholder values

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowOpenSearchUIToUseKey",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "application.opensearchservice.amazonaws.com"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowKeyAdministration",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        }
    ]
}

Die Richtlinie enthält zwei Anweisungen:

  • Die erste Anweisung ermöglicht es der OpenSearch Benutzeroberfläche, den Schlüssel für Verschlüsselungsvorgänge zu verwenden.

  • Die zweite Anweisung ermöglicht es Benutzern in Ihrem Bereich AWS-Konto , den Schlüssel zu verwalten. Dazu gehören Berechtigungen zum Aktualisieren der Schlüsselrichtlinie, zum Aktivieren oder Deaktivieren des Schlüssels und zum Planen der Löschung des Schlüssels. Sie können diese Berechtigungen weiter einschränken, indem Sie den Root-Principal durch bestimmte IAM-Benutzer oder -Rollen ersetzen.

Weitere Informationen zu wichtigen Richtlinien finden Sie unter Verwenden von Schlüsselrichtlinien AWS KMS im AWS KMS Entwicklerhandbuch.

Eine Anwendung mit vom Kunden verwalteter Schlüsselverschlüsselung mithilfe der Konsole erstellen

Wenn Sie eine OpenSearch UI-Anwendung in der Konsole erstellen, können Sie einen vom Kunden verwalteten Schlüssel zum Verschlüsseln der Metadaten der Anwendung angeben.

Um mithilfe der Konsole eine OpenSearch UI-Anwendung mit vom Kunden verwalteter Schlüsselverschlüsselung zu erstellen

  1. Melden Sie sich zu https://console.aws.amazon.com/aos/Hause bei der Amazon OpenSearch Service-Konsole an.

  2. Wählen Sie im linken Navigationsbereich OpenSearch UI (Dashboards).

  3. Wählen Sie Create application aus.

  4. Geben Sie unter Anwendungsname einen Namen für die Anwendung ein.

  5. Konfigurieren Sie die Authentifizierungs- und Administratoreinstellungen nach Bedarf. Weitere Informationen finden Sie unter Erste Schritte mit der OpenSearch Benutzeroberfläche in Amazon OpenSearch Service.

  6. Wählen Sie im Abschnitt Verschlüsselung für Verschlüsselung im Ruhezustand die Option Vom Kunden verwalteten Schlüssel verwenden aus.

  7. Wählen Sie einen vorhandenen, vom Kunden verwalteten Schlüssel aus der Liste aus, oder wählen Sie Schlüssel erstellen, um einen neuen Schlüssel zu erstellen AWS KMS.

    Anmerkung

    Der Schlüssel muss sich in derselben AWS-Region Anwendung befinden, die Sie erstellen.

  8. (Optional) Fügen Sie der Anwendung Tags hinzu.

  9. Wählen Sie Erstellen aus.

Erstellen einer Anwendung mit vom Kunden verwalteter Schlüsselverschlüsselung mit dem AWS CLI

Um eine OpenSearch Benutzeroberflächenanwendung mit vom Kunden verwalteter Schlüsselverschlüsselung mit dem zu erstellen AWS CLI, verwenden Sie den Befehl create-application mit dem --kms-key-arn Parameter.

Ersetzen Sie placeholder values durch Ihre Informationen.

aws opensearch create-application \
    --name my-application \
    --kms-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012

Wenn Sie den --kms-key-arn Parameter nicht angeben, OpenSearch verwendet einen AWS-verwalteten Schlüssel, um die Metadaten der Anwendung zu verschlüsseln.

Überwachung der Verwendung von vom Kunden verwalteten Schlüsseln

Wenn Sie einen vom Kunden verwalteten Schlüssel mit einer OpenSearch UI-Anwendung verwenden, wird jede Verwendung des Schlüssels in AWS CloudTrail Protokollen AWS KMS aufgezeichnet. Sie können diese Protokolle verwenden, um zu überwachen, wie und wann Ihr Schlüssel verwendet wird. Die Protokolle zeigen, welcher Benutzer oder Dienst auf den Schlüssel zugegriffen hat.

AWS AWS KMS wechselt jedes Jahr automatisch die vom Kunden verwalteten Schlüssel. Sie können Schlüssel auch manuell nach Bedarf drehen. Weitere Informationen zur Schlüsselrotation finden Sie unter Rotation von KMS-Schlüsseln im AWS KMS Entwicklerhandbuch.

Weitere Informationen zur Überwachung der Schlüsselnutzung finden Sie unter Protokollieren von AWS KMS API-Aufrufen mit AWS CloudTrail im AWS KMS Entwicklerhandbuch.

Anmerkung

Für die Verwendung von vom Kunden verwalteten Schlüsseln fallen AWS KMS Gebühren an. Die Gebühren richten sich nach der Anzahl der gespeicherten API-Anfragen und Schlüssel. Preisdetails finden Sie unter Preise für den AWS Key Management Service.

Die Verschlüsselungseinstellungen werden aktualisiert

Nachdem Sie eine OpenSearch UI-Anwendung erstellt haben, können Sie ihre Verschlüsselungseinstellungen nicht mehr ändern. Wenn Sie einen anderen vom Kunden verwalteten Schlüssel verwenden müssen, müssen Sie eine neue Anwendung erstellen. Wenn Sie zwischen AWS-verwalteten und kundenverwalteten Schlüsseln wechseln müssen, müssen Sie auch eine neue Anwendung mit den gewünschten Verschlüsselungseinstellungen erstellen.

Wichtig

Bevor Sie einen vom Kunden verwalteten Schlüssel deaktivieren oder löschen, sollten Sie Folgendes beachten:

  • Wenn Sie den Schlüssel deaktivieren, verliert die Anwendung den Zugriff auf ihre verschlüsselten Metadaten. Sie müssen denselben Schlüssel erneut aktivieren, um den Zugriff wiederherzustellen.

  • Wenn Sie den Schlüssel löschen, kann nicht mehr auf die gespeicherten Objekte der Anwendung zugegriffen werden. Dazu gehören Abfragen, Visualisierungen und Dashboards. Gelöschte Schlüssel können nicht wiederhergestellt werden.

  • Wir empfehlen, Ihren Schlüssel-ARN zu dokumentieren, bevor Sie Änderungen am Schlüsselstatus vornehmen.

Nächste Schritte

Nachdem Sie die CMK-Verschlüsselung für Ihre Anwendung konfiguriert haben, können Sie: