Verschlüsselung und KMS-Schlüssel in Sammlungsgruppen - OpenSearch Amazon-Dienst
Gemeinsame Nutzung OCUs durch verschiedene KMS-SchlüsselErforderliche KMS-Berechtigungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsselung und KMS-Schlüssel in Sammlungsgruppen

Jede OpenSearch serverlose Sammlung, die Sie erstellen, ist durch Verschlüsselung ruhender Daten geschützt, die AWS KMS zum Speichern und Verwalten Ihrer Verschlüsselungsschlüssel verwendet werden. Wenn Sie mit Sammlungsgruppen arbeiten, können Sie den KMS-Schlüssel für Ihre Sammlungen flexibel angeben.

Sie können den mit einer Sammlung verknüpften KMS-Schlüssel auf zwei Arten bereitstellen:

  • In der CreateCollection Anfrage — Geben Sie den KMS-Schlüssel direkt an, wenn Sie die Sammlung mithilfe des encryption-config Parameters erstellen.

  • In Sicherheitsrichtlinien — Definieren Sie die KMS-Schlüsselzuordnung in einer Verschlüsselungssicherheitsrichtlinie.

Wenn Sie an beiden Standorten einen KMS-Schlüssel angeben, hat der in der CreateCollection Anfrage angegebene KMS-Schlüssel Vorrang vor der Konfiguration der Sicherheitsrichtlinie.

Diese Flexibilität vereinfacht die Verwaltung von Sammlungen in großem Umfang, insbesondere wenn Sie mehrere Sammlungen mit eindeutigen KMS-Schlüsseln erstellen müssen. Anstatt Tausende von Verschlüsselungsrichtlinien zu erstellen und zu verwalten, können Sie den KMS-Schlüssel direkt bei der Erstellung der Sammlung angeben.

Gemeinsame Nutzung OCUs durch verschiedene KMS-Schlüssel

Sammlungsgruppen ermöglichen die gemeinsame Nutzung von Rechenressourcen zwischen Sammlungen mit unterschiedlichen KMS-Schlüsseln. Sammlungen in derselben Sammlungsgruppe teilen sich den OCU-Speicherplatz, unabhängig von ihren Verschlüsselungsschlüsseln. Dieses Modell der gemeinsamen Rechenleistung reduziert die Kosten, da kein separater Schlüssel OCUs für jeden KMS-Schlüssel erforderlich ist.

Sammlungsgruppen sorgen für Isolierung aus Sicherheits- und Leistungsanforderungen. Sie können Sammlungen mit demselben KMS-Schlüssel aus Sicherheitsgründen zu einer einzigen Sammlungsgruppe zusammenfassen oder Sammlungen mit unterschiedlichen KMS-Schlüsseln in derselben Gruppe zur Kostenoptimierung kombinieren. Dank dieser Flexibilität können Sie Sicherheitsanforderungen und Ressourceneffizienz in Einklang bringen.

Das System gewährleistet die Sicherheit, indem es die Daten jeder Sammlung mit dem dafür vorgesehenen KMS-Schlüssel verschlüsselt. Die Zugriffskontrollen gelten weiterhin auf Sammlungsebene, und die gemeinsam genutzten Rechenressourcen greifen bei Bedarf auf mehrere KMS-Schlüssel zu, um die Sammlungen in der Gruppe bereitzustellen.

Erforderliche KMS-Berechtigungen

Wenn Sie in der CreateCollection Anfrage einen KMS-Schlüssel angeben, benötigen Sie die folgenden zusätzlichen Berechtigungen:

  • kms:DescribeKey— Ermöglicht OpenSearch Serverless, Informationen über den KMS-Schlüssel abzurufen.

  • kms:CreateGrant— Ermöglicht OpenSearch Serverless, eine Genehmigung für den KMS-Schlüssel zu erstellen, um Verschlüsselungsvorgänge zu ermöglichen.

Diese Berechtigungen sind nicht erforderlich, wenn AWS eigene Schlüssel verwendet werden.