AWS KMS Integration benutzerdefinierter Amazon OpenSearch Service-Pakete - OpenSearch Amazon-Dienst
So verwendet der OpenSearch Service für benutzerdefinierte Pakete von Amazon Service Zuschüsse in AWS KMSEinen kundenverwalteten Schlüssel erstellenGeben Sie einen vom Kunden verwalteten Schlüssel für benutzerdefinierte Amazon OpenSearch Service-Pakete anVerschlüsselungskontext für benutzerdefinierte Pakete von Amazon OpenSearch ServiceÜberwachung Ihrer Verschlüsselungsschlüssel für den Service für OpenSearch benutzerdefinierte Pakete

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS KMS Integration benutzerdefinierter Amazon OpenSearch Service-Pakete

Benutzerdefinierte Pakete von Amazon OpenSearch Service bieten standardmäßig Verschlüsselung, um Ihre ZIP-PLUGIN Pakete im Ruhezustand zu schützen Von AWS verwaltete Schlüssel.

  • AWS-eigene Schlüssel— Benutzerdefinierte Pakete von Amazon OpenSearch Service verwenden diese Schlüssel standardmäßig, um Ihre ZIP-PLUGIN Pakete automatisch zu verschlüsseln. Sie können ihre Verwendung nicht einsehen, verwalten, verwenden AWS-eigene Schlüssel oder überprüfen. Sie müssen jedoch keine Maßnahmen ergreifen oder Programme ändern, um die Schlüssel zu schützen, mit denen Ihre Daten verschlüsselt werden. Weitere Informationen finden Sie unter AWS-eigene Schlüssel im AWS Key Management Service -Entwicklerhandbuch.

  • Vom Kunden verwaltete Schlüssel — Sie können der vorhandenen eine zweite Verschlüsselungsebene hinzufügen, AWS-eigene Schlüssel indem Sie bei der Erstellung Ihres ZIP-PLUGIN benutzerdefinierten Pakets einen vom Kunden verwalteten Schlüssel auswählen.

    Benutzerdefinierte Amazon OpenSearch Service-Pakete unterstützen die Verwendung eines symmetrischen, vom Kunden verwalteten Schlüssels, den Sie erstellen, besitzen und verwalten, um eine zweite Verschlüsselungsebene über der vorhandenen AWS eigenen Verschlüsselung hinzuzufügen. Da Sie die volle Kontrolle über diese Verschlüsselungsebene haben, können Sie die folgenden Aufgaben ausführen:

    • Legen Sie wichtige Richtlinien fest und pflegen Sie sie

    • Festlegung und Aufrechterhaltung AWS Identity and Access Management (IAM) von Richtlinien und Zuschüssen

    • Aktivieren und deaktivieren Sie wichtige Richtlinien

    • Rotieren Sie das kryptografische Schlüsselmaterial

    • Tags hinzufügen

    • Schlüsselaliase erstellen

    • Planen Sie das Löschen von Schlüsseln

Weitere Informationen finden Sie unter Kundenverwaltete Schlüssel im AWS Key Management Service Entwicklerhandbuch.

Anmerkung

Die benutzerdefinierten Pakete von Amazon OpenSearch Service ermöglichen automatisch die Verschlüsselung im Ruhezustand, wobei die Nutzung AWS-eigene Schlüssel kostenlos ist. Es AWS KMS fallen jedoch Gebühren an, wenn Sie einen vom Kunden verwalteten Schlüssel verwenden. Weitere Informationen zu Preisen finden Sie unter AWS Key Management Service Preise.

So verwendet der OpenSearch Service für benutzerdefinierte Pakete von Amazon Service Zuschüsse in AWS KMS

OpenSearch Für benutzerdefinierte Servicepakete ist ein Zuschuss erforderlich, um Ihren vom Kunden verwalteten Schlüssel verwenden zu können.

Wenn Sie ein ZIP-PLUGIN Paket erstellen, das mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, erstellt der OpenSearch Service für benutzerdefinierte Pakete von Amazon Service in Ihrem Namen einen Zuschuss, indem er eine CreateGrantAnfrage an sendet AWS KMS. Zuschüsse AWS KMS gewähren OpenSearch Service Zugriff auf einen AWS KMS Schlüssel in Ihrem Konto. Für die mit benutzerdefinierten OpenSearch Servicepaketen erstellten Berechtigungen gilt eine Einschränkung, die nur dann Operationen zulässt, wenn die Anfrage einen Verschlüsselungskontext mit Ihrer benutzerdefinierten Paket-ID enthält.

Für benutzerdefinierte Amazon OpenSearch Service-Pakete ist der Zuschuss erforderlich, um Ihren vom Kunden verwalteten Schlüssel für die folgenden internen Vorgänge verwenden zu können:

Operation Beschreibung
DescribeKey Sendet DescribeKey Anfragen an, um AWS KMS zu überprüfen, ob die symmetrische, vom Kunden verwaltete Schlüssel-ID, die bei der Erstellung des Plugin-Pakets eingegeben wurde, gültig ist.
GenerateDataKeyWithoutPlaintext Sendet GenerateDataKeyWithoutPlaintext Anfragen AWS KMS zur Generierung von Datenschlüsseln, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden.
GenerateDataKey Sendet GenerateDataKey Anfragen AWS KMS zur Generierung von Datenschlüsseln zur Verschlüsselung des Pakets, wenn es intern kopiert wird.
Decrypt Sendet Decrypt Anfragen AWS KMS zur Entschlüsselung der verschlüsselten Datenschlüssel, sodass diese zur Entschlüsselung Ihrer Daten verwendet werden können.

Sie können den Zugriff auf den Zuschuss jederzeit widerrufen oder dem Service den Zugriff auf den vom Kunden verwalteten Schlüssel entziehen. Wenn Sie dies tun, kann der OpenSearch Service nicht auf Daten zugreifen, die mit dem vom Kunden verwalteten Schlüssel verschlüsselt wurden, was sich auf Vorgänge auswirkt, die von diesen Daten abhängen. Wenn Sie beispielsweise versuchen, ein Plugin-Paket zuzuordnen, auf das der OpenSearch Service nicht zugreifen kann, gibt der Vorgang einen AccessDeniedException Fehler zurück.

Einen kundenverwalteten Schlüssel erstellen

Sie können einen symmetrischen, vom Kunden verwalteten Schlüssel erstellen, indem Sie den AWS Management Console oder den AWS KMS APIs verwenden.

Einen symmetrischen kundenverwalteten Schlüssel erstellen

Schlüsselrichtlinie

Schlüsselrichtlinien steuern den Zugriff auf den vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren vom Kunden verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Weitere Informationen finden Sie unter Schlüsselrichtlinien in AWS KMS im Entwicklerhandbuch für AWS Key Management Service .

Um Ihren vom Kunden verwalteten Schlüssel mit Ihren Plugin-Ressourcen zu verwenden, müssen Sie in der Schlüsselrichtlinie die folgenden API-Operationen zulassen:

  • kms:CreateGrant: Fügt einem kundenverwalteten Schlüssel eine Erteilung hinzu. Gewährt Kontrollzugriff auf einen bestimmten AWS KMS Schlüssel und ermöglicht so den Zugriff auf Gewährungsvorgänge, die für benutzerdefinierte OpenSearch Servicepakete erforderlich sind. Weitere Informationen zur Verwendung von Zuschüssen finden Sie im AWS KMS Entwicklerhandbuch.

    Auf diese Weise kann OpenSearch Service Folgendes tun:

    • Rufen Sie GenerateDataKeyWithoutPlainText auf, um einen verschlüsselten Datenschlüssel zu generieren und ihn für weitere Validierungen zu speichern.

    • Rufen Sie GenerateDataKey auf, um das Plugin-Paket intern zu kopieren.

    • Rufen Sie aufDecrypt, um intern auf das Plugin-Paket zuzugreifen.

    • Richten Sie einen Principal ein, der in den Ruhestand geht, RetireGrant damit der Dienst

  • kms:DescribeKey— Stellt dem Kunden verwaltete Schlüsseldetails zur Verfügung, damit der OpenSearch Service den Schlüssel validieren kann.

  • kms:GenerateDataKey,kms:GenerateDataKeyWithoutPlaintext, kms:Decrypt — Gewährt dem OpenSearch Service Zugriff auf benutzerdefinierte Pakete, sodass er diese Operationen im Rahmen des Zuschusses nutzen kann.

Im Folgenden finden Sie Beispiele für Richtlinienerklärungen, die Sie für benutzerdefinierte OpenSearch Servicepakete hinzufügen können:


"Statement" : [
  {
    "Sid" : "Allow access to principals authorized to use OpenSearch Service custom packages",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "*"
    },
    "Action" : [
      "kms:CreateGrant",
      "kms:GenerateDataKey",
      "kms:GenerateDataKeyWithoutPlaintext",
      "kms:Decrypt"
    ],
    "Resource" : "*",
    "Condition" : {
      "StringEquals" : {
        "kms:ViaService" : "custom-packages.region.amazonaws.com"
      },
      "StringEquals" : {
        "kms:EncryptionContext:packageId": "Id of the package"
      }
    }
  },
  {
    "Sid" : "Allow access to principals authorized to use Amazon OpenSearch Service custom packages",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "*"
    },
    "Action" : [
      "kms:DescribeKey"
    ],
    "Resource" : "*",
    "Condition" : {
      "StringEquals" : {
        "kms:ViaService" : "custom-packages.region.amazonaws.com"
      }
    }
  }
]

Weitere Informationen zur Angabe von Berechtigungen in einer Richtlinie finden Sie unter Wichtige Richtlinien AWS KMS im AWS Key Management Service Entwicklerhandbuch.

Weitere Informationen zur Problembehandlung beim Zugriff auf Schlüssel finden Sie unter Problembehandlung bei AWS KMS Berechtigungen im AWS Key Management Service Entwicklerhandbuch.

Geben Sie einen vom Kunden verwalteten Schlüssel für benutzerdefinierte Amazon OpenSearch Service-Pakete an

Sie können einen vom Kunden verwalteten Schlüssel als zweite Verschlüsselungsebene für Ihre ZIP-PLUGIN Pakete angeben.

Wenn Sie ein Plugin-Paket erstellen, können Sie den Datenschlüssel angeben, indem Sie eine AWS KMS Schlüssel-ID eingeben, die von den benutzerdefinierten OpenSearch Servicepaketen zum Verschlüsseln des Plugin-Pakets verwendet wird.

AWS KMS Schlüssel-ID — Eine Schlüssel-ID für einen vom AWS KMS Kunden verwalteten Schlüssel. Geben Sie eine Schlüssel-ID, einen Schlüssel-ARN, einen Alias-Namen oder einen Alias-ARN ein.

Verschlüsselungskontext für benutzerdefinierte Pakete von Amazon OpenSearch Service

Ein Verschlüsselungskontext ist ein optionaler Satz von Schlüssel-Wert-Paaren, die zusätzliche kontextbezogene Informationen zu den Daten enthalten.

AWS KMS verwendet den Verschlüsselungskontext als zusätzliche authentifizierte Daten, um die authentifizierte Verschlüsselung zu unterstützen. Wenn Sie einen Verschlüsselungskontext in eine Anforderung zum Verschlüsseln von Daten einbeziehen, wird der Verschlüsselungskontext AWS KMS an die verschlüsselten Daten gebunden. Zur Entschlüsselung von Daten müssen Sie denselben Verschlüsselungskontext in der Anfrage übergeben.

Verschlüsselungskontext für benutzerdefinierte Pakete von Amazon OpenSearch Service

Benutzerdefinierte Pakete von Amazon OpenSearch Service verwenden bei allen AWS KMS kryptografischen Vorgängen denselben Verschlüsselungskontext, wobei der Schlüssel packageId und der Wert dem package-id Ihres Plugin-Pakets entsprechen.

Verwenden Sie den Verschlüsselungskontext für die Überwachung

Wenn Sie einen symmetrischen, vom Kunden verwalteten Schlüssel verwenden, um Ihr Plugin-Paket zu verschlüsseln, können Sie den Verschlüsselungskontext in Prüfaufzeichnungen und Protokollen verwenden, um zu ermitteln, wie der vom Kunden verwaltete Schlüssel verwendet wird. Der Verschlüsselungskontext erscheint auch in Protokollen, die von Amazon CloudWatch Logs generiert wurden AWS CloudTrail .

Verwendung des Verschlüsselungskontextes zur Steuerung des Zugriffs auf den vom Kunden verwalteten Schlüssel

Sie können den Verschlüsselungskontext in Schlüsselrichtlinien und IAM-Richtlinien als Bedingungen verwenden, um den Zugriff auf Ihren symmetrischen, vom Kunden verwalteten Schlüssel zu kontrollieren. Sie können Verschlüsselungskontext-Einschränkungen auch in einer Genehmigung verwenden.

OpenSearch Benutzerdefinierte Servicepakete verwenden bei Zuschüssen eine Einschränkung des Verschlüsselungskontextes, um den Zugriff auf den vom Kunden verwalteten Schlüssel in Ihrem Konto oder Ihrer Region zu kontrollieren. Eine Genehmigungseinschränkung erfordert, dass durch die Genehmigung ermöglichte Vorgänge den angegebenen Verschlüsselungskontext verwenden.

Im Folgenden finden Sie Beispiele für Schlüsselrichtlinienanweisungen zur Gewährung des Zugriffs auf einen vom Kunden verwalteten Schlüssel für einen bestimmten Verschlüsselungskontext. Die Bedingung in dieser Richtlinienanweisung setzt voraus, dass die Genehmigungen eine Einschränkung des Verschlüsselungskontextes haben, die den Verschlüsselungskontext spezifiziert.


{
    "Sid": "Enable DescribeKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
    },
    "Action": "kms:DescribeKey",
    "Resource": "*"
},
{
    "Sid": "Enable OpenSearch Service custom packages to use the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
    },
    "Action" : [
         "kms:CreateGrant",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals" : {
            "kms:EncryptionContext:packageId": "ID of the package"
         }
    }
}

Überwachung Ihrer Verschlüsselungsschlüssel für den Service für OpenSearch benutzerdefinierte Pakete

Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel zusammen mit Ihren OpenSearch Serviceressourcen für benutzerdefinierte Pakete verwenden, können Sie CloudTrail oder CloudWatch Logs verwenden, um Anfragen nachzuverfolgen, an die OpenSearch benutzerdefinierte Pakete gesendet AWS KMS werden.

Weitere Informationen

Die folgenden Ressourcen enthalten weitere Informationen zur Datenverschlüsselung im Ruhezustand:

  • Weitere Informationen zu AWS KMS grundlegenden Konzepten finden Sie AWS KMS keysim AWS Key Management Service Entwicklerhandbuch.

  • Weitere Informationen zu bewährten Sicherheitsmethoden für AWS KMS finden Sie im AWS Prescriptive Guidance Guide mit AWS Key Management Service bewährten Methoden.