AWS KMS Integration benutzerdefinierter Amazon OpenSearch Service-Pakete - OpenSearch Amazon-Dienst
So verwendet der OpenSearch Service für benutzerdefinierte Pakete von Amazon Service Zuschüsse in AWS KMSEinen kundenverwalteten Schlüssel erstellenGeben Sie einen vom Kunden verwalteten Schlüssel für benutzerdefinierte Amazon OpenSearch Service-Pakete anVerschlüsselungskontext für benutzerdefinierte Pakete von Amazon OpenSearch ServiceÜberwachen von Verschlüsselungsschlüsseln für den OpenSearch benutzerdefinierten Paketservice

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS KMS Integration benutzerdefinierter Amazon OpenSearch Service-Pakete

Benutzerdefinierte Pakete von Amazon OpenSearch Service bieten standardmäßig Verschlüsselung, um Ihre ZIP-PLUGIN Pakete im Ruhezustand zu schützen Von AWS verwaltete Schlüssel.

  • AWS-eigene Schlüssel— Benutzerdefinierte Pakete von Amazon OpenSearch Service verwenden diese Schlüssel standardmäßig, um Ihre ZIP-PLUGIN Pakete automatisch zu verschlüsseln. Sie können ihre Nutzung nicht einsehen, verwalten AWS-eigene Schlüssel oder verwenden und auch nicht ihre Nutzung prüfen. Sie müssen jedoch keine Maßnahmen ergreifen oder Programme ändern, um die Schlüssel zu schützen, die zur Verschlüsselung Ihrer Daten verwendet werden. Weitere Informationen finden Sie unter AWS-eigene Schlüssel im AWS Key Management Service -Entwicklerhandbuch.

  • Vom Kunden verwaltete Schlüssel — Sie können eine zweite Verschlüsselungsebene über der vorhandenen hinzufügen, AWS-eigene Schlüssel indem Sie bei der Erstellung Ihres ZIP-PLUGIN benutzerdefinierten Pakets einen vom Kunden verwalteten Schlüssel auswählen.

    Benutzerdefinierte OpenSearch Amazon-Service-Pakete unterstützen die Verwendung eines symmetrischen, vom Kunden verwalteten Schlüssels, den Sie erstellen, besitzen und verwalten, um eine zweite Verschlüsselungsebene über die bestehende AWS -eigene Verschlüsselung zu legen. Da Sie die volle Kontrolle über diese Verschlüsselungsebene haben, können Sie die folgenden Aufgaben ausführen:

    • Legen Sie wichtige Richtlinien fest und pflegen Sie sie

    • Festlegung und Aufrechterhaltung AWS Identity and Access Management (IAM) von Richtlinien und Zuschüssen

    • Aktivieren und Deaktivieren von Schlüsselrichtlinien

    • Schlüssel des kryptographischen Materials rotieren

    • Tags hinzufügen

    • Erstellen von Schlüsselaliasen

    • Schlüssel für das Löschen planen

Weitere Informationen finden Sie unter Kundenverwaltete Schlüssel im AWS Key Management Service Entwicklerhandbuch.

Anmerkung

Die benutzerdefinierten Pakete von Amazon OpenSearch Service aktivieren automatisch die Verschlüsselung im Ruhezustand und verwenden AWS-eigene Schlüssel diese kostenlos. Allerdings AWS KMS fallen -Gebühren an, wenn Sie einen vom Kunden verwalteten Schlüssel verwenden. Weitere Informationen zu Preisen finden Sie unter AWS Key Management Service Preise.

So verwendet der OpenSearch Service für benutzerdefinierte Pakete von Amazon Service Zuschüsse in AWS KMS

OpenSearch Für benutzerdefinierte Servicepakete ist eine Genehmigung erforderlich, um Ihren vom Kunden verwalteten Schlüssel verwenden zu können.

Wenn Sie ein ZIP-PLUGIN Paket erstellen, das mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, erstellt der OpenSearch Amazon-Dienst für benutzerdefinierte Pakete in Ihrem Namen eine Genehmigung, indem er eine CreateGrantAnfrage an sendet AWS KMS. Zuschüsse AWS KMS gewähren OpenSearch Service Zugriff auf einen AWS KMS Schlüssel in Ihrem Konto. Für die mit benutzerdefinierten OpenSearch Servicepaketen erstellten Berechtigungen gilt eine Einschränkung, die nur dann Operationen zulässt, wenn die Anfrage einen Verschlüsselungskontext mit Ihrer benutzerdefinierten Paket-ID enthält.

Für benutzerdefinierte Pakete von Amazon OpenSearch Service benötigen Sie die Gewährung, um Ihren vom Kunden verwalteten Schlüssel für die folgenden internen Vorgänge zu verwenden:

Operation Beschreibung
DescribeKey Sendet DescribeKey Anfragen an, AWS KMS um zu überprüfen, ob die bereitgestellte symmetrische vom Kunden verwaltete Schlüssel-ID gültig ist.
GenerateDataKeyWithoutPlaintext Sendet GenerateDataKeyWithoutPlaintext Anfragen an, AWS KMS um Datenschlüssel zu generieren, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt sind.
GenerateDataKey Sendet GenerateDataKey Anfragen AWS KMS zur Generierung von Datenschlüsseln zur Verschlüsselung des Pakets, wenn es intern kopiert wird.
Decrypt Sendet Decrypt Anfragen an AWS KMS , um die verschlüsselten Datenschlüssel zu entschlüsseln, damit Sie diese zur Entschlüsselung Ihrer Daten verwenden können.

Sie können den Zugriff auf die Genehmigung jederzeit widerrufen oder den Zugriff des Services auf den vom Kunden verwalteten Schlüssel entfernen. Wenn Sie dies tun, kann OpenSearch Service nicht auf Daten zugreifen, die mit dem vom Kunden verwalteten Schlüssel verschlüsselt sind. Dies wirkt sich auf Vorgänge aus, die von diesen Daten abhängig sind. Wenn Sie beispielsweise versuchen, ein Plugin-Paket zuzuordnen, auf das der OpenSearch Service nicht zugreifen kann, gibt der Vorgang einen AccessDeniedException Fehler zurück.

Einen kundenverwalteten Schlüssel erstellen

Sie können einen symmetrischen, kundenverwalteten Schlüssel erstellen, indem Sie die AWS Management Console oder die AWS KMS APIs.

Einen symmetrischen kundenverwalteten Schlüssel erstellen

Schlüsselrichtlinie

Schlüsselrichtlinien steuern den Zugriff auf den vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren vom Kunden verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Weitere Informationen finden Sie unter Schlüsselrichtlinien in AWS KMS im Entwicklerhandbuch für AWS Key Management Service .

Um Ihren vom Kunden verwalteten Schlüssel mit Ihren Plugin-Ressourcen zu verwenden, müssen Sie die folgenden API-Vorgänge in der Schlüsselrichtlinie zulassen:

  • kms:CreateGrant: Fügt einem kundenverwalteten Schlüssel eine Erteilung hinzu. Gewährt Kontrollzugriff auf einen bestimmten AWS KMS Schlüssel und ermöglicht so den Zugriff auf Gewährungsvorgänge, die für benutzerdefinierte OpenSearch Servicepakete erforderlich sind. Weitere Informationen über die Verwendung von Zuweisungen finden Sie im AWS KMS Entwicklerhandbuch.

    Damit kann OpenSearch Service Folgendes tun:

    • GenerateDataKeyWithoutPlainTextGenerieren eines verschlüsselten Datenschlüssels und speichern Sie ihn für weitere Validierungen.

    • Rufen Sie GenerateDataKey auf, um das Plugin-Paket intern zu kopieren.

    • Rufen Sie aufDecrypt, um intern auf das Plugin-Paket zuzugreifen.

    • Richten Sie einen Principal ein, der in den Ruhestand geht, damit der Dienst dies tun RetireGrant kann.

  • kms:DescribeKey— Stellt Details zu den vom Kunden verwalteten Schlüsseldetails bereit, damit der OpenSearch Service den Schlüssel validieren kann.

  • kms:GenerateDataKey,kms:GenerateDataKeyWithoutPlaintext, kms:Decrypt — Gewährt dem OpenSearch Service Zugriff auf benutzerdefinierte Pakete, sodass er diese Operationen im Rahmen des Zuschusses nutzen kann.

Im Folgenden finden Sie Beispiele für Richtlinienanweisungen, die Sie für benutzerdefinierte OpenSearch Servicepakete hinzufügen können:


"Statement" : [
  {
    "Sid" : "Allow access to principals authorized to use OpenSearch Service custom packages",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "*"
    },
    "Action" : [
      "kms:CreateGrant",
      "kms:GenerateDataKey",
      "kms:GenerateDataKeyWithoutPlaintext",
      "kms:Decrypt"
    ],
    "Resource" : "*",
    "Condition" : {
      "StringEquals" : {
        "kms:ViaService" : "custom-packages.region.amazonaws.com"
      },
      "StringEquals" : {
        "kms:EncryptionContext:packageId": "Id of the package"
      }
    }
  },
  {
    "Sid" : "Allow access to principals authorized to use Amazon OpenSearch Service custom packages",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "*"
    },
    "Action" : [
      "kms:DescribeKey"
    ],
    "Resource" : "*",
    "Condition" : {
      "StringEquals" : {
        "kms:ViaService" : "custom-packages.region.amazonaws.com"
      }
    }
  }
]

Weitere Informationen zur Angabe von Berechtigungen in einer Richtlinie finden Sie unter Wichtige Richtlinien AWS KMS im AWS Key Management Service Entwicklerhandbuch.

Weitere Informationen zur Problembehandlung beim Zugriff auf Schlüssel finden Sie unter Problembehandlung bei AWS KMS Berechtigungen im AWS Key Management Service Entwicklerhandbuch.

Geben Sie einen vom Kunden verwalteten Schlüssel für benutzerdefinierte Amazon OpenSearch Service-Pakete an

Sie können einen vom Kunden verwalteten Schlüssel als zweite Verschlüsselungsebene für Ihre ZIP-PLUGIN Pakete festlegen.

Wenn Sie ein Plugin-Paket erstellen, können Sie den Datenschlüssel angeben, indem Sie eine AWS KMS Schlüssel-ID eingeben, die von den benutzerdefinierten OpenSearch Servicepaketen zum Verschlüsseln des Plugin-Pakets verwendet wird.

AWS KMS Schlüssel-ID — Eine Schlüsselkennung für einen vom AWS KMS Kunden verwalteten Schlüssel. Geben Sie eine Schlüssel-ID, einen Schlüssel-ARN, einen Alias-Namen oder einen Alias-ARN ein.

Verschlüsselungskontext für benutzerdefinierte Pakete von Amazon OpenSearch Service

Ein Verschlüsselungskontext ist ein optionaler Satz von Schlüssel-Wert-Paaren, die zusätzliche kontextbezogene Informationen zu den Daten enthalten.

AWS KMS verwendet den Verschlüsselungskontext als zusätzliche authentifizierte Daten, um die authentifizierte Verschlüsselung zu unterstützen. Wenn Sie einen Verschlüsselungskontext in eine Anforderung zur Verschlüsselung von Daten aufnehmen, AWS KMS bindet den Verschlüsselungskontext an die verschlüsselten Daten. Zur Entschlüsselung von Daten müssen Sie denselben Verschlüsselungskontext in der Anfrage übergeben.

Verschlüsselungskontext für benutzerdefinierte Pakete von Amazon OpenSearch Service

Benutzerdefinierte Pakete von Amazon OpenSearch Service verwenden bei allen AWS KMS kryptografischen Vorgängen denselben Verschlüsselungskontext, wobei der Schlüssel packageId und der Wert dem package-id Ihres Plugin-Pakets entsprechen.

Verwenden des Verschlüsselungskontexts für die Überwachung

Wenn Sie einen symmetrischen, vom Kunden verwalteten Schlüssel verwenden, um Ihr Plugin-Paket zu verschlüsseln, können Sie den Verschlüsselungskontext in Prüfaufzeichnungen und Protokollen verwenden, um zu ermitteln, wie der vom Kunden verwaltete Schlüssel verwendet wird. Der Verschlüsselungskontext erscheint auch in Protokollen, die von AWS CloudTrail oder Amazon CloudWatch Logs generiert wurden.

Verwendung des Verschlüsselungskontextes zur Steuerung des Zugriffs auf den vom Kunden verwalteten Schlüssel

Sie können den Verschlüsselungskontext in Schlüsselrichtlinien und IAM-Richtlinien als Bedingungen verwenden, um den Zugriff auf Ihren symmetrischen, vom Kunden verwalteten Schlüssel zu kontrollieren. Sie können Verschlüsselungskontext-Einschränkungen auch in einer Genehmigung verwenden.

OpenSearch Benutzerdefinierte Servicepakete verwenden eine Einschränkung des Verschlüsselungskontextes bei Zuweisungen, um den Zugriff auf den vom Kunden verwalteten Schlüssel in Ihrem Konto oder Ihrer Region zu steuern. Eine Genehmigungseinschränkung erfordert, dass durch die Genehmigung ermöglichte Vorgänge den angegebenen Verschlüsselungskontext verwenden.

Im Folgenden finden Sie Beispiele für Schlüsselrichtlinienanweisungen zur Gewährung des Zugriffs auf einen vom Kunden verwalteten Schlüssel für einen bestimmten Verschlüsselungskontext. Die Bedingung in dieser Richtlinienanweisung setzt voraus, dass die Genehmigungen eine Einschränkung des Verschlüsselungskontextes haben, die den Verschlüsselungskontext spezifiziert.


{
    "Sid": "Enable DescribeKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
    },
    "Action": "kms:DescribeKey",
    "Resource": "*"
},
{
    "Sid": "Enable OpenSearch Service custom packages to use the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
    },
    "Action" : [
         "kms:CreateGrant",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals" : {
            "kms:EncryptionContext:packageId": "ID of the package"
         }
    }
}

Überwachen von Verschlüsselungsschlüsseln für den OpenSearch benutzerdefinierten Paketservice

Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel zusammen mit Ihren OpenSearch Serviceressourcen für benutzerdefinierte Pakete verwenden, können Sie CloudTrail oder CloudWatch Logs verwenden, um Anfragen nachzuverfolgen, an die OpenSearch benutzerdefinierte Pakete gesendet AWS KMS werden.

Weitere Informationen

Die folgenden Ressourcen enthalten weitere Informationen zur Datenverschlüsselung im Ruhezustand:

  • Weitere Informationen zu AWS KMS grundlegenden Konzepten finden Sie AWS KMS keysim AWS Key Management Service Entwicklerhandbuch.

  • Weitere Informationen zu bewährten Sicherheitsmethoden für AWS KMS finden Sie im AWS Prescriptive Guidance Guide mit AWS Key Management Service bewährten Methoden.