Claves de cifrado y KMS en grupos de recopilación - OpenSearch Servicio Amazon
Compartir OCUs entre diferentes claves de KMSPermisos de KMS necesarios

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Claves de cifrado y KMS en grupos de recopilación

Cada colección OpenSearch sin servidor que cree está protegida mediante el cifrado de los datos en reposo, que se utiliza AWS KMS para almacenar y administrar sus claves de cifrado. Al trabajar con grupos de colecciones, tiene flexibilidad a la hora de especificar la clave KMS para sus colecciones.

Puede proporcionar la clave KMS asociada a una colección de dos maneras:

  • En la CreateCollection solicitud: especifique la clave de KMS directamente al crear la colección mediante el encryption-config parámetro.

  • En las políticas de seguridad: defina la asociación de claves KMS en una política de seguridad de cifrado.

Al especificar una clave de KMS en ambas ubicaciones, la clave de KMS proporcionada en la CreateCollection solicitud tiene prioridad sobre la configuración de la política de seguridad.

Esta flexibilidad simplifica la administración de las colecciones a escala, especialmente cuando se necesitan crear varias colecciones con claves KMS únicas. En lugar de crear y administrar miles de políticas de cifrado, puede especificar la clave KMS directamente durante la creación de la colección.

Compartir OCUs entre diferentes claves de KMS

Los grupos de colecciones permiten compartir recursos de cómputo entre colecciones con diferentes claves de KMS. Las colecciones del mismo grupo de colecciones comparten el espacio de memoria de la OCU, independientemente de sus claves de cifrado. Este modelo de procesamiento compartido reduce los costos al eliminar la necesidad de separar OCUs cada clave KMS.

Los grupos de recopilación proporcionan aislamiento para cumplir con los requisitos de seguridad y rendimiento. Puede agrupar las colecciones con la misma clave de KMS en un único grupo de recopilación para aislarlas por motivos de seguridad, o bien combinar las colecciones con diferentes claves de KMS en el mismo grupo para optimizar los costes. Esta flexibilidad le permite equilibrar los requisitos de seguridad con la eficiencia de los recursos.

El sistema mantiene la seguridad al cifrar los datos de cada colección con la clave KMS designada. Los controles de acceso siguen aplicándose a nivel de recopilación y los recursos informáticos compartidos acceden a varias claves de KMS según sea necesario para atender las recopilaciones del grupo.

Permisos de KMS necesarios

Cuando especificas una clave de KMS en la CreateCollection solicitud, necesitas los siguientes permisos adicionales:

  • kms:DescribeKey— Permite a OpenSearch Serverless recuperar información sobre la clave KMS.

  • kms:CreateGrant— Permite a OpenSearch Serverless crear una concesión para la clave KMS a fin de habilitar las operaciones de cifrado.

Estos permisos no son necesarios cuando se utilizan claves AWS propias.