AWS KMS Integración de paquetes personalizados de Amazon OpenSearch Service - OpenSearch Servicio Amazon
Cómo el OpenSearch servicio de paquetes personalizados de Amazon Service utiliza las subvenciones en AWS KMSCreación de una clave administrada por el clienteEspecifica una clave gestionada por el cliente para los paquetes personalizados OpenSearch de Amazon ServiceContexto de cifrado de paquetes personalizados de Amazon OpenSearch ServiceServicio de supervisión de sus claves de cifrado para paquetes OpenSearch personalizados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS KMS Integración de paquetes personalizados de Amazon OpenSearch Service

Los paquetes personalizados de Amazon OpenSearch Service proporcionan cifrado de forma predeterminada para proteger tus ZIP-PLUGIN paquetes en reposo Claves administradas por AWS.

  • Claves propiedad de AWS— Los paquetes personalizados de Amazon OpenSearch Service utilizan estas claves de forma predeterminada para cifrar automáticamente tus ZIP-PLUGIN paquetes. No puedes ver, gestionar, usar Claves propiedad de AWS ni auditar su uso. Sin embargo, no necesita realizar ninguna acción ni cambiar ningún programa para proteger las claves que cifran los datos. Para obtener más información, consulte Claves propiedad de AWS en la Guía para desarrolladores de AWS Key Management Service .

  • Claves administradas por el cliente: puedes añadir una segunda capa de cifrado sobre la existente si eliges una clave administrada Claves propiedad de AWS por el cliente al crear tu paquete ZIP-PLUGIN personalizado.

    Los paquetes personalizados de Amazon OpenSearch Service admiten el uso de una clave simétrica gestionada por el cliente que tú creas, posees y gestionas para añadir una segunda capa de cifrado sobre el cifrado que ya AWS tienes. Como tienes el control total de esta capa de cifrado, puedes realizar las siguientes tareas:

    • Establecer y mantener políticas de claves.

    • Establezca y mantenga políticas y subvenciones AWS Identity and Access Management (IAM)

    • Habilitar y deshabilitar políticas de claves.

    • Rotar el material criptográfico.

    • Agregar etiquetas.

    • Crear alias de claves.

    • Programar la eliminación de claves.

Para más información, consulte las claves administradas por el cliente en la Guía para desarrolladores de AWS Key Management Service .

nota

Los paquetes personalizados de Amazon OpenSearch Service permiten automáticamente el cifrado Claves propiedad de AWS en reposo sin coste alguno. Sin embargo, se aplican AWS KMS cargos cuando utilizas una clave gestionada por el cliente. Para obtener más información acerca de los precios, consulte Precios de AWS Key Management Service.

Cómo el OpenSearch servicio de paquetes personalizados de Amazon Service utiliza las subvenciones en AWS KMS

OpenSearch Los paquetes personalizados de Service requieren una autorización para usar tu clave gestionada por el cliente.

Cuando creas un ZIP-PLUGIN paquete cifrado con una clave gestionada por el cliente, el OpenSearch servicio de paquetes personalizados de Amazon Service crea una concesión en tu nombre enviando una CreateGrantsolicitud a AWS KMS. Otorga AWS KMS a OpenSearch In Give Service acceso a una AWS KMS clave de tu cuenta. Las concesiones creadas por los paquetes personalizados del OpenSearch Servicio tienen una restricción que permite realizar operaciones únicamente cuando la solicitud incluye un contexto de cifrado con el identificador del paquete personalizado.

Los paquetes personalizados de Amazon OpenSearch Service requieren la autorización para utilizar tu clave gestionada por el cliente en las siguientes operaciones internas:

Operación Descripción
DescribeKey Envía DescribeKey solicitudes AWS KMS para comprobar que el identificador de clave simétrico gestionado por el cliente introducido al crear el paquete de complementos es válido.
GenerateDataKeyWithoutPlaintext Envía GenerateDataKeyWithoutPlaintext solicitudes AWS KMS para generar claves de datos cifradas por la clave gestionada por el cliente.
GenerateDataKey Envía GenerateDataKey solicitudes AWS KMS para generar claves de datos para cifrar el paquete al copiarlo internamente.
Decrypt Envía Decrypt solicitudes AWS KMS para descifrar las claves de datos cifradas para que puedan usarse para descifrar los datos.

Puede revocar el acceso a la concesión o eliminar el acceso del servicio a la clave gestionada por el cliente en cualquier momento. Si lo haces, el OpenSearch Servicio no podrá acceder a ningún dato cifrado por la clave gestionada por el cliente, lo que afectará a las operaciones que dependen de esos datos. Por ejemplo, si intentas asociar un paquete de complementos al que OpenSearch Service no puede acceder, la operación devuelve un AccessDeniedException error.

Creación de una clave administrada por el cliente

Puede crear una clave simétrica gestionada por el cliente mediante el AWS Management Console o el AWS KMS APIs.

Para crear una clave simétrica administrada por el cliente

  • Siga los pasos que se indican en la Guía para AWS Key Management Service desarrolladores sobre cómo crear una clave KMS.

Política de claves

Las políticas de clave controlan el acceso a la clave administrada por el cliente. Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Cuando crea la clave administrada por el cliente, puede especificar una política de clave. Para obtener más información, consulte Políticas de claves en AWS KMS en la Guía para desarrolladores de AWS Key Management Service .

Para usar la clave gestionada por el cliente con los recursos del complemento, debes permitir las siguientes operaciones de API en la política de claves:

  • kms:CreateGrant: añade una concesión a una clave administrada por el cliente. Otorga el acceso de control a una AWS KMS clave específica, lo que permite acceder a las operaciones de concesión que requieren los paquetes personalizados del OpenSearch Servicio. Para obtener más información sobre el uso de las subvenciones, consulta la Guía para AWS KMS desarrolladores.

    Esto permite al OpenSearch Servicio hacer lo siguiente:

    • Llame GenerateDataKeyWithoutPlainText para generar una clave de datos cifrada y almacenarla para futuras validaciones.

    • Llama GenerateDataKey para copiar el paquete de complementos internamente.

    • Llama Decrypt para acceder al paquete de complementos internamente.

    • Configurar una entidad principal que se retire para permitir que el servicio RetireGrant.

  • kms:DescribeKey— Proporciona los detalles clave gestionados por el cliente para que el OpenSearch Servicio pueda validar la clave.

  • kms:GenerateDataKey,kms:GenerateDataKeyWithoutPlaintext, kms:Decrypt — Da acceso a los paquetes personalizados del OpenSearch Servicio para utilizar estas operaciones en la concesión.

Los siguientes son ejemplos de declaraciones de políticas que puede añadir a los paquetes personalizados del OpenSearch Servicio:


"Statement" : [
  {
    "Sid" : "Allow access to principals authorized to use OpenSearch Service custom packages",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "*"
    },
    "Action" : [
      "kms:CreateGrant",
      "kms:GenerateDataKey",
      "kms:GenerateDataKeyWithoutPlaintext",
      "kms:Decrypt"
    ],
    "Resource" : "*",
    "Condition" : {
      "StringEquals" : {
        "kms:ViaService" : "custom-packages.region.amazonaws.com"
      },
      "StringEquals" : {
        "kms:EncryptionContext:packageId": "Id of the package"
      }
    }
  },
  {
    "Sid" : "Allow access to principals authorized to use Amazon OpenSearch Service custom packages",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "*"
    },
    "Action" : [
      "kms:DescribeKey"
    ],
    "Resource" : "*",
    "Condition" : {
      "StringEquals" : {
        "kms:ViaService" : "custom-packages.region.amazonaws.com"
      }
    }
  }
]

Para obtener más información sobre cómo especificar los permisos en una política, consulte las políticas clave AWS KMS en la Guía para AWS Key Management Service desarrolladores.

Para obtener más información sobre la solución de problemas de acceso a las claves, consulte Solución de problemas de AWS KMS permisos en la Guía para AWS Key Management Service desarrolladores.

Especifica una clave gestionada por el cliente para los paquetes personalizados OpenSearch de Amazon Service

Puedes especificar una clave gestionada por el cliente como segunda capa de cifrado para tus ZIP-PLUGIN paquetes.

Al crear un paquete de complementos, puede especificar la clave de datos introduciendo un identificador de AWS KMS clave, que los paquetes personalizados del OpenSearch Servicio utilizan para cifrar el paquete de complementos.

AWS KMS ID de clave: identificador de clave para una clave gestionada por el AWS KMS cliente. Introduzca el ID de la clave, el ARN de la clave, el nombre de alias o el ARN del alias.

Contexto de cifrado de paquetes personalizados de Amazon OpenSearch Service

Un contexto de cifrado es un conjunto opcional de pares clave-valor que pueden contener información contextual adicional sobre los datos.

AWS KMS utiliza el contexto de cifrado como datos autenticados adicionales para respaldar el cifrado autenticado. Al incluir un contexto de cifrado en una solicitud de cifrado de datos, AWS KMS vincula el contexto de cifrado a los datos cifrados. Para descifrar los datos, debe incluir el mismo contexto de cifrado en la solicitud.

Contexto de cifrado de paquetes personalizados de Amazon OpenSearch Service

Los paquetes personalizados de Amazon OpenSearch Service utilizan el mismo contexto de cifrado en todas las operaciones AWS KMS criptográficas, donde la clave es packageId y el valor es el package-id del paquete de complementos.

Utilice el contexto de cifrado para la supervisión

Si utilizas una clave simétrica gestionada por el cliente para cifrar tu paquete de complementos, puedes utilizar el contexto de cifrado en los registros y registros de auditoría para identificar cómo se utiliza la clave gestionada por el cliente. El contexto de cifrado también aparece en los registros generados por AWS CloudTrail Amazon CloudWatch Logs.

Utilizar el contexto de cifrado para controlar el acceso a la clave administrada por el cliente

Puede utilizar el contexto de cifrado en políticas de claves y políticas de IAM como condiciones para controlar el acceso a su clave simétrica administrada por el cliente. Puede usar también una restricción de contexto de cifrado en una concesión.

OpenSearch Los paquetes personalizados de servicios utilizan una restricción del contexto de cifrado en las concesiones para controlar el acceso a la clave gestionada por el cliente en su cuenta o región. La restricción de concesión requiere que las operaciones que permite la concesión utilicen el contexto de cifrado especificado.

Los siguientes son ejemplos de declaraciones de política de claves para conceder acceso a una clave administrada por el cliente para un contexto de cifrado específico. La condición de esta declaración de política exige que las concesiones tengan una restricción de contexto de cifrado que especifique el contexto de cifrado.


{
    "Sid": "Enable DescribeKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
    },
    "Action": "kms:DescribeKey",
    "Resource": "*"
},
{
    "Sid": "Enable OpenSearch Service custom packages to use the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
    },
    "Action" : [
         "kms:CreateGrant",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals" : {
            "kms:EncryptionContext:packageId": "ID of the package"
         }
    }
}

Servicio de supervisión de sus claves de cifrado para paquetes OpenSearch personalizados

Cuando utilizas una clave gestionada por el AWS KMS cliente con los recursos del OpenSearch servicio de paquetes personalizados, puedes utilizar CloudTrail nuestros CloudWatch registros para realizar un seguimiento de las solicitudes a las que se envían los paquetes OpenSearch personalizados AWS KMS.

Más información

Los siguientes recursos proporcionan más información sobre cifrado de datos en reposo.

  • Para obtener más información sobre los conceptos AWS KMS básicos, consulte AWS KMS keysla Guía para AWS Key Management Service desarrolladores.

  • Para obtener más información sobre las mejores prácticas de seguridad AWS KMS, consulte la guía de orientación AWS prescriptiva para conocer las AWS Key Management Service mejores prácticas.