Chiffrement et clés KMS dans les groupes de collecte - Amazon OpenSearch Service
Partage OCUs entre différentes clés KMSAutorisations KMS requises

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement et clés KMS dans les groupes de collecte

Chaque collection OpenSearch Serverless que vous créez est protégée par le chiffrement des données au repos utilisé AWS KMS pour stocker et gérer vos clés de chiffrement. Lorsque vous travaillez avec des groupes de collecte, vous disposez d'une certaine flexibilité dans la manière dont vous spécifiez la clé KMS pour vos collections.

Vous pouvez fournir la clé KMS associée à une collection de deux manières :

  • Dans la CreateCollection demande — Spécifiez la clé KMS directement lorsque vous créez la collection à l'aide du encryption-config paramètre.

  • Dans les politiques de sécurité : définissez l'association de clés KMS dans une politique de sécurité de chiffrement.

Lorsque vous spécifiez une clé KMS aux deux emplacements, la clé KMS fournie dans la CreateCollection demande a priorité sur la configuration de la politique de sécurité.

Cette flexibilité simplifie la gestion des collections à grande échelle, en particulier lorsque vous devez créer plusieurs collections avec des clés KMS uniques. Au lieu de créer et de gérer des milliers de politiques de chiffrement, vous pouvez spécifier la clé KMS directement lors de la création de la collection.

Partage OCUs entre différentes clés KMS

Les groupes de collections permettent de partager les ressources de calcul entre les collections dotées de différentes clés KMS. Les collections d'un même groupe de collections partagent l'espace mémoire OCU, quelles que soient leurs clés de chiffrement. Ce modèle de calcul partagé réduit les coûts en éliminant le besoin d'une clé KMS distincte OCUs pour chaque clé KMS.

Les groupes de collecte fournissent une isolation pour répondre aux exigences de sécurité et de performance. Vous pouvez regrouper les collections avec la même clé KMS dans un seul groupe de collecte pour l'isolation de sécurité, ou combiner des collections avec différentes clés KMS dans le même groupe pour optimiser les coûts. Cette flexibilité vous permet de trouver un équilibre entre les exigences de sécurité et l'efficacité des ressources.

Le système assure la sécurité en chiffrant les données de chaque collection avec sa clé KMS désignée. Les contrôles d'accès continuent de s'appliquer au niveau de la collecte, et les ressources informatiques partagées accèdent à plusieurs clés KMS selon les besoins pour servir les collections du groupe.

Autorisations KMS requises

Lorsque vous spécifiez une clé KMS dans la CreateCollection demande, vous avez besoin des autorisations supplémentaires suivantes :

  • kms:DescribeKey— Permet à OpenSearch Serverless de récupérer des informations sur la clé KMS.

  • kms:CreateGrant— Permet à OpenSearch Serverless de créer une autorisation pour la clé KMS afin de permettre les opérations de chiffrement.

Ces autorisations ne sont pas requises lors de l'utilisation de clés AWS détenues.