Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS KMS Intégration du package personnalisé Amazon OpenSearch Service
Les packages personnalisés Amazon OpenSearch Service fournissent un cryptage par défaut pour protéger vos ZIP-PLUGIN packages au repos en utilisant Clés gérées par AWS.
-
Clés détenues par AWS— Les packages personnalisés Amazon OpenSearch Service utilisent ces clés par défaut pour chiffrer automatiquement vos
ZIP-PLUGINcolis. Vous ne pouvez pas afficher, gérer, utiliser Clés détenues par AWS ou auditer leur utilisation. Cependant, il n'est pas nécessaire de prendre des mesures ni de modifier de programme pour protéger les clés qui chiffrent vos données. Pour plus d’informations, consultez Clés détenues par AWS dans le Guide du développeur AWS Key Management Service . -
Clés gérées par le client — Vous pouvez ajouter une deuxième couche de chiffrement à l'existant Clés détenues par AWS en choisissant une clé gérée par le client lors de la création de votre package
ZIP-PLUGINpersonnalisé.Les packages personnalisés Amazon OpenSearch Service prennent en charge l'utilisation d'une clé symétrique gérée par le client que vous créez, détenez et gérez pour ajouter une deuxième couche de chiffrement par rapport au chiffrement que vous AWS possédez déjà. Comme vous avez le contrôle total de cette couche de chiffrement, vous pouvez effectuer les tâches suivantes :
-
Établir et maintenir des politiques clés
-
Établir et maintenir des politiques et des subventions AWS Identity and Access Management (IAM)
-
Activer et désactiver les politiques clés
-
Faire pivoter le matériel cryptographique clé
-
Ajout de balises
-
Création d'alias clés
-
Planifier la suppression des clés
-
Pour plus d'informations, consultez Clés gérées par le client dans le Guide du développeur AWS Key Management Service (langue française non garantie).
Note
Les packages personnalisés Amazon OpenSearch Service activent automatiquement le chiffrement Clés détenues par AWS au repos sans frais. Toutefois, AWS KMS des frais s'appliquent lorsque vous utilisez une clé gérée par le client. Pour de plus amples informations sur la tarification, veuillez consulter AWS Key Management Service
Tarification
Comment le OpenSearch service de packages personnalisés Amazon Service utilise les subventions dans AWS KMS
OpenSearch Les packages personnalisés de service nécessitent une autorisation pour utiliser votre clé gérée par le client.
Lorsque vous créez un ZIP-PLUGIN package chiffré à l'aide d'une clé gérée par le client, le OpenSearch service de packages personnalisés Amazon Service crée une subvention en votre nom en envoyant une CreateGrantdemande à AWS KMS. Les autorisations AWS KMS permettent au OpenSearch Service d'accéder à une AWS KMS clé de votre compte. Les autorisations créées par les packages personnalisés du OpenSearch Service sont soumises à une contrainte qui autorise les opérations uniquement lorsque la demande inclut un contexte de chiffrement avec votre ID de package personnalisé.
Les packages personnalisés Amazon OpenSearch Service nécessitent l'autorisation d'utiliser votre clé gérée par le client pour les opérations internes suivantes :
| Opération | Description |
|---|---|
DescribeKey |
Envoie DescribeKey des demandes AWS KMS à pour vérifier que l'ID de clé symétrique géré par le client saisi lors de la création du package de plug-in est valide. |
GenerateDataKeyWithoutPlaintext |
Envoie GenerateDataKeyWithoutPlaintext des demandes AWS KMS pour générer des clés de données chiffrées par votre clé gérée par le client. |
GenerateDataKey |
Envoie des GenerateDataKey demandes AWS KMS à pour générer des clés de données afin de chiffrer le package lors de sa copie interne. |
Decrypt |
Envoie Decrypt des demandes AWS KMS pour déchiffrer les clés de données chiffrées afin qu'elles puissent être utilisées pour déchiffrer vos données. |
Vous pouvez révoquer l'accès à l'autorisation ou supprimer l'accès du service à la clé gérée par le client à tout moment. Dans ce cas, le OpenSearch Service ne pourra accéder à aucune donnée chiffrée par la clé gérée par le client, ce qui affectera les opérations qui dépendent de ces données. Par exemple, si vous tentez d'associer un package de plug-in auquel OpenSearch Service ne peut pas accéder, l'opération renvoie une AccessDeniedException erreur.
Création d’une clé gérée par le client
Vous pouvez créer une clé symétrique gérée par le client en utilisant le AWS Management Console ou le AWS KMS APIs.
Pour créer une clé symétrique gérée par le client
-
Suivez les étapes décrites dans la section Création d'une clé KMS dans le guide du AWS Key Management Service développeur.
Stratégie de clé
Les stratégies de clé contrôlent l’accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez spécifier une stratégie de clé. Pour plus d’informations, consultez Politiques de clé dans AWS KMS dans le Guide du développeur AWS Key Management Service .
Pour utiliser votre clé gérée par le client avec les ressources de votre plugin, vous devez autoriser les opérations d'API suivantes dans la politique des clés :
-
kms:CreateGrant: ajoute une attribution à une clé gérée par le client. Accorde un accès de contrôle à une AWS KMS clé spécifiée, permettant d'autoriser les opérations requises par les packages personnalisés du OpenSearch Service. Pour plus d'informations sur l'utilisation des subventions, consultez le guide du AWS KMS développeur.Cela permet au OpenSearch Service d'effectuer les opérations suivantes :
-
Appelez
GenerateDataKeyWithoutPlainTextpour générer une clé de données cryptée et la stocker pour d'autres validations. -
Appelez
GenerateDataKeypour copier le package du plugin en interne. -
Appelez
Decryptpour accéder au package du plugin en interne. -
Configurez un directeur partant à la retraite pour permettre au service de
RetireGrant.
-
-
kms:DescribeKey— Fournit les informations clés gérées par le client pour permettre au OpenSearch service de valider la clé. -
kms:GenerateDataKey,kms:GenerateDataKeyWithoutPlaintext,kms:Decrypt— Permet aux packages personnalisés du OpenSearch Service d'utiliser ces opérations dans le cadre de la subvention.
Vous trouverez ci-dessous des exemples de déclarations de politique que vous pouvez ajouter pour les packages personnalisés de OpenSearch service :
"Statement" : [ { "Sid" : "Allow access to principals authorized to use OpenSearch Service custom packages", "Effect" : "Allow", "Principal" : { "AWS" : "*" }, "Action" : [ "kms:CreateGrant", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt" ], "Resource" : "*", "Condition" : { "StringEquals" : { "kms:ViaService" : "custom-packages.region.amazonaws.com" }, "StringEquals" : { "kms:EncryptionContext:packageId": "Id of the package" } } }, { "Sid" : "Allow access to principals authorized to use Amazon OpenSearch Service custom packages", "Effect" : "Allow", "Principal" : { "AWS" : "*" }, "Action" : [ "kms:DescribeKey" ], "Resource" : "*", "Condition" : { "StringEquals" : { "kms:ViaService" : "custom-packages.region.amazonaws.com" } } } ]
Pour plus d'informations sur la spécification des autorisations dans une politique, consultez la section Politiques clés du Guide du AWS Key Management Service développeur. AWS KMS
Pour plus d'informations sur la résolution des problèmes d'accès par clé, consultez la section Résolution AWS KMS des problèmes liés aux autorisations dans le Guide du AWS Key Management Service développeur.
Spécifiez une clé gérée par le client pour les packages personnalisés Amazon OpenSearch Service
Vous pouvez spécifier une clé gérée par le client comme deuxième couche de chiffrement pour vos ZIP-PLUGIN packages.
Lorsque vous créez un package de plug-in, vous pouvez spécifier la clé de données en saisissant un ID de AWS KMS clé, que les packages personnalisés du OpenSearch service utilisent pour chiffrer le package de plug-in.
AWS KMS ID de clé — Identifiant de clé pour une clé gérée par le AWS KMS client. Saisissez un ID de clé, un ARN de clé, un nom d'alias ou un ARN d'alias.
Contexte de chiffrement des packages personnalisés Amazon OpenSearch Service
Un contexte de chiffrement est un ensemble facultatif de paires clé-valeur qui contient des informations contextuelles supplémentaires sur les données.
AWS KMS utilise le contexte de chiffrement comme données authentifiées supplémentaires pour prendre en charge le chiffrement authentifié. Lorsque vous incluez un contexte de chiffrement dans une demande de chiffrement de données, AWS KMS lie le contexte de chiffrement aux données chiffrées. Pour déchiffrer les données, vous devez inclure le même contexte de chiffrement dans la demande.
Contexte de chiffrement des packages personnalisés Amazon OpenSearch Service
Les packages personnalisés Amazon OpenSearch Service utilisent le même contexte de chiffrement dans toutes les opérations AWS KMS cryptographiques, où la clé se trouve packageId et la valeur est le package package-id de votre plugin.
Utiliser le contexte de chiffrement pour la surveillance
Lorsque vous utilisez une clé symétrique gérée par le client pour chiffrer votre package de plug-in, vous pouvez utiliser le contexte de chiffrement dans les enregistrements d'audit et les journaux pour identifier la manière dont la clé gérée par le client est utilisée. Le contexte de chiffrement apparaît également dans les journaux générés par AWS CloudTrail ou Amazon CloudWatch Logs.
Utilisation du contexte de chiffrement pour contrôler l'accès à votre clé gérée par le client
Vous pouvez utiliser le contexte de chiffrement dans les stratégies de clé et les politiques IAM en tant que conditions pour contrôler l'accès à votre clé symétrique gérée par le client. Vous pouvez également utiliser des contraintes de contexte de chiffrement dans un octroi.
OpenSearch Les packages personnalisés de service utilisent une contrainte de contexte de chiffrement dans les autorisations afin de contrôler l'accès à la clé gérée par le client dans votre compte ou votre région. La contrainte d'octroi exige que les opérations autorisées par l'octroi utilisent le contexte de chiffrement spécifié.
Vous trouverez ci-dessous des exemples de déclarations de stratégie de clé permettant d'accorder l'accès à une clé gérée par le client dans un contexte de chiffrement spécifique. La condition énoncée dans cette déclaration de stratégie exige que les octrois comportent une contrainte de contexte de chiffrement qui spécifie le contexte de chiffrement.
{ "Sid": "Enable DescribeKey", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole" }, "Action": "kms:DescribeKey", "Resource": "*" }, { "Sid": "Enable OpenSearch Service custom packages to use the key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole" }, "Action" : [ "kms:CreateGrant", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringEquals" : { "kms:EncryptionContext:packageId": "ID of the package" } } }
Surveillance de vos clés de chiffrement pour le service de packages OpenSearch personnalisés
Lorsque vous utilisez une clé gérée par le AWS KMS client avec les ressources du OpenSearch service de packages personnalisés de votre service, vous pouvez utiliser CloudTrail or CloudWatch Logs pour suivre les demandes auxquelles les packages OpenSearch personnalisés sont envoyés AWS KMS.
En savoir plus
Les ressources suivantes fournissent plus d'informations sur le chiffrement des données au repos.
-
Pour plus d'informations sur AWS KMS les concepts de base, consultez AWS KMS keysle guide du AWS Key Management Service développeur.
-
Pour plus d'informations sur les meilleures pratiques de sécurité pour AWS KMS, consultez le guide AWS prescriptif sur les AWS Key Management Service meilleures pratiques.
