AWS KMS Intégration du package personnalisé Amazon OpenSearch Service - Amazon OpenSearch Service
Comment le OpenSearch service de packages personnalisés Amazon Service utilise les subventions dans AWS KMSCréation d’une clé gérée par le clientSpécification d'une clé gérée par le client pour les packages personnalisés Amazon OpenSearch ServiceContexte de chiffrement des packages personnalisés Amazon OpenSearch ServiceSurveillance de vos clés de chiffrement pour un service de packages OpenSearch personnalisés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS KMS Intégration du package personnalisé Amazon OpenSearch Service

Les packages personnalisés Amazon OpenSearch Service fournissent un cryptage par défaut pour protéger vos ZIP-PLUGIN packages au repos en utilisant Clés gérées par AWS.

  • Clés détenues par AWS— Les packages personnalisés Amazon OpenSearch Service utilisent ces clés par défaut pour chiffrer automatiquement vos ZIP-PLUGIN colis. Vous ne pouvez pas afficher, gérer ou utiliser les clés, Clés détenues par AWS ou vérifier leur utilisation. Toutefois, vous n'avez pas besoin de prendre de mesure ou de modifier les programmes pour protéger les clés qui chiffrent les données. Pour plus d’informations, consultez Clés détenues par AWS dans le Guide du développeur AWS Key Management Service .

  • Clés gérées par le client : vous pouvez ajouter une deuxième couche de chiffrement à l'existant Clés détenues par AWS en choisissant une clé gérée par le client lors de la création de votre package ZIP-PLUGIN personnalisé.

    Les packages personnalisés Amazon OpenSearch Service prennent en charge l'utilisation d'une clé symétrique gérée par le client que vous créez, détenez et gérez afin d'ajouter une deuxième couche de chiffrement au chiffrement existant AWS détenu par. Étant donné que vous avez le contrôle total de cette couche de chiffrement, vous pouvez effectuer les tâches suivantes :

    • Établir et maintenir des politiques clés

    • Établir et maintenir des politiques et des subventions AWS Identity and Access Management (IAM)

    • Activer et désactiver des stratégies de clé

    • Rotation des matériaux de chiffrement de clé

    • Ajout de balises

    • Créez des alias de clé

    • Planifier les clés pour la suppression

Pour plus d'informations, consultez Clés gérées par le client dans le Guide du développeur AWS Key Management Service (langue française non garantie).

Note

Les packages personnalisés Amazon OpenSearch Service activent automatiquement le chiffrement Clés détenues par AWS au repos sans frais. Toutefois, AWS KMS facture des frais liés à l'utilisation d'une clé gérée par le client. Pour de plus amples informations sur la tarification, veuillez consulter AWS Key Management Service Tarification.

Comment le OpenSearch service de packages personnalisés Amazon Service utilise les subventions dans AWS KMS

OpenSearch Les packages personnalisés de service nécessitent un octroi pour utiliser votre clé gérée par le client.

Lorsque vous créez un ZIP-PLUGIN package chiffré à l'aide d'une clé gérée par le client, le OpenSearch service de packages personnalisés Amazon Service crée un octroi en votre nom en envoyant une CreateGrantdemande à AWS KMS. Les autorisations AWS KMS permettent au OpenSearch Service d'accéder à une AWS KMS clé de votre compte. Les autorisations créées par les packages personnalisés du OpenSearch Service sont soumises à une contrainte qui autorise les opérations uniquement lorsque la demande inclut un contexte de chiffrement avec votre ID de package personnalisé.

Les packages personnalisés Amazon OpenSearch Service nécessitent l'octroi d'utiliser votre clé gérée par le client pour les opérations internes suivantes :

Opération Description
DescribeKey Envoie DescribeKey des requêtes AWS KMS à pour vérifier que l'ID de clé symétrique gérée par le client saisi lors de la création du package de plug-in est valide.
GenerateDataKeyWithoutPlaintext Envoie GenerateDataKeyWithoutPlaintext des requêtes AWS KMS à pour générer des clés de données chiffrées par la clé gérée par le client.
GenerateDataKey Envoie des GenerateDataKey demandes AWS KMS à pour générer des clés de données afin de chiffrer le package lors de sa copie interne.
Decrypt Envoie Decrypt des requêtes AWS KMS à pour déchiffrer les clés de données chiffrées afin qu'elles puissent être utilisées pour déchiffrer vos données.

Vous pouvez révoquer l'accès à l'octroi ou supprimer l'accès du service à la clé gérée par le client à tout moment. Dans ce cas, le OpenSearch Service ne pourra accéder à aucune des données chiffrées par la clé gérée par le client, ce qui affectera les opérations qui dépendent de ces données. Par exemple, si vous tentez d'associer un package de plug-in auquel OpenSearch Service ne peut pas accéder, l'opération renvoie une AccessDeniedException erreur.

Création d’une clé gérée par le client

Vous pouvez créer une clé symétrique gérée par le client à l'aide de la AWS Management Console ou de la AWS KMS APIs.

Pour créer une clé symétrique gérée par le client

Stratégie de clé

Les stratégies de clé contrôlent l’accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez spécifier une stratégie de clé. Pour plus d’informations, consultez Politiques de clé dans AWS KMS dans le Guide du développeur AWS Key Management Service .

Pour utiliser votre clé gérée par le client avec les ressources de votre plugin, vous devez autoriser les opérations d'API suivantes dans la stratégie de clé :

  • kms:CreateGrant : ajoute une attribution à une clé gérée par le client. Accorde un accès de contrôle à une AWS KMS clé spécifiée, permettant d'autoriser les opérations requises par les packages personnalisés du OpenSearch Service. Pour de plus amples informations sur l'utilisation des subventions, veuillez consulter le Guide du AWS KMS développeur.

    Cela permet au OpenSearch Service d'effectuer les opérations suivantes :

    • Appelez GenerateDataKeyWithoutPlainText pour générer une clé de données chiffrée et la stocker pour d'autres validations.

    • Appelez GenerateDataKey pour copier le package du plugin en interne.

    • Appelez Decrypt pour accéder au package du plugin en interne.

    • Configurez un directeur partant à la retraite pour permettre au service deRetireGrant.

  • kms:DescribeKey: fournit les détails des clés gérées par le client pour permettre au OpenSearch service de valider la clé.

  • kms:GenerateDataKey,kms:GenerateDataKeyWithoutPlaintext, kms:Decrypt — Permet aux packages personnalisés du OpenSearch Service d'utiliser ces opérations dans le cadre de la subvention.

Voici des exemples de déclarations de stratégie que vous pouvez ajouter pour les packages personnalisés de OpenSearch service :


"Statement" : [
  {
    "Sid" : "Allow access to principals authorized to use OpenSearch Service custom packages",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "*"
    },
    "Action" : [
      "kms:CreateGrant",
      "kms:GenerateDataKey",
      "kms:GenerateDataKeyWithoutPlaintext",
      "kms:Decrypt"
    ],
    "Resource" : "*",
    "Condition" : {
      "StringEquals" : {
        "kms:ViaService" : "custom-packages.region.amazonaws.com"
      },
      "StringEquals" : {
        "kms:EncryptionContext:packageId": "Id of the package"
      }
    }
  },
  {
    "Sid" : "Allow access to principals authorized to use Amazon OpenSearch Service custom packages",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "*"
    },
    "Action" : [
      "kms:DescribeKey"
    ],
    "Resource" : "*",
    "Condition" : {
      "StringEquals" : {
        "kms:ViaService" : "custom-packages.region.amazonaws.com"
      }
    }
  }
]

Pour plus d'informations sur la spécification des autorisations dans une politique, consultez la section Politiques clés du Guide du AWS Key Management Service développeur. AWS KMS

Pour plus d'informations sur la résolution des problèmes d'accès par clé, consultez la section Résolution AWS KMS des problèmes liés aux autorisations dans le Guide du AWS Key Management Service développeur.

Spécification d'une clé gérée par le client pour les packages personnalisés Amazon OpenSearch Service

Vous pouvez spécifier une clé gérée par le client en tant que deuxième couche de chiffrement pour vos ZIP-PLUGIN packages.

Lorsque vous créez un package de plug-in, vous pouvez spécifier la clé de données en saisissant un ID de AWS KMS clé, que les packages personnalisés du OpenSearch service utilisent pour chiffrer le package de plug-in.

AWS KMS ID de clé : un identifiant de clé pour une clé gérée par le AWS KMS client. Saisissez un ID de clé, un ARN de clé, un nom d'alias ou un ARN d'alias.

Contexte de chiffrement des packages personnalisés Amazon OpenSearch Service

Un contexte de chiffrement est un ensemble facultatif de paires clé-valeur qui contient des informations contextuelles supplémentaires sur les données.

AWS KMS utilise le contexte de chiffrement en tant que données authentifiées supplémentaires pour prendre en charge le chiffrement authentifié. Lorsque vous incluez un contexte de chiffrement dans une demande de chiffrement de données, AWS KMS lie le contexte de chiffrement aux données chiffrées. Pour déchiffrer les données, vous devez inclure le même contexte de chiffrement dans la demande.

Contexte de chiffrement des packages personnalisés Amazon OpenSearch Service

Les packages personnalisés Amazon OpenSearch Service utilisent le même contexte de chiffrement dans toutes les opérations AWS KMS cryptographiques, où la clé packageId et la valeur sont le package package-id de votre plugin.

Utiliser le contexte de chiffrement pour la surveillance

Lorsque vous utilisez une clé symétrique gérée par le client pour chiffrer votre package de plug-in, vous pouvez utiliser le contexte de chiffrement dans les enregistrements et les journaux d'audit pour identifier la manière dont la clé gérée par le client est utilisée. Le contexte de chiffrement apparaît également dans les journaux générés par AWS CloudTrail ou Amazon CloudWatch Logs.

Utilisation du contexte de chiffrement pour contrôler l'accès à votre clé gérée par le client

Vous pouvez utiliser le contexte de chiffrement dans les stratégies de clé et les politiques IAM en tant que conditions pour contrôler l'accès à votre clé symétrique gérée par le client. Vous pouvez également utiliser des contraintes de contexte de chiffrement dans un octroi.

OpenSearch Les packages personnalisés de service utilisent une contrainte de contexte de chiffrement dans les octrois pour contrôler l'accès à la clé gérée par le client dans votre compte ou région. La contrainte d'octroi exige que les opérations autorisées par l'octroi utilisent le contexte de chiffrement spécifié.

Vous trouverez ci-dessous des exemples de déclarations de stratégie de clé permettant d'accorder l'accès à une clé gérée par le client dans un contexte de chiffrement spécifique. La condition énoncée dans cette déclaration de stratégie exige que les octrois comportent une contrainte de contexte de chiffrement qui spécifie le contexte de chiffrement.


{
    "Sid": "Enable DescribeKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
    },
    "Action": "kms:DescribeKey",
    "Resource": "*"
},
{
    "Sid": "Enable OpenSearch Service custom packages to use the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
    },
    "Action" : [
         "kms:CreateGrant",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals" : {
            "kms:EncryptionContext:packageId": "ID of the package"
         }
    }
}

Surveillance de vos clés de chiffrement pour un service de packages OpenSearch personnalisés

Lorsque vous utilisez une clé gérée par le AWS KMS client avec les ressources du OpenSearch service de packages personnalisés de votre service, vous pouvez utiliser CloudTrail or CloudWatch Logs pour suivre les demandes auxquelles les packages OpenSearch personnalisés sont envoyés AWS KMS.

En savoir plus

Les ressources suivantes fournissent plus d'informations sur le chiffrement des données au repos.

  • Pour plus d'informations sur AWS KMS les concepts de base, consultez AWS KMS keysle guide du AWS Key Management Service développeur.

  • Pour plus d'informations sur les meilleures pratiques de sécurité pour AWS KMS, consultez le guide AWS prescriptif sur les AWS Key Management Service meilleures pratiques.