Enkripsi dan kunci KMS dalam grup koleksi - OpenSearch Layanan Amazon
Berbagi OCUs di berbagai kunci KMSIzin KMS yang diperlukan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi dan kunci KMS dalam grup koleksi

Setiap koleksi OpenSearch Tanpa Server yang Anda buat dilindungi dengan enkripsi data saat istirahat menggunakan AWS KMS untuk menyimpan dan mengelola kunci enkripsi Anda. Saat bekerja dengan grup koleksi, Anda memiliki fleksibilitas dalam menentukan kunci KMS untuk koleksi Anda.

Anda dapat memberikan kunci KMS yang terkait dengan koleksi dalam dua cara:

  • Dalam CreateCollection permintaan - Tentukan kunci KMS secara langsung saat Anda membuat koleksi menggunakan encryption-config parameter.

  • Dalam kebijakan keamanan — Tentukan asosiasi kunci KMS dalam kebijakan keamanan enkripsi.

Bila Anda menentukan kunci KMS di kedua lokasi, kunci KMS yang disediakan dalam CreateCollection permintaan akan diutamakan daripada konfigurasi kebijakan keamanan.

Fleksibilitas ini menyederhanakan pengelolaan koleksi dalam skala besar, terutama ketika Anda perlu membuat beberapa koleksi dengan kunci KMS yang unik. Alih-alih membuat dan mengelola ribuan kebijakan enkripsi, Anda dapat menentukan kunci KMS secara langsung selama pembuatan koleksi.

Berbagi OCUs di berbagai kunci KMS

Grup koleksi memungkinkan berbagi sumber daya komputasi di seluruh koleksi dengan kunci KMS yang berbeda. Koleksi dalam grup koleksi yang sama berbagi ruang memori OCU, terlepas dari kunci enkripsi mereka. Model komputasi bersama ini mengurangi biaya dengan menghilangkan kebutuhan terpisah OCUs untuk setiap kunci KMS.

Grup koleksi menyediakan isolasi untuk persyaratan keamanan dan kinerja. Anda dapat mengelompokkan koleksi dengan kunci KMS yang sama ke dalam satu grup koleksi untuk isolasi keamanan, atau menggabungkan koleksi dengan kunci KMS yang berbeda dalam grup yang sama untuk pengoptimalan biaya. Fleksibilitas ini memungkinkan Anda menyeimbangkan persyaratan keamanan dengan efisiensi sumber daya.

Sistem menjaga keamanan dengan mengenkripsi data setiap koleksi dengan kunci KMS yang ditunjuk. Kontrol akses terus berlaku di tingkat pengumpulan, dan sumber daya komputasi bersama mengakses beberapa kunci KMS sesuai kebutuhan untuk menyajikan koleksi dalam grup.

Izin KMS yang diperlukan

Saat Anda menentukan kunci KMS dalam CreateCollection permintaan, Anda memerlukan izin tambahan berikut:

  • kms:DescribeKey— Memungkinkan OpenSearch Tanpa Server untuk mengambil informasi tentang kunci KMS.

  • kms:CreateGrant— Memungkinkan OpenSearch Tanpa Server untuk membuat hibah untuk kunci KMS untuk mengaktifkan operasi enkripsi.

Izin ini tidak diperlukan saat menggunakan kunci yang AWS dimiliki.