AWS KMS Integrasi paket kustom Amazon OpenSearch Service - OpenSearch Layanan Amazon
Bagaimana OpenSearch layanan paket kustom Layanan Amazon menggunakan hibah di AWS KMSMembuat kunci terkelola pelangganMenentukan kunci terkelola pelanggan untuk paket kustom OpenSearch Layanan AmazonKonteks enkripsi paket kustom OpenSearch Layanan AmazonMemantau kunci enkripsi Anda untuk layanan paket OpenSearch kustom

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS KMS Integrasi paket kustom Amazon OpenSearch Service

Paket kustom Amazon OpenSearch Service menyediakan enkripsi secara default untuk melindungi ZIP-PLUGIN paket Anda saat istirahat menggunakan Kunci yang dikelola AWS.

  • Kunci milik AWS— Paket kustom OpenSearch Layanan Amazon menggunakan kunci ini secara default untuk mengenkripsi ZIP-PLUGIN paket Anda secara otomatis. Anda tidak dapat melihat, mengelola, atau menggunakan Kunci milik AWS atau audit penggunaannya. Namun, Anda tidak perlu mengambil tindakan atau mengubah program apa pun untuk melindungi kunci yang mengenkripsi data Anda. Untuk informasi lebih lanjut, lihat Kunci milik AWS dalam Panduan Pengembang AWS Key Management Service .

  • Kunci terkelola pelanggan — Anda dapat menambahkan lapisan enkripsi kedua di atas yang ada Kunci milik AWS dengan memilih kunci yang dikelola pelanggan saat Anda membuat paket ZIP-PLUGIN kustom Anda.

    Dukungan paket kustom Amazon OpenSearch Service menggunakan kunci terkelola pelanggan simetris yang Anda buat, miliki, dan kelola untuk menambahkan enkripsi lapisan kedua di atas enkripsi AWS milik yang ada. Karena Anda memiliki kontrol penuh atas lapisan enkripsi ini, Anda dapat melakukan tugas-tugas berikut:

    • Menetapkan dan memelihara kebijakan utama

    • Menetapkan dan memelihara AWS Identity and Access Management (IAM) kebijakan dan hibah

    • Mengaktifkan dan menonaktifkan kebijakan utama

    • Putar bahan kriptografi kunci

    • Tambahkan tag

    • Membuat alias kunci

    • Kunci jadwal untuk penghapusan

Untuk informasi selengkapnya, lihat Kunci terkelola pelanggan di Panduan AWS Key Management Service Pengembang.

catatan

Paket kustom OpenSearch Layanan Amazon secara otomatis mengaktifkan enkripsi Kunci milik AWS saat istirahat menggunakan tanpa biaya. Namun, AWS KMS biaya berlaku saat Anda menggunakan kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang harga, silakan lihat harga AWS Key Management Service.

Bagaimana OpenSearch layanan paket kustom Layanan Amazon menggunakan hibah di AWS KMS

OpenSearch Paket kustom layanan memerlukan hibah untuk menggunakan kunci yang dikelola pelanggan Anda.

Saat Anda membuat ZIP-PLUGIN paket yang dienkripsi dengan kunci yang dikelola pelanggan, layanan paket kustom OpenSearch Layanan Amazon akan membuat hibah atas nama Anda dengan mengirimkan CreateGrantpermintaan ke. AWS KMS Hibah dalam AWS KMS memberikan akses OpenSearch Layanan ke AWS KMS kunci di akun Anda. Hibah yang dibuat oleh paket kustom OpenSearch Layanan memiliki batasan yang memungkinkan operasi hanya jika permintaan menyertakan konteks enkripsi dengan ID paket kustom Anda.

Paket kustom OpenSearch Layanan Amazon memerlukan hibah untuk menggunakan kunci terkelola pelanggan Anda untuk operasi internal berikut:

Operasi Deskripsi
DescribeKey Mengirim DescribeKey permintaan AWS KMS untuk memverifikasi bahwa ID kunci terkelola pelanggan simetris yang dimasukkan saat membuat paket plugin valid.
GenerateDataKeyWithoutPlaintext Mengirim GenerateDataKeyWithoutPlaintext permintaan AWS KMS untuk menghasilkan kunci data yang dienkripsi oleh kunci terkelola pelanggan Anda.
GenerateDataKey Mengirim GenerateDataKey permintaan AWS KMS untuk menghasilkan kunci data untuk mengenkripsi paket saat menyalinnya secara internal.
Decrypt Mengirim Decrypt permintaan AWS KMS untuk mendekripsi kunci data terenkripsi sehingga mereka dapat digunakan untuk mendekripsi data Anda.

Anda dapat mencabut akses ke hibah atau menghapus akses layanan ke kunci yang dikelola pelanggan kapan saja. Jika Anda melakukannya, OpenSearch Layanan tidak akan dapat mengakses data apa pun yang dienkripsi oleh kunci yang dikelola pelanggan, yang memengaruhi operasi yang bergantung pada data tersebut. Misalnya, jika Anda mencoba mengaitkan paket plugin yang tidak dapat diakses oleh OpenSearch Layanan, operasi akan mengembalikan AccessDeniedException kesalahan.

Membuat kunci terkelola pelanggan

Anda dapat membuat kunci yang dikelola pelanggan simetris dengan menggunakan AWS Management Console atau. AWS KMS APIs

Untuk membuat kunci terkelola pelanggan simetris

  • Ikuti langkah-langkah dalam Membuat kunci KMS di Panduan AWS Key Management Service Pengembang.

Kebijakan kunci

Kebijakan utama mengontrol akses ke kunci yang dikelola pelanggan Anda. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Saat membuat kunci terkelola pelanggan, Anda dapat menentukan kebijakan kunci. Untuk informasi selengkapnya, lihat Kebijakan kunci di AWS KMS di Panduan Developer AWS Key Management Service .

Untuk menggunakan kunci terkelola pelanggan dengan sumber daya plugin, Anda harus mengizinkan operasi API berikut dalam kebijakan kunci:

  • kms:CreateGrant— Menambahkan hibah ke kunci yang dikelola pelanggan. Memberikan akses kontrol ke AWS KMS kunci tertentu, memungkinkan akses untuk memberikan operasi yang diperlukan oleh paket kustom OpenSearch Layanan. Untuk informasi selengkapnya tentang cara menggunakan izin, lihat Panduan AWS KMS Developer.

    Hal ini mengizinkan OpenSearch Layanan untuk melakukan hal berikut:

    • Panggilan GenerateDataKeyWithoutPlainText untuk menghasilkan kunci data terenkripsi dan menyimpannya untuk validasi lebih lanjut.

    • Panggil GenerateDataKey untuk menyalin paket plugin secara internal.

    • Panggilan Decrypt untuk mengakses paket plugin secara internal.

    • Siapkan kepala sekolah yang pensiun untuk memungkinkan layanan. RetireGrant

  • kms:DescribeKey— Memberikan detail kunci yang dikelola pelanggan untuk memungkinkan OpenSearch Layanan memvalidasi kunci.

  • kms:GenerateDataKey,kms:GenerateDataKeyWithoutPlaintext, kms:Decrypt — Memberikan akses paket kustom OpenSearch Layanan untuk menggunakan operasi ini dalam hibah.

Berikut ini adalah contoh pernyataan kebijakan yang dapat Anda tambahkan untuk paket kustom OpenSearch Layanan:


"Statement" : [
  {
    "Sid" : "Allow access to principals authorized to use OpenSearch Service custom packages",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "*"
    },
    "Action" : [
      "kms:CreateGrant",
      "kms:GenerateDataKey",
      "kms:GenerateDataKeyWithoutPlaintext",
      "kms:Decrypt"
    ],
    "Resource" : "*",
    "Condition" : {
      "StringEquals" : {
        "kms:ViaService" : "custom-packages.region.amazonaws.com"
      },
      "StringEquals" : {
        "kms:EncryptionContext:packageId": "Id of the package"
      }
    }
  },
  {
    "Sid" : "Allow access to principals authorized to use Amazon OpenSearch Service custom packages",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "*"
    },
    "Action" : [
      "kms:DescribeKey"
    ],
    "Resource" : "*",
    "Condition" : {
      "StringEquals" : {
        "kms:ViaService" : "custom-packages.region.amazonaws.com"
      }
    }
  }
]

Untuk informasi selengkapnya tentang menentukan izin dalam kebijakan, lihat Kebijakan utama AWS KMS di Panduan AWS Key Management Service Pengembang.

Untuk informasi selengkapnya tentang akses kunci pemecahan masalah, lihat AWS KMS Izin pemecahan masalah di Panduan Pengembang.AWS Key Management Service

Menentukan kunci terkelola pelanggan untuk paket kustom OpenSearch Layanan Amazon

Anda dapat menentukan kunci yang dikelola pelanggan sebagai lapisan enkripsi kedua untuk ZIP-PLUGIN paket Anda.

Saat Anda membuat paket plugin, Anda dapat menentukan kunci data dengan memasukkan ID AWS KMS kunci, yang digunakan paket kustom OpenSearch Layanan untuk mengenkripsi paket plugin.

AWS KMS ID kunci — Pengidentifikasi kunci untuk kunci yang dikelola AWS KMS pelanggan. Masukkan ID kunci, ARN kunci, nama alias, atau ARN alias.

Konteks enkripsi paket kustom OpenSearch Layanan Amazon

Konteks enkripsi adalah set opsional pasangan nilai kunci yang berisi informasi kontekstual tambahan tentang data.

AWS KMS menggunakan konteks enkripsi sebagai data otentikasi tambahan untuk mendukung enkripsi yang diautentikasi. Bila Anda menyertakan konteks enkripsi dalam permintaan untuk mengenkripsi data, AWS KMS mengikat konteks enkripsi untuk data terenkripsi tersebut. Untuk mendekripsi data, Anda menyertakan konteks enkripsi yang sama dalam permintaan.

Konteks enkripsi paket kustom OpenSearch Layanan Amazon

Paket kustom Amazon OpenSearch Service menggunakan konteks enkripsi yang sama di semua operasi AWS KMS kriptografi, di mana kuncinya packageId dan nilainya adalah paket plugin Anda. package-id

Gunakan konteks enkripsi untuk pemantauan

Bila Anda menggunakan kunci yang dikelola pelanggan simetris untuk mengenkripsi paket plugin Anda, Anda dapat menggunakan konteks enkripsi dalam catatan audit dan log untuk mengidentifikasi cara menggunakan kunci yang dikelola pelanggan. Konteks enkripsi juga muncul di log yang dihasilkan oleh AWS CloudTrail atau Amazon CloudWatch Logs.

Menggunakan konteks enkripsi untuk mengontrol akses ke kunci terkelola pelanggan Anda

Anda dapat menggunakan konteks enkripsi dalam kebijakan kunci dan kebijakan IAM sebagai kondisi untuk mengontrol akses ke kunci yang dikelola pelanggan simetris Anda. Anda juga dapat menggunakan batas konteks enkripsi dalam pemberian izin.

OpenSearch Paket kustom layanan menggunakan batasan konteks enkripsi dalam hibah untuk mengontrol akses ke kunci terkelola pelanggan di akun atau Wilayah Anda. Batasan hibah mengharuskan operasi yang diizinkan oleh hibah menggunakan konteks enkripsi yang ditentukan.

Berikut ini adalah contoh pernyataan kebijakan kunci untuk memberikan akses ke kunci yang dikelola pelanggan untuk konteks enkripsi tertentu. Kondisi dalam pernyataan kebijakan ini mengharuskan hibah memiliki batasan konteks enkripsi yang menentukan konteks enkripsi.


{
    "Sid": "Enable DescribeKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
    },
    "Action": "kms:DescribeKey",
    "Resource": "*"
},
{
    "Sid": "Enable OpenSearch Service custom packages to use the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
    },
    "Action" : [
         "kms:CreateGrant",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals" : {
            "kms:EncryptionContext:packageId": "ID of the package"
         }
    }
}

Memantau kunci enkripsi Anda untuk layanan paket OpenSearch kustom

Saat Anda menggunakan kunci terkelola AWS KMS pelanggan dengan sumber daya OpenSearch layanan paket kustom Layanan, Anda dapat menggunakan CloudTrail atau CloudWatch Log untuk melacak permintaan yang dikirim paket OpenSearch kustom AWS KMS.

Pelajari selengkapnya

Sumber daya berikut memberikan informasi lebih lanjut tentang enkripsi data saat istirahat.

  • Untuk informasi selengkapnya tentang konsep AWS KMS dasar, lihat AWS KMS keysdi Panduan AWS Key Management Service Pengembang.

  • Untuk informasi selengkapnya tentang praktik terbaik keamanan AWS KMS, lihat panduan panduan AWS preskriptif untuk praktik AWS Key Management Service terbaik.