Crittografia e chiavi KMS nei gruppi di raccolta - OpenSearch Servizio Amazon
Condivisione OCUs tra diverse chiavi KMSAutorizzazioni KMS richieste

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia e chiavi KMS nei gruppi di raccolta

Ogni raccolta OpenSearch Serverless che crei è protetta con la crittografia dei dati inattivi, utilizzata AWS KMS per archiviare e gestire le chiavi di crittografia. Quando lavori con i gruppi di raccolta, hai flessibilità nel modo in cui specifichi la chiave KMS per le tue raccolte.

Puoi fornire la chiave KMS associata a una raccolta in due modi:

  • Nella CreateCollection richiesta: specifica la chiave KMS direttamente quando crei la raccolta utilizzando il encryption-config parametro.

  • Nelle politiche di sicurezza: definisci l'associazione delle chiavi KMS in una politica di sicurezza di crittografia.

Quando si specifica una chiave KMS in entrambe le posizioni, la chiave KMS fornita nella CreateCollection richiesta ha la precedenza sulla configurazione della politica di sicurezza.

Questa flessibilità semplifica la gestione delle collezioni su larga scala, in particolare quando è necessario creare più raccolte con chiavi KMS uniche. Invece di creare e gestire migliaia di politiche di crittografia, puoi specificare la chiave KMS direttamente durante la creazione della raccolta.

Condivisione OCUs tra diverse chiavi KMS

I gruppi di raccolta consentono la condivisione delle risorse di calcolo tra raccolte con chiavi KMS diverse. Le raccolte dello stesso gruppo di raccolta condividono lo spazio di memoria OCU, indipendentemente dalle relative chiavi di crittografia. Questo modello di elaborazione condiviso riduce i costi eliminando la necessità di utilizzare chiavi OCUs KMS separate.

I gruppi di raccolta forniscono l'isolamento per i requisiti di sicurezza e prestazioni. È possibile raggruppare le raccolte con la stessa chiave KMS in un unico gruppo di raccolta per l'isolamento della sicurezza o combinare raccolte con diverse chiavi KMS nello stesso gruppo per ottimizzare i costi. Questa flessibilità consente di bilanciare i requisiti di sicurezza con l'efficienza delle risorse.

Il sistema mantiene la sicurezza crittografando i dati di ogni raccolta con la chiave KMS designata. I controlli di accesso continuano ad essere applicati a livello di raccolta e le risorse di elaborazione condivise accedono a più chiavi KMS in base alle necessità per servire le raccolte del gruppo.

Autorizzazioni KMS richieste

Quando specifichi una chiave KMS nella CreateCollection richiesta, hai bisogno delle seguenti autorizzazioni aggiuntive:

  • kms:DescribeKey— Consente a OpenSearch Serverless di recuperare informazioni sulla chiave KMS.

  • kms:CreateGrant— Consente a OpenSearch Serverless di creare una concessione per la chiave KMS per abilitare le operazioni di crittografia.

Queste autorizzazioni non sono richieste quando si utilizzano AWS chiavi di proprietà.