Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS KMS Integrazione di pacchetti personalizzati Amazon OpenSearch Service
I pacchetti personalizzati di Amazon OpenSearch Service forniscono la crittografia di default per proteggere ZIP-PLUGIN i pacchetti inutilizzati Chiavi gestite da AWS.
-
Chiavi di proprietà di AWS— I pacchetti personalizzati di Amazon OpenSearch Service utilizzano queste chiavi per impostazione predefinita per crittografare automaticamente i
ZIP-PLUGINpacchetti. Non puoi visualizzare, gestire, utilizzare Chiavi di proprietà di AWS o controllare il loro utilizzo. Tuttavia, non è necessario intraprendere alcuna azione o modificare alcun programma per proteggere le chiavi che crittografano i dati. Per ulteriori informazioni, consulta la sezione Chiavi di proprietà di AWS nella Guida per gli sviluppatori di AWS Key Management Service . -
Chiavi gestite dal cliente: puoi aggiungere un secondo livello di crittografia rispetto a quello esistente Chiavi di proprietà di AWS scegliendo una chiave gestita dal cliente al momento della creazione del pacchetto
ZIP-PLUGINpersonalizzato.I pacchetti personalizzati di Amazon OpenSearch Service supportano l'utilizzo di una chiave simmetrica gestita dal cliente che crei, possiedi e gestisci per aggiungere un secondo livello di crittografia alla crittografia di AWS proprietà esistente. Poiché hai il pieno controllo di questo livello di crittografia, puoi eseguire le seguenti attività:
-
Stabilire e mantenere le politiche chiave
-
Stabilisci e mantieni politiche e sovvenzioni AWS Identity and Access Management (IAM)
-
Abilita e disabilita le politiche chiave
-
Ruota il materiale crittografico chiave
-
Aggiunta di tag
-
Crea alias chiave
-
Pianifica l'eliminazione delle chiavi
-
Per ulteriori informazioni, consulta Customer managed keys nella Guida per sviluppatori AWS Key Management Service .
Nota
I pacchetti personalizzati di Amazon OpenSearch Service abilitano automaticamente e gratuitamente la crittografia Chiavi di proprietà di AWS a riposo. Tuttavia, quando si utilizza una chiave gestita dal cliente, vengono applicati dei AWS KMS costi. Per ulteriori informazioni sui prezzi, consulta Prezzi di AWS Key Management Service
In che modo OpenSearch il servizio di pacchetti personalizzati di Amazon Service utilizza le sovvenzioni AWS KMS
OpenSearch I pacchetti personalizzati di assistenza richiedono una concessione per utilizzare la chiave gestita dal cliente.
Quando crei un ZIP-PLUGIN pacchetto crittografato con una chiave gestita dal cliente, il OpenSearch servizio di pacchetti personalizzati di Amazon Service crea una sovvenzione per tuo conto inviando una CreateGrantrichiesta a AWS KMS. Concede a AWS KMS Ingive OpenSearch Service l'accesso a una AWS KMS chiave del tuo account. Le sovvenzioni create dai pacchetti personalizzati del OpenSearch Servizio hanno un vincolo che consente le operazioni solo quando la richiesta include un contesto di crittografia con l'ID del pacchetto personalizzato.
I pacchetti personalizzati di Amazon OpenSearch Service richiedono la concessione dell'utilizzo della chiave gestita dal cliente per le seguenti operazioni interne:
| Operazione | Descrizione |
|---|---|
DescribeKey |
Invia DescribeKey richieste per AWS KMS verificare che l'ID della chiave simmetrica gestita dal cliente inserito durante la creazione del pacchetto di plug-in sia valido. |
GenerateDataKeyWithoutPlaintext |
Invia GenerateDataKeyWithoutPlaintext richieste per AWS KMS generare chiavi dati crittografate dalla chiave gestita dal cliente. |
GenerateDataKey |
Invia GenerateDataKey richieste per AWS KMS generare chiavi di dati per crittografare il pacchetto durante la copia interna. |
Decrypt |
Invia Decrypt richieste per AWS KMS decrittografare le chiavi di dati crittografate in modo che possano essere utilizzate per decrittografare i dati. |
Puoi revocare l'accesso alla concessione o rimuovere l'accesso del servizio alla chiave gestita dal cliente in qualsiasi momento. In tal caso, il OpenSearch Servizio non sarà in grado di accedere ai dati crittografati dalla chiave gestita dal cliente, il che influirà sulle operazioni che dipendono da tali dati. Ad esempio, se tenti di associare un pacchetto di plug-in a cui OpenSearch Service non può accedere, l'operazione restituisce un AccessDeniedException errore.
Creazione di una chiave gestita dal cliente
È possibile creare una chiave simmetrica gestita dal cliente utilizzando AWS Management Console o il. AWS KMS APIs
Per creare una chiave simmetrica gestita dal cliente
-
Segui i passaggi descritti nella sezione Creazione di una chiave KMS nella Guida per gli AWS Key Management Service sviluppatori.
Policy della chiave
Le policy della chiave controllano l'accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, puoi specificare una policy della chiave. Per ulteriori informazioni, consulta Policy delle chiavi in AWS KMS nella Guida per gli sviluppatori di AWS Key Management Service .
Per utilizzare la chiave gestita dal cliente con le risorse del plug-in, devi consentire le seguenti operazioni API nella politica chiave:
-
kms:CreateGrant: aggiunge una concessione a una chiave gestita dal cliente. Concede l'accesso di controllo a una AWS KMS chiave specificata, consentendo l'accesso alle operazioni di concessione richieste dai pacchetti personalizzati del OpenSearch servizio. Per ulteriori informazioni sull'utilizzo delle sovvenzioni, consulta la Guida per gli AWS KMS sviluppatori.Ciò consente a OpenSearch Service di eseguire le seguenti operazioni:
-
Chiama
GenerateDataKeyWithoutPlainTextper generare una chiave dati crittografata e archiviarla per ulteriori convalide. -
Chiama
GenerateDataKeyper copiare internamente il pacchetto del plugin. -
Chiama
Decryptper accedere al pacchetto del plugin internamente. -
Configura un preside in pensione per consentire al servizio di farlo.
RetireGrant
-
-
kms:DescribeKey— Fornisce i dettagli chiave gestiti dal cliente per consentire al OpenSearch Servizio di convalidare la chiave. -
kms:GenerateDataKey,kms:GenerateDataKeyWithoutPlaintext,kms:Decrypt— Fornisce ai pacchetti personalizzati di OpenSearch Service l'accesso per utilizzare queste operazioni nella concessione.
Di seguito sono riportati alcuni esempi di dichiarazioni politiche che è possibile aggiungere per i pacchetti personalizzati di OpenSearch Service:
"Statement" : [ { "Sid" : "Allow access to principals authorized to use OpenSearch Service custom packages", "Effect" : "Allow", "Principal" : { "AWS" : "*" }, "Action" : [ "kms:CreateGrant", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt" ], "Resource" : "*", "Condition" : { "StringEquals" : { "kms:ViaService" : "custom-packages.region.amazonaws.com" }, "StringEquals" : { "kms:EncryptionContext:packageId": "Id of the package" } } }, { "Sid" : "Allow access to principals authorized to use Amazon OpenSearch Service custom packages", "Effect" : "Allow", "Principal" : { "AWS" : "*" }, "Action" : [ "kms:DescribeKey" ], "Resource" : "*", "Condition" : { "StringEquals" : { "kms:ViaService" : "custom-packages.region.amazonaws.com" } } } ]
Per ulteriori informazioni sulla specificazione delle autorizzazioni in una politica, consulta le politiche chiave AWS KMS nella Guida per gli AWS Key Management Service sviluppatori.
Per ulteriori informazioni sulla risoluzione dei problemi di accesso tramite chiave, consulta Risoluzione dei problemi relativi alle AWS KMS autorizzazioni nella Guida per gli AWS Key Management Service sviluppatori.
Specificare una chiave gestita dal cliente per i pacchetti personalizzati OpenSearch di Amazon Service
Puoi specificare una chiave gestita dal cliente come secondo livello di crittografia per ZIP-PLUGIN i tuoi pacchetti.
Quando si crea un pacchetto di plug-in, è possibile specificare la chiave dati inserendo un ID di AWS KMS chiave, utilizzato dai pacchetti personalizzati di OpenSearch Service per crittografare il pacchetto di plug-in.
AWS KMS key ID: un identificatore chiave per una chiave gestita AWS KMS dal cliente. Inserisci l'ID della chiave, l'ARN della chiave, il nome dell'alias o l'ARN dell'alias.
Contesto di crittografia dei pacchetti personalizzati di Amazon OpenSearch Service
Un contesto di crittografia è un set facoltativo di coppie chiave-valore che contengono ulteriori informazioni contestuali sui dati.
AWS KMS utilizza il contesto di crittografia come dati autenticati aggiuntivi per supportare la crittografia autenticata. Quando includi un contesto di crittografia in una richiesta di crittografia dei dati, AWS KMS associa il contesto di crittografia ai dati crittografati. Per decrittografare i dati, nella richiesta deve essere incluso lo stesso contesto di crittografia.
Contesto di crittografia dei pacchetti personalizzati di Amazon OpenSearch Service
I pacchetti personalizzati di Amazon OpenSearch Service utilizzano lo stesso contesto di crittografia in tutte le operazioni AWS KMS crittografiche, in cui la chiave è packageId e il valore è il pacchetto package-id di plug-in.
Usa il contesto di crittografia per il monitoraggio
Quando si utilizza una chiave simmetrica gestita dal cliente per crittografare il pacchetto di plug-in, è possibile utilizzare il contesto di crittografia nei record e nei registri di controllo per identificare come viene utilizzata la chiave gestita dal cliente. Il contesto di crittografia appare anche nei log generati da AWS CloudTrail o Amazon CloudWatch Logs.
Utilizzo del contesto di crittografia per controllare l'accesso alla chiave gestita dal cliente
È possibile utilizzare il contesto di crittografia nelle policy delle chiavi e nelle policy IAM come condizioni per controllare l'accesso alla chiave simmetrica gestita dal cliente. È possibile utilizzare i vincoli del contesto di crittografia in una concessione.
OpenSearch I pacchetti personalizzati di servizio utilizzano un vincolo di contesto di crittografia nelle concessioni per controllare l'accesso alla chiave gestita dal cliente nell'account o nella regione. Il vincolo della concessione richiede che le operazioni consentite dalla concessione utilizzino il contesto di crittografia specificato.
Di seguito sono riportati alcuni esempi di istruzioni delle policy delle chiavi per concedere l'accesso a una chiave gestita dal cliente per un contesto di crittografia specifico. Questa istruzione della policy impone come condizione che le concessioni abbiano un vincolo che specifica il contesto di crittografia.
{ "Sid": "Enable DescribeKey", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole" }, "Action": "kms:DescribeKey", "Resource": "*" }, { "Sid": "Enable OpenSearch Service custom packages to use the key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole" }, "Action" : [ "kms:CreateGrant", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringEquals" : { "kms:EncryptionContext:packageId": "ID of the package" } } }
Monitoraggio delle chiavi di crittografia per OpenSearch il servizio di pacchetti personalizzati
Quando utilizzi una chiave gestita AWS KMS dal cliente con le risorse del OpenSearch servizio Service Custom Packages, puoi utilizzare CloudTrail o CloudWatch Logs per tenere traccia delle richieste a cui vengono inviati i pacchetti OpenSearch personalizzati. AWS KMS
Ulteriori informazioni
Le seguenti risorse forniscono ulteriori informazioni sulla crittografia dei dati a riposo.
-
Per ulteriori informazioni sui concetti AWS KMS di base, consulta AWS KMS keysla Guida per gli AWS Key Management Service sviluppatori.
-
Per ulteriori informazioni sulle migliori pratiche di sicurezza per AWS KMS, consulta la guida AWS Prescriptive Guidance per le AWS Key Management Service migliori pratiche.
