コレクショングループの暗号化キーと KMS キー - Amazon OpenSearch Service
異なる KMS キー間で OCUs を共有する必要な KMS アクセス許可

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

コレクショングループの暗号化キーと KMS キー

作成する各 OpenSearch Serverless コレクションは、 を使用して保管中のデータの暗号化で保護 AWS KMS され、暗号化キーを保存および管理します。コレクショングループを使用する場合、コレクションの KMS キーを指定する方法に柔軟性があります。

コレクションに関連付けられた KMS キーは、次の 2 つの方法で指定できます。

  • CreateCollection リクエストencryption-configパラメータを使用してコレクションを作成するときに、KMS キーを直接指定します。

  • セキュリティポリシー – 暗号化セキュリティポリシーで KMS キーの関連付けを定義します。

両方の場所で KMS キーを指定すると、CreateCollection リクエストで指定された KMS キーがセキュリティポリシー設定よりも優先されます。

この柔軟性により、特に一意の KMS キーを使用して複数のコレクションを作成する必要がある場合に、大規模なコレクションの管理が簡素化されます。数千の暗号化ポリシーを作成して管理する代わりに、コレクションの作成時に KMS キーを直接指定できます。

異なる KMS キー間で OCUs を共有する

コレクショングループを使用すると、異なる KMS キーを持つコレクション間でコンピューティングリソースを共有できます。同じコレクショングループ内のコレクションは、暗号化キーに関係なく OCU メモリ領域を共有します。この共有コンピューティングモデルは、KMS キーごとに個別の OCUs を必要とせずにコストを削減します。

コレクショングループは、セキュリティとパフォーマンスの要件を分離します。同じ KMS キーを持つコレクションを単一のコレクショングループにグループ化してセキュリティを分離したり、同じグループの異なる KMS キーとコレクションを組み合わせてコストを最適化したりできます。この柔軟性により、セキュリティ要件とリソース効率のバランスをとることができます。

システムは、指定された KMS キーを使用して各コレクションのデータを暗号化することで、セキュリティを維持します。アクセスコントロールは引き続きコレクションレベルで適用され、共有コンピューティングリソースは、グループ内のコレクションを提供するために必要に応じて複数の KMS キーにアクセスします。

必要な KMS アクセス許可

CreateCollection リクエストで KMS キーを指定する場合は、次の追加のアクセス許可が必要です。

  • kms:DescribeKey – OpenSearch Serverless が KMS キーに関する情報を取得できるようにします。

  • kms:CreateGrant – OpenSearch Serverless が KMS キーの許可を作成して暗号化オペレーションを有効にすることを許可します。

AWS 所有キーを使用する場合、これらのアクセス許可は必要ありません。