기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

컬렉션 그룹의 암호화 및 KMS 키

생성하는 각 OpenSearch Serverless 컬렉션은 AWS KMS 를 사용하여 암호화 키를 저장하고 관리하는 저장 데이터 암호화로 보호됩니다. 컬렉션 그룹으로 작업할 때 컬렉션에 대한 KMS 키를 지정하는 방법을 유연하게 사용할 수 있습니다.

다음과 같은 두 가지 방법으로 컬렉션과 연결된 KMS 키를 제공할 수 있습니다.

두 위치 모두에서 KMS 키를 지정하면 CreateCollection 요청에 제공된 KMS 키가 보안 정책 구성보다 우선합니다.

이러한 유연성은 특히 고유한 KMS 키로 여러 컬렉션을 생성해야 하는 경우 대규모 컬렉션 관리를 간소화합니다. 수천 개의 암호화 정책을 생성하고 관리하는 대신 컬렉션 생성 중에 KMS 키를 직접 지정할 수 있습니다.

다양한 KMS 키 OCUs 공유

컬렉션 그룹을 사용하면 서로 다른 KMS 키를 사용하여 컬렉션 간에 컴퓨팅 리소스를 공유할 수 있습니다. 동일한 컬렉션 그룹의 컬렉션은 암호화 키에 관계없이 OCU 메모리 공간을 공유합니다. 이 공유 컴퓨팅 모델은 각 KMS 키에 대해 별도의 OCUs.

컬렉션 그룹은 보안 및 성능 요구 사항을 격리합니다. 보안 격리를 위해 동일한 KMS 키가 있는 컬렉션을 단일 컬렉션 그룹으로 그룹화하거나 비용 최적화를 위해 컬렉션을 동일한 그룹의 다른 KMS 키와 결합할 수 있습니다. 이러한 유연성을 통해 보안 요구 사항과 리소스 효율성의 균형을 맞출 수 있습니다.

시스템은 지정된 KMS 키로 각 컬렉션의 데이터를 암호화하여 보안을 유지합니다. 액세스 제어는 컬렉션 수준에서 계속 적용되며 공유 컴퓨팅 리소스는 그룹의 컬렉션을 제공하는 데 필요한 여러 KMS 키에 액세스합니다.

필수 KMS 권한

CreateCollection 요청에서 KMS 키를 지정하는 경우 다음과 같은 추가 권한이 필요합니다.

AWS 소유 키를 사용할 때는 이러한 권한이 필요하지 않습니다.