Criptografia e chaves KMS em grupos de coleção - OpenSearch Serviço Amazon
Compartilhamento OCUs entre diferentes chaves KMSPermissões KMS necessárias

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografia e chaves KMS em grupos de coleção

Cada coleção OpenSearch Serverless que você cria é protegida com criptografia de dados em repouso, usada AWS KMS para armazenar e gerenciar suas chaves de criptografia. Ao trabalhar com grupos de coleções, você tem flexibilidade na forma como especifica a chave KMS para suas coleções.

Você pode fornecer a chave KMS associada a uma coleção de duas maneiras:

  • Na CreateCollection solicitação — especifique a chave KMS diretamente ao criar a coleção usando o encryption-config parâmetro.

  • Nas políticas de segurança — defina a associação da chave KMS em uma política de segurança de criptografia.

Quando você especifica uma chave KMS em ambos os locais, a chave KMS fornecida na CreateCollection solicitação tem precedência sobre a configuração da política de segurança.

Essa flexibilidade simplifica o gerenciamento de coleções em grande escala, especialmente quando você precisa criar várias coleções com chaves KMS exclusivas. Em vez de criar e gerenciar milhares de políticas de criptografia, você pode especificar a chave KMS diretamente durante a criação da coleção.

Compartilhamento OCUs entre diferentes chaves KMS

Os grupos de coleções permitem o compartilhamento de recursos computacionais entre coleções com chaves KMS diferentes. Coleções no mesmo grupo de coleções compartilham espaço de memória da OCU, independentemente de suas chaves de criptografia. Esse modelo de computação compartilhada reduz os custos ao eliminar a necessidade de separar cada OCUs chave KMS.

Os grupos de coleta fornecem isolamento para os requisitos de segurança e desempenho. Você pode agrupar coleções com a mesma chave KMS em um único grupo de coleta para isolamento de segurança ou combinar coleções com chaves KMS diferentes no mesmo grupo para otimização de custos. Essa flexibilidade permite equilibrar os requisitos de segurança com a eficiência dos recursos.

O sistema mantém a segurança criptografando os dados de cada coleção com a chave KMS designada. Os controles de acesso continuam sendo aplicados no nível da coleção, e os recursos computacionais compartilhados acessam várias chaves do KMS conforme necessário para servir às coleções no grupo.

Permissões KMS necessárias

Ao especificar uma chave KMS na CreateCollection solicitação, você precisa das seguintes permissões adicionais:

  • kms:DescribeKey— Permite que o OpenSearch Serverless recupere informações sobre a chave KMS.

  • kms:CreateGrant— Permite que o OpenSearch Serverless crie uma concessão para a chave KMS para permitir operações de criptografia.

Essas permissões não são necessárias ao usar chaves AWS próprias.