As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS KMS Integração de pacotes personalizados do Amazon OpenSearch Service
Os pacotes personalizados do Amazon OpenSearch Service fornecem criptografia por padrão para proteger seus ZIP-PLUGIN pacotes em repouso usando Chaves gerenciadas pela AWS.
-
Chaves pertencentes à AWS— Os pacotes personalizados do Amazon OpenSearch Service usam essas chaves por padrão para criptografar automaticamente seus
ZIP-PLUGINpacotes. Você não pode visualizar, gerenciar ou usar, Chaves pertencentes à AWS nem auditar seu uso. No entanto, você não precisa realizar nenhuma ação nem alterar nenhum programa para proteger as chaves que criptografam seus dados. Para obter mais informações, consulte Chaves pertencentes à AWS no Guia do desenvolvedor do AWS Key Management Service . -
Chaves gerenciadas pelo cliente: é possível adicionar uma segunda camada de criptografia sobre a existente Chaves pertencentes à AWS escolhendo uma chave gerenciada pelo cliente ao criar seu pacote
ZIP-PLUGINpersonalizado.Os pacotes personalizados do Amazon OpenSearch Service são compatíveis com o uso de uma chave simétrica do KMS gerenciada pelo cliente, que você cria, detém e gerencia, que você cria, detém e gerencia, que você cria, detém e gerencia para adicionar uma segunda camada de criptografia sobre a criptografia de AWS propriedade de existente. Como você tem controle total dessa camada de criptografia, é possível realizar tarefas como:
-
Estabelecer e manter as políticas de chaves
-
Estabelecer e manter AWS Identity and Access Management (IAM) políticas e subsídios
-
Habilitar e desabilitar políticas de chave
-
Alternar o material de criptografia de chaves
-
Adicionar tags
-
Criar aliases de chaves
-
Programar a exclusão de chaves
-
Para obter mais informações, consulte Chaves mestras do cliente (CMKs) no AWS Key Management Service Guia do desenvolvedor.
nota
Os pacotes personalizados do Amazon OpenSearch Service habilitam automaticamente a criptografia em repouso, usando Chaves pertencentes à AWS sem nenhum custo adicional. No entanto, AWS KMS as cobranças se aplicam quando você usa uma chave gerenciada pelo cliente. Para obter mais informações sobre preços, consulte Preços do AWS Key Management Service
Como o OpenSearch serviço de pacotes personalizados do Amazon Service usa subsídios em AWS KMS
OpenSearch Os pacotes personalizados de serviços exigem uma concessão para usar a chave gerenciada pelo cliente.
Quando você cria um ZIP-PLUGIN pacote criptografado com uma chave gerenciada pelo cliente, o OpenSearch serviço de pacotes personalizados do Amazon Service cria uma concessão em seu nome enviando uma CreateGrantsolicitação para AWS KMS. As concessões concedem ao OpenSearch Serviço acesso a uma AWS KMS chave em sua conta. AWS KMS As concessões criadas pelos pacotes personalizados do OpenSearch Service têm uma restrição que permite operações somente quando a solicitação inclui um contexto de criptografia com seu ID de pacote personalizado.
Os pacotes personalizados do Amazon OpenSearch Service exigem a concessão para usar sua chave gerenciada pelo cliente para as seguintes operações internas:
| Operação | Descrição |
|---|---|
DescribeKey |
Envia DescribeKey solicitações AWS KMS para verificar se o ID de chave simétrico gerenciado pelo cliente inserido ao criar o pacote de plug-ins é válido. |
GenerateDataKeyWithoutPlaintext |
Enviar GenerateDataKeyWithoutPlaintext solicitações AWS KMS para gerar chaves de dados criptografadas pela chave gerenciada pelo cliente. |
GenerateDataKey |
Envia GenerateDataKey solicitações AWS KMS para gerar chaves de dados para criptografar o pacote ao copiá-lo internamente. |
Decrypt |
Enviar Decrypt solicitações para AWS KMS descriptografar as chaves de dados criptografadas para que elas possam ser usadas para descriptografar seus dados. |
É possível revogar o acesso à concessão ou remover o acesso do serviço à chave gerenciada pelo cliente a qualquer momento. Se você fizer isso, o OpenSearch Service não poderá acessar nenhum dado criptografado pela chave gerenciada pelo cliente, o que afetará as operações que dependam desses dados. Por exemplo, se você tentar associar um pacote de plug-in que o OpenSearch Service não consegue acessar, a operação retornará um AccessDeniedException erro.
Criar uma chave gerenciada pelo cliente
Você pode criar uma chave simétrica gerenciada pelo cliente usando o AWS Management Console ou o. AWS KMS APIs
Para criar uma chave simétrica gerenciada pelo cliente
-
Siga as etapas em Criação de uma chave KMS no Guia do AWS Key Management Service desenvolvedor.
Política de chave
As políticas de chaves controlam o acesso à chave gerenciada pelo cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chaves, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Ao criar a chave gerenciada pelo cliente, é possível especificar uma política de chave. Para obter mais informações, consulte Políticas de chaves no AWS KMS no Guia do desenvolvedor do AWS Key Management Service .
Para usar a chave gerenciada pelo cliente com os seus recursos do plug-in, você deverá permitir as seguintes operações da API na política de chave:
-
kms:CreateGrant: adiciona uma concessão a uma chave gerenciada pelo cliente. Concede acesso de controle a uma AWS KMS chave especificada, permitindo o acesso às operações de concessão que os pacotes personalizados do OpenSearch Serviço exigem. Para obter mais informações sobre o uso de concessões, consulte o Guia do AWS KMS desenvolvedor do.Isso permite ao OpenSearch Serviço o seguinte:
-
Ligue
GenerateDataKeyWithoutPlainTextpara gerar uma chave de dados criptografada e armazená-la para validações adicionais. -
Ligue
GenerateDataKeypara copiar o pacote do plugin internamente. -
Ligue
Decryptpara acessar o pacote do plugin internamente. -
Configure uma entidade principal aposentada para permitir que o serviço para
RetireGrant.
-
-
kms:DescribeKey— Fornece os principais detalhes gerenciados pelo cliente para permitir que o OpenSearch Serviço valide a chave. -
kms:GenerateDataKey,kms:GenerateDataKeyWithoutPlaintext,kms:Decrypt— Fornece acesso aos pacotes personalizados do OpenSearch Serviço para usar essas operações na concessão.
Veja a seguir exemplos de declarações de política que você pode adicionar para pacotes personalizados do OpenSearch Serviço:
"Statement" : [ { "Sid" : "Allow access to principals authorized to use OpenSearch Service custom packages", "Effect" : "Allow", "Principal" : { "AWS" : "*" }, "Action" : [ "kms:CreateGrant", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt" ], "Resource" : "*", "Condition" : { "StringEquals" : { "kms:ViaService" : "custom-packages.region.amazonaws.com" }, "StringEquals" : { "kms:EncryptionContext:packageId": "Id of the package" } } }, { "Sid" : "Allow access to principals authorized to use Amazon OpenSearch Service custom packages", "Effect" : "Allow", "Principal" : { "AWS" : "*" }, "Action" : [ "kms:DescribeKey" ], "Resource" : "*", "Condition" : { "StringEquals" : { "kms:ViaService" : "custom-packages.region.amazonaws.com" } } } ]
Para obter mais informações sobre a especificação de permissões em uma política, consulte Políticas principais AWS KMS no Guia do AWS Key Management Service desenvolvedor.
Para obter mais informações sobre como solucionar problemas de acesso por chave, consulte Solução de problemas de AWS KMS permissões no Guia do AWS Key Management Service desenvolvedor.
Especificar uma chave gerenciada pelo cliente para pacotes personalizados do Amazon OpenSearch Service
Você pode especificar uma chave gerenciada pelo cliente para fornecer uma segunda camada de criptografia para seus ZIP-PLUGIN pacotes.
Ao criar um pacote de plug-in, você pode especificar a chave de dados inserindo uma ID de AWS KMS chave, que os pacotes personalizados do OpenSearch serviço usam para criptografar o pacote de plug-in.
AWS KMS ID da chave: um identificador de chave para uma chave gerenciada pelo AWS KMS cliente. Insira uma ID de chave, um ARN de chave, um nome de alias ou um ARN de alias.
Contexto de criptografia de pacotes personalizados do Amazon OpenSearch Service
Um contexto de criptografia é um conjunto opcional de pares de chave/valor que pode conter informações contextuais adicionais sobre os dados.
AWS KMS usa o contexto de criptografia como dados autenticados adicionais para dar suporte à criptografia autenticada. Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, o AWS KMS vincula de forma criptográfica o contexto de criptografia aos dados criptografados. Para descriptografar os dados, você inclui o mesmo contexto de criptografia na solicitação.
Contexto de criptografia de pacotes personalizados do Amazon OpenSearch Service
Os pacotes personalizados do Amazon OpenSearch Service usam o mesmo contexto de criptografia em todas as operações AWS KMS criptográficas, onde a chave está packageId e o valor é o package-id do seu pacote de plug-in.
Usar o contexto de criptografia para monitoramento
Ao usar uma chave simétrica gerenciada pelo cliente para criptografar seu pacote de plug-ins, você pode usar o contexto de criptografia em registros de auditoria e logs para identificar como a chave gerenciada pelo cliente está sendo utilizada. O contexto de criptografia também aparece nos logs gerados pelo AWS CloudTrail ou pelo Amazon CloudWatch Logs.
Usar o contexto de criptografia para controlar o acesso à chave gerenciada pelo cliente
Você pode usar o contexto de criptografia nas políticas de chave e políticas do IAM como condições para controlar o acesso à sua chave simétrica gerenciada pelo cliente. Você também pode usar restrições no contexto de criptografia em uma concessão.
OpenSearch Os pacotes personalizados de serviços usam uma restrição ao contexto de criptografia em concessões para controlar o acesso à chave gerenciada pelo cliente na sua conta ou região. A restrição da concessão exige que as operações permitidas pela concessão usem o contexto de criptografia especificado.
Veja a seguir exemplos de declarações de políticas de chave para conceder acesso a uma chave gerenciada pelo cliente para um contexto de criptografia específico. A condição nesta declaração de política exige que as concessões tenham uma restrição de contexto de criptografia que especifique o contexto de criptografia.
{ "Sid": "Enable DescribeKey", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole" }, "Action": "kms:DescribeKey", "Resource": "*" }, { "Sid": "Enable OpenSearch Service custom packages to use the key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole" }, "Action" : [ "kms:CreateGrant", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringEquals" : { "kms:EncryptionContext:packageId": "ID of the package" } } }
Monitorar suas chaves de criptografia para serviços de pacotes OpenSearch personalizados para obter pacotes personalizados.
Ao usar uma chave gerenciada pelo AWS KMS cliente com seus recursos de OpenSearch serviço de pacotes personalizados de serviços, você pode usar CloudTrail ou CloudWatch Logs para rastrear solicitações enviadas por pacotes OpenSearch personalizados AWS KMS.
Saiba mais
Os recursos a seguir fornecem mais informações sobre a criptografia de dados em repouso.
-
Para obter mais informações sobre conceitos AWS KMS básicos, consulte AWS KMS keyso Guia do AWS Key Management Service desenvolvedor.
-
Para obter mais informações sobre as melhores práticas de segurança AWS KMS, consulte o guia de orientação AWS prescritiva para obter AWS Key Management Service as melhores práticas.
