As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS KMS Integração de pacotes personalizados do Amazon OpenSearch Service
Os pacotes personalizados do Amazon OpenSearch Service fornecem criptografia por padrão para proteger seus ZIP-PLUGIN pacotes em repouso usando Chaves gerenciadas pela AWS.
-
Chaves pertencentes à AWS— Os pacotes personalizados do Amazon OpenSearch Service usam essas chaves por padrão para criptografar automaticamente seus
ZIP-PLUGINpacotes. Você não pode visualizar, gerenciar, usar Chaves pertencentes à AWS ou auditar seu uso. No entanto, você não precisa realizar nenhuma ação nem alterar nenhum programa para proteger as chaves que criptografam seus dados. Para obter mais informações, consulte Chaves pertencentes à AWS no Guia do desenvolvedor do AWS Key Management Service . -
Chaves gerenciadas pelo cliente — Você pode adicionar uma segunda camada de criptografia sobre a existente Chaves pertencentes à AWS escolhendo uma chave gerenciada pelo cliente ao criar seu pacote
ZIP-PLUGINpersonalizado.Os pacotes personalizados do Amazon OpenSearch Service oferecem suporte ao uso de uma chave simétrica gerenciada pelo cliente que você cria, possui e gerencia para adicionar uma segunda camada de criptografia sobre a criptografia existente AWS . Como você tem controle total dessa camada de criptografia, você pode executar as seguintes tarefas:
-
Estabelecer e manter as políticas de chaves
-
Estabelecer e manter AWS Identity and Access Management (IAM) políticas e subsídios
-
Habilitar e desabilitar políticas de chave
-
Alternar o material de criptografia de chaves
-
Adicionar tags
-
Criar aliases de chaves
-
Programar a exclusão de chaves
-
Para obter mais informações, consulte Chaves mestras do cliente (CMKs) no AWS Key Management Service Guia do desenvolvedor.
nota
Os pacotes personalizados do Amazon OpenSearch Service habilitam automaticamente a criptografia em repouso Chaves pertencentes à AWS , usando gratuitamente. No entanto, AWS KMS cobranças se aplicam quando você usa uma chave gerenciada pelo cliente. Para obter mais informações sobre preços, consulte Preços do AWS Key Management Service
Como o OpenSearch serviço de pacotes personalizados do Amazon Service usa subsídios em AWS KMS
OpenSearch Os pacotes personalizados de serviços exigem uma concessão para usar sua chave gerenciada pelo cliente.
Quando você cria um ZIP-PLUGIN pacote criptografado com uma chave gerenciada pelo cliente, o OpenSearch serviço de pacotes personalizados do Amazon Service cria uma concessão em seu nome enviando uma CreateGrantsolicitação para AWS KMS. As concessões concedem ao OpenSearch Serviço acesso a uma AWS KMS chave em sua conta. AWS KMS As concessões criadas pelos pacotes personalizados do OpenSearch Service têm uma restrição que permite operações somente quando a solicitação inclui um contexto de criptografia com seu ID de pacote personalizado.
Os pacotes personalizados do Amazon OpenSearch Service exigem que a concessão use sua chave gerenciada pelo cliente para as seguintes operações internas:
| Operação | Descrição |
|---|---|
DescribeKey |
Envia DescribeKey solicitações AWS KMS para verificar se o ID simétrico da chave gerenciada pelo cliente inserido ao criar o pacote de plug-ins é válido. |
GenerateDataKeyWithoutPlaintext |
Envia GenerateDataKeyWithoutPlaintext solicitações AWS KMS para gerar chaves de dados criptografadas pela chave gerenciada pelo cliente. |
GenerateDataKey |
Envia GenerateDataKey solicitações AWS KMS para gerar chaves de dados para criptografar o pacote ao copiá-lo internamente. |
Decrypt |
Envia Decrypt solicitações AWS KMS para descriptografar as chaves de dados criptografadas para que elas possam ser usadas para descriptografar seus dados. |
Você pode revogar o acesso à concessão ou remover o acesso do serviço à chave gerenciada pelo cliente a qualquer momento. Se você fizer isso, o OpenSearch Serviço não poderá acessar nenhum dado criptografado pela chave gerenciada pelo cliente, o que afeta as operações que dependem desses dados. Por exemplo, se você tentar associar um pacote de plug-in que o OpenSearch Serviço não pode acessar, a operação retornará um AccessDeniedException erro.
Criar uma chave gerenciada pelo cliente
Você pode criar uma chave simétrica gerenciada pelo cliente usando o AWS Management Console ou o. AWS KMS APIs
Para criar uma chave simétrica gerenciada pelo cliente
-
Siga as etapas em Criação de uma chave KMS no Guia do AWS Key Management Service desenvolvedor.
Política de chave
As políticas de chaves controlam o acesso à chave gerenciada pelo cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chaves, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Ao criar a chave gerenciada pelo cliente, é possível especificar uma política de chave. Para obter mais informações, consulte Políticas de chaves no AWS KMS no Guia do desenvolvedor do AWS Key Management Service .
Para usar sua chave gerenciada pelo cliente com seus recursos de plug-in, você deve permitir as seguintes operações de API na política de chaves:
-
kms:CreateGrant: adiciona uma concessão a uma chave gerenciada pelo cliente. Concede acesso de controle a uma AWS KMS chave especificada, permitindo o acesso às operações de concessão exigidas pelos pacotes personalizados do OpenSearch Serviço. Para obter mais informações sobre o uso de subsídios, consulte o Guia do AWS KMS desenvolvedor.Isso permite que o OpenSearch Serviço faça o seguinte:
-
Ligue
GenerateDataKeyWithoutPlainTextpara gerar uma chave de dados criptografada e armazená-la para validações adicionais. -
Ligue
GenerateDataKeypara copiar o pacote do plug-in internamente. -
Ligue
Decryptpara acessar o pacote do plugin internamente. -
Configure uma entidade principal aposentada para permitir que o serviço para
RetireGrant.
-
-
kms:DescribeKey— Fornece os detalhes da chave gerenciada pelo cliente para permitir que o OpenSearch Serviço valide a chave. -
kms:GenerateDataKey,kms:GenerateDataKeyWithoutPlaintext,kms:Decrypt— Fornece acesso aos pacotes personalizados do OpenSearch Serviço para usar essas operações na concessão.
Veja a seguir exemplos de declarações de política que você pode adicionar aos pacotes personalizados do OpenSearch Service:
"Statement" : [ { "Sid" : "Allow access to principals authorized to use OpenSearch Service custom packages", "Effect" : "Allow", "Principal" : { "AWS" : "*" }, "Action" : [ "kms:CreateGrant", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt" ], "Resource" : "*", "Condition" : { "StringEquals" : { "kms:ViaService" : "custom-packages.region.amazonaws.com" }, "StringEquals" : { "kms:EncryptionContext:packageId": "Id of the package" } } }, { "Sid" : "Allow access to principals authorized to use Amazon OpenSearch Service custom packages", "Effect" : "Allow", "Principal" : { "AWS" : "*" }, "Action" : [ "kms:DescribeKey" ], "Resource" : "*", "Condition" : { "StringEquals" : { "kms:ViaService" : "custom-packages.region.amazonaws.com" } } } ]
Para obter mais informações sobre a especificação de permissões em uma política, consulte Políticas principais AWS KMS no Guia do AWS Key Management Service desenvolvedor.
Para obter mais informações sobre como solucionar problemas de acesso por chave, consulte Solução de problemas de AWS KMS permissões no Guia do AWS Key Management Service desenvolvedor.
Especifique uma chave gerenciada pelo cliente para pacotes personalizados do Amazon OpenSearch Service
Você pode especificar uma chave gerenciada pelo cliente como uma segunda camada de criptografia para seus ZIP-PLUGIN pacotes.
Ao criar um pacote de plug-in, você pode especificar a chave de dados inserindo um ID de AWS KMS chave, que os pacotes personalizados do OpenSearch Serviço usam para criptografar o pacote de plug-in.
AWS KMS ID da chave — Um identificador de chave para uma chave gerenciada pelo AWS KMS cliente. Insira uma ID de chave, um ARN de chave, um nome de alias ou um ARN de alias.
Contexto de criptografia de pacotes personalizados do Amazon OpenSearch Service
Um contexto de criptografia é um conjunto opcional de pares de chave/valor que pode conter informações contextuais adicionais sobre os dados.
AWS KMS usa o contexto de criptografia como dados autenticados adicionais para oferecer suporte à criptografia autenticada. Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, AWS KMS vincula o contexto de criptografia aos dados criptografados. Para descriptografar os dados, você inclui o mesmo contexto de criptografia na solicitação.
Contexto de criptografia de pacotes personalizados do Amazon OpenSearch Service
Os pacotes personalizados do Amazon OpenSearch Service usam o mesmo contexto de criptografia em todas as operações AWS KMS criptográficas, onde a chave está packageId e o valor é o package-id do seu pacote de plug-in.
Use o contexto de criptografia para monitoramento
Ao usar uma chave simétrica gerenciada pelo cliente para criptografar seu pacote de plug-ins, você pode usar o contexto de criptografia nos registros e registros de auditoria para identificar como a chave gerenciada pelo cliente está sendo usada. O contexto de criptografia também aparece nos registros gerados pelo AWS CloudTrail ou Amazon CloudWatch Logs.
Usar o contexto de criptografia para controlar o acesso à chave gerenciada pelo cliente
Você pode usar o contexto de criptografia nas políticas de chave e políticas do IAM como condições para controlar o acesso à sua chave simétrica gerenciada pelo cliente. Você também pode usar restrições no contexto de criptografia em uma concessão.
OpenSearch Os pacotes personalizados de serviços usam uma restrição de contexto de criptografia nas concessões para controlar o acesso à chave gerenciada pelo cliente em sua conta ou região. A restrição da concessão exige que as operações permitidas pela concessão usem o contexto de criptografia especificado.
Veja a seguir exemplos de declarações de políticas de chave para conceder acesso a uma chave gerenciada pelo cliente para um contexto de criptografia específico. A condição nesta declaração de política exige que as concessões tenham uma restrição de contexto de criptografia que especifique o contexto de criptografia.
{ "Sid": "Enable DescribeKey", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole" }, "Action": "kms:DescribeKey", "Resource": "*" }, { "Sid": "Enable OpenSearch Service custom packages to use the key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole" }, "Action" : [ "kms:CreateGrant", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringEquals" : { "kms:EncryptionContext:packageId": "ID of the package" } } }
Monitorando suas chaves de criptografia para serviços de pacotes OpenSearch personalizados
Ao usar uma chave gerenciada pelo AWS KMS cliente com seus recursos de OpenSearch serviço de pacotes personalizados de serviços, você pode usar CloudTrail ou CloudWatch Logs para rastrear solicitações enviadas por pacotes OpenSearch personalizados AWS KMS.
Saiba mais
Os recursos a seguir fornecem mais informações sobre a criptografia de dados em repouso.
-
Para obter mais informações sobre conceitos AWS KMS básicos, consulte AWS KMS keyso Guia do AWS Key Management Service desenvolvedor.
-
Para obter mais informações sobre as melhores práticas de segurança AWS KMS, consulte o guia de orientação AWS prescritiva para obter AWS Key Management Service as melhores práticas.
