

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Criptografia de dados em repouso para o Amazon OpenSearch Service
<a name="encryption-at-rest"></a>

OpenSearch Os domínios de serviço oferecem criptografia de dados em repouso, um recurso de segurança que ajuda a impedir o acesso não autorizado aos seus dados. O recurso usa AWS Key Management Service (AWS KMS) para armazenar e gerenciar suas chaves de criptografia e o algoritmo Advanced Encryption Standard com chaves de 256 bits (AES-256) para realizar a criptografia. Se habilitado, o recurso criptografa os seguintes aspectos de um domínio:
+ Todos os índices (incluindo aqueles em UltraWarm armazenamento)
+ OpenSearch troncos
+ Arquivos de troca
+ Todos os outros dados no diretório da aplicação
+ Snapshots automatizados

Os seguintes itens *não* são criptografados quando você ativa a criptografia de dados em repouso, mas você pode executar etapas adicionais para protegê-los:
+ Instantâneos manuais: no momento, você não pode usar AWS KMS chaves para criptografar instantâneos manuais. No entanto, você pode usar a criptografia no lado do servidor com chaves gerenciadas pelo S3 ou chaves do KMS para criptografar o bucket que você usa como repositório de snapshots. Para instruções, consulte [Registro de um repositório de snapshots manuais](managedomains-snapshot-registerdirectory.md).
+ Registros lentos e registros de erros: se você [publicar registros](createdomain-configure-slow-logs.md) e quiser criptografá-los, poderá criptografar o grupo de CloudWatch registros de registros usando a mesma AWS KMS chave do domínio de OpenSearch serviço. Para obter mais informações, consulte [Criptografar dados de log em CloudWatch registros usando AWS Key Management Service](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html) o *Guia do usuário do Amazon CloudWatch Logs*.

**nota**  
Você não pode habilitar a criptografia em repouso em um domínio existente se UltraWarm o armazenamento a frio estiver habilitado no domínio. Primeiro, você deve desativar UltraWarm o armazenamento a frio, ativar a criptografia em repouso e, em seguida, reativá-lo UltraWarm ou reativá-lo. Se você quiser manter os índices em UltraWarm um armazenamento refrigerado, você deve movê-los para o armazenamento a quente antes de desativar UltraWarm ou armazenar a frio.

OpenSearch O serviço suporta somente chaves KMS de criptografia simétrica, não chaves assimétricas. Para saber como criar chaves simétricas, consulte [Criar uma chave do KMS](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) no *Guia do usuário do AWS Key Management Service *.

Independentemente de a criptografia em repouso estar ativada, todos os domínios criptografam automaticamente [pacotes personalizados](custom-packages.md) usando AES-256 e chaves gerenciadas por serviços. OpenSearch 

## Permissões
<a name="permissions-ear"></a>

Para usar o console OpenSearch de serviço para configurar a criptografia de dados em repouso, você deve ter permissões de leitura AWS KMS, como a seguinte política baseada em identidade:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:List*",
        "kms:Describe*"
      ],
      "Resource": "*"
    }
  ]
}
```

------

Se quiser usar uma chave diferente da chave AWS própria, você também deve ter permissões para criar [concessões](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) para a chave. Essas permissões normalmente assumem a forma de uma política baseada em recursos que você especifica ao criar a chave.

Se você quiser manter sua chave exclusiva para o OpenSearch Serviço, você pode adicionar a ViaService condição [kms:](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-via-service) a essa política de chaves:

```
"Condition": {
  "StringEquals": {
    "kms:ViaService": "es.{{us-west-1}}.amazonaws.com"
  },
  "Bool": {
    "kms:GrantIsForAWSResource": "true"
  }
}
```

Para saber mais, consulte [Políticas de chaves no AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) no *Guia do desenvolvedor do AWS Key Management Service *.

## Ativação da criptografia de dados em repouso
<a name="enabling-ear"></a>

A criptografia de dados em repouso em novos domínios requer o Elasticsearch 5.1 OpenSearch ou posterior. Habilitá-lo em domínios existentes requer o Elasticsearch 6.7 OpenSearch ou posterior.

**Para habilitar a criptografia de dados em repouso (console)**

1. Abra o domínio no AWS console e escolha **Ações** e **Editar configuração de segurança**.

1. Em **Criptografia**, selecione **Habilitar criptografia de dados em repouso**.

1. Escolha uma AWS KMS chave para usar e escolha **Salvar alterações**.

Também é possível habilitar a criptografia por meio da API de configuração. A solicitação a seguir permite a criptografia de dados em repouso em um domínio existente:

```
{
   "ClusterConfig":{
      "EncryptionAtRestOptions":{
         "Enabled": true,
         "KmsKeyId":"arn:aws:kms:us-east-1:123456789012:alias/my-key"
      }
   }
}
```

## A chave do KMS foi desabilitada ou excluída
<a name="disabled-key"></a>

Se você desabilitar ou excluir a chave usada para criptografar um domínio, o domínio ficará inacessível. OpenSearch O serviço envia uma [notificação](managedomains-notifications.md) informando que não consegue acessar a chave KMS. Habilite novamente a chave imediatamente para acessar o seu domínio.

A equipe OpenSearch de serviço não poderá ajudá-lo a recuperar seus dados se sua chave for excluída. AWS KMS exclui as chaves somente após um período de espera de pelo menos sete dias. Se a exclusão da sua chave estiver pendente, cancele-a ou tire um [snapshot manual](managedomains-snapshots.md) do domínio para evitar a perda de dados.

## Desativação da criptografia de dados em repouso
<a name="disabling-ear"></a>

Depois de configurar um domínio para criptografar dados em repouso, você não pode desativar a configuração. Em vez disso, você pode tirar um [snapshot manual](managedomains-snapshots.md) do domínio existente, [criar outro domínio](createupdatedomains.md#createdomains), migrar seus dados e excluir o domínio anterior.

## Monitoramento de domínios que criptografam dados em repouso
<a name="monitoring-ear"></a>

Domínios que criptografam dados em repouso têm duas métricas adicionais: `KMSKeyError` e `KMSKeyInaccessible`. Essas métricas serão exibidas somente se o domínio encontrar um problema com sua chave de criptografia. Para obter descrições completas dessas métricas, consulte [Métricas de cluster](managedomains-cloudwatchmetrics.md#managedomains-cloudwatchmetrics-cluster-metrics). Você pode visualizá-los usando o console do OpenSearch Service ou o CloudWatch console da Amazon.

**dica**  
Cada métrica representa um problema significativo para um domínio, por isso recomendamos que você crie CloudWatch alarmes para ambos. Para obter mais informações, consulte [CloudWatch Alarmes recomendados para o Amazon Service OpenSearch](cloudwatch-alarms.md).

## Outras considerações
<a name="ear-considerations"></a>
+ A rotação automática de chaves preserva as propriedades de suas AWS KMS chaves, portanto, a rotação não afeta sua capacidade de acessar seus OpenSearch dados. Os domínios OpenSearch de serviço criptografados não oferecem suporte à rotação manual de chaves, o que envolve a criação de uma nova chave e a atualização de qualquer referência à chave antiga. Para saber mais, consulte [Girar AWS KMS chaves](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) no *Guia do AWS Key Management Service desenvolvedor*.
+ Certos tipos de instâncias não oferecem suporte à criptografia de dados em repouso. Para obter detalhes, consulte [Tipos de instância compatíveis no Amazon OpenSearch Service](supported-instance-types.md).
+ Domínios que criptografam dados em repouso usam outro nome de repositório para seus snapshots automatizados. Para saber mais, consulte [Restauração de snapshots](managedomains-snapshot-restore.md).
+ Embora seja altamente recomendável habilitar a criptografia em repouso, esse recurso pode adicionar sobrecarga adicional à CPU e acrescentar alguns milissegundos de latência. Contudo, a maioria dos casos de uso não é afetada por essas diferenças, e a magnitude do impacto depende da configuração do cluster, dos clientes e do perfil de uso.