集合组中的加密和 KMS 密钥 - 亚马逊 OpenSearch 服务
OCUs 在不同的 KMS 密钥之间共享所需的 KMS 权限

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

集合组中的加密和 KMS 密钥

您创建的每个 OpenSearch 无服务器集合都受到静态数据加密的保护 AWS KMS ,用于存储和管理您的加密密钥。使用集合组时,您可以灵活地为集合指定 KMS 密钥。

您可以通过两种方式提供与集合关联的 KMS 密钥:

  • 在 CreateCollection 请求中 — 使用encryption-config参数创建集合时直接指定 KMS 密钥。

  • 在安全策略中-在加密安全策略中定义 KMS 密钥关联。

当您在两个位置都指定 KMS 密钥时, CreateCollection 请求中提供的 KMS 密钥优先于安全策略配置。

这种灵活性简化了大规模集合的管理,尤其是在您需要使用唯一的 KMS 密钥创建多个集合时。您可以在创建集合时直接指定 KMS 密钥,而不必创建和管理成千上万的加密策略。

OCUs 在不同的 KMS 密钥之间共享

集合组允许使用不同 KMS 密钥在集合之间共享计算资源。同一集合组中的集合共享 OCU 内存空间,无论其加密密钥如何。这种共享计算模型无需单独使用每个 KMS 密钥 OCUs ,从而降低了成本。

集合组为安全和性能要求提供隔离。您可以将具有相同 KMS 密钥的集合分组到单个集合组中以实现安全隔离,也可以将具有不同 KMS 密钥的集合合并到同一个组中以优化成本。这种灵活性使您可以在安全需求和资源效率之间取得平衡。

系统使用其指定的 KMS 密钥对每个集合的数据进行加密,从而维护安全性。访问控制继续应用于集合级别,共享计算资源可根据需要访问多个 KMS 密钥来为组中的集合提供服务。

所需的 KMS 权限

在 CreateCollection 请求中指定 KMS 密钥时,您需要以下额外权限:

  • kms:DescribeKey— 允许 OpenSearch 无服务器检索有关 KMS 密钥的信息。

  • kms:CreateGrant— 允许 OpenSearch Serverless 为 KMS 密钥创建授权以启用加密操作。

使用 AWS 自有密钥时不需要这些权限。