集合群組中的加密和 KMS 金鑰 - Amazon OpenSearch Service
在不同的 KMS 金鑰之間共用 OCUs必要的 KMS 許可

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

集合群組中的加密和 KMS 金鑰

您建立的每個 OpenSearch Serverless 集合都受到靜態資料的加密保護 AWS KMS ,使用 存放和管理加密金鑰。使用集合群組時,您可以靈活地指定集合的 KMS 金鑰。

您可以透過兩種方式提供與集合相關聯的 KMS 金鑰:

  • 在 CreateCollection 請求中 – 使用 encryption-config 參數建立集合時,直接指定 KMS 金鑰。

  • 在安全政策中 – 在加密安全政策中定義 KMS 金鑰關聯。

當您在這兩個位置指定 KMS 金鑰時,CreateCollection 請求中提供的 KMS 金鑰優先於安全政策組態。

這種靈活性可簡化大規模管理集合,尤其是當您需要使用唯一的 KMS 金鑰建立多個集合時。您可以直接在集合建立期間指定 KMS 金鑰,而不是建立和管理數千個加密政策。

在不同的 KMS 金鑰之間共用 OCUs

集合群組可使用不同的 KMS 金鑰跨集合啟用運算資源共用。相同集合群組中的集合會共用 OCU 記憶體空間,無論其加密金鑰為何。此共用運算模型透過消除每個 KMS 金鑰個別 OCUs的需求來降低成本。

集合群組可隔離安全與效能需求。您可以將具有相同 KMS 金鑰的集合分組為單一集合群組以進行安全隔離,或將集合與相同群組中的不同 KMS 金鑰結合以最佳化成本。這種靈活性可讓您平衡安全需求和資源效率。

系統會使用其指定的 KMS 金鑰加密每個集合的資料,以維護安全性。存取控制會持續在集合層級套用,而共用的運算資源會視需要存取多個 KMS 金鑰,以為群組中的集合提供服務。

必要的 KMS 許可

當您在 CreateCollection 請求中指定 KMS 金鑰時,您需要下列其他許可:

  • kms:DescribeKey – 允許 OpenSearch Serverless 擷取 KMS 金鑰的相關資訊。

  • kms:CreateGrant – 允許 OpenSearch Serverless 建立 KMS 金鑰的授予,以啟用加密操作。

使用 AWS 擁有的金鑰時,不需要這些許可。