本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon OpenSearch Service 的靜態資料加密
OpenSearch Service 網域提供靜態資料加密,這是一種安全功能,可協助防止未經授權存取您的資料。此功能使用 AWS Key Management Service (AWS KMS) 來存放和管理加密金鑰,並使用 256 位元金鑰 (AES-256) 的進階加密標準演算法來執行加密。如果啟用,此功能會加密網域的以下層面:
+ 所有索引 (包括 UltraWarm 儲存中的索引)
+ OpenSearch 日誌
+ 置換檔案
+ 應用程式目錄中的所有其他資料
+ 自動快照
當您啟用靜態資料加密時,以下項目*不會*加密,但您可以採取額外的步驟來保護它們:
+ 手動快照:您目前無法使用 AWS KMS 金鑰來加密手動快照。不過,您可以使用伺服器端加密搭配 S3 受管金鑰或 KMS 金鑰來加密您用作快照儲存庫的儲存貯體。如需說明,請參閱[註冊手動快照儲存庫](managedomains-snapshot-registerdirectory.md)。
+ 慢速日誌和錯誤日誌:如果您[發佈日誌](createdomain-configure-slow-logs.md)並想要加密它們,您可以使用與 OpenSearch Service 網域相同的 AWS KMS 金鑰來加密其 CloudWatch Logs 日誌群組。如需詳細資訊,請參閱《Amazon CloudWatch Logs 使用者指南》**中[使用 AWS Key Management Service加密 CloudWatch Logs 中的日誌資料](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html)。
**注意**
如果已在網域上啟用 UltraWarm 或冷儲存,則您無法在現有網域上啟用靜態加密。您必須先停用 UltraWarm 或冷儲存、啟用靜態加密,然後重新啟用 UltraWarm 或冷儲存。如果您想要在 UltraWarm 或冷儲存中保留索引,您必須先將索引移至熱儲存,再停用 UltraWarm 或冷儲存。
OpenSearch Service 僅支援對稱加密 KMS 金鑰,不支援非對稱加密 KMS 金鑰。若要了解如何建立對稱金鑰,請參閱《 *AWS Key Management Service 開發人員指南*》中的[建立 KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)。
無論是否啟用靜態加密,所有網域都會使用 AES-256 和 OpenSearch Service 受管密鑰自動加密[自訂套件](custom-packages.md)。
## 許可
若要使用 OpenSearch Service 主控台設定靜態資料的加密,您必須具有 的讀取許可 AWS KMS,例如下列身分型政策:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:List*",
"kms:Describe*"
],
"Resource": "*"
}
]
}
```
------
如果您想要使用 AWS 擁有金鑰以外的金鑰,您還必須具有為金鑰建立[授予](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)的許可。這些許可通常採用以資源為基礎的政策形式,當您建立金鑰時會加以指定。
若您想要讓金鑰保持為 OpenSearch Service 獨有,您可以將 [kms:ViaService](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-via-service) 條件新增到金鑰政策:
```
"Condition": {
"StringEquals": {
"kms:ViaService": "es.{{us-west-1}}.amazonaws.com"
},
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
```
如需詳細資訊,請參閱*《AWS Key Management Service 開發人員指南》*中的[在 AWS KMS中使用金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)。
## 啟用靜態資料加密
在新網域中進行靜態資料加密需要 OpenSearch 或 Elasticsearch 5.1 版或更高版本。在現有網域上啟用它需要 OpenSearch 或 Elasticsearch 6.7 或更高版本。
**啟用靜態資料加密 (主控台)**
1. 在 AWS 主控台中開啟網域,然後選擇**動作**和**編輯安全組態**。
1. 在 **Encryption** (加密),選擇 **Enable encryption of data at rest** (啟用靜態資料加密)。
1. 選擇要使用的 AWS KMS 金鑰,然後選擇**儲存變更**。
您也可以透過組態 API 啟用加密。下列請求會啟用現有網域上的靜態資料加密:
```
{
"ClusterConfig":{
"EncryptionAtRestOptions":{
"Enabled": true,
"KmsKeyId":"arn:aws:kms:us-east-1:123456789012:alias/my-key"
}
}
}
```
## 禁用或刪除的 KMS 金鑰
如果您停用或刪除用來加密網域的金鑰,網域將無法存取。OpenSearch Service 會傳送[通知](managedomains-notifications.md),通知您其無法存取 KMS 金鑰。立即重新啟用金鑰以存取您的網域。
如果您的金鑰已刪除,OpenSearch Service 團隊無法協助您復原資料。 只會在等待至少七天後 AWS KMS 刪除金鑰。如果您的金鑰仍待刪除,請取消刪除或拍攝網域的[手動快照](managedomains-snapshots.md),以避免資料損失。
## 停用靜態資料加密
在您設定網域以加密靜態資料後,您無法停用設定。相反地,您可以拍攝現有網域的[手動快照](managedomains-snapshots.md),[建立另一個網域](createupdatedomains.md#createdomains),遷移您的資料和刪除舊的網域。
## 監控靜態加密資料的網域
加密靜態資料的網域有兩個額外的指標:`KMSKeyError` 和 `KMSKeyInaccessible`。如果網域遇到與您加密金鑰相關的問題,這些指標才會顯示。如需這些指標的完整說明,請參閱[叢集指標](managedomains-cloudwatchmetrics.md#managedomains-cloudwatchmetrics-cluster-metrics)。您可以使用 OpenSearch Service 主控台或 Amazon CloudWatch 主控台來檢視它們。
**提示**
每個指標代表網域的重大問題,因此我們建議您為二者建立 CloudWatch 警示。如需詳細資訊,請參閱[Amazon OpenSearch Service 的建議 CloudWatch 警示](cloudwatch-alarms.md)。
## 其他考量
+ 自動金鑰輪換會保留 AWS KMS 金鑰的屬性,因此輪換不會影響您存取 OpenSearch 資料的能力。已加密的 OpenSearch Service 網域不支援手動金鑰輪換,其中包含建立新金鑰和更新任何舊金鑰的參照。若要進一步了解,請參閱《 *AWS Key Management Service 開發人員指南*》中的[輪換 AWS KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html)。
+ 有些執行個體類型不支援靜態資料的加密。如需詳細資訊,請參閱[Amazon OpenSearch Service 中支援的執行個體類型](supported-instance-types.md)。
+ 加密靜態資料的網域對於其自動快照使用不同的儲存庫名稱。如需詳細資訊,請參閱[還原快照](managedomains-snapshot-restore.md)。
+ 雖然我們強烈建議啟用靜態加密,但這可能會增加額外的 CPU 負荷和幾毫秒的延遲。不過,大多數使用案例對這些差異並不敏感,且影響程度取決於叢集、用户端和使用設定檔的組態。