Prerequisiti per l'utilizzo delle chiavi gestite dal cliente Creazione di un'applicazione con crittografia a chiave gestita dal cliente utilizzando la console Creazione di un'applicazione con crittografia a chiave gestita dal cliente utilizzando il AWS CLI Monitoraggio dell'utilizzo delle chiavi gestite dal cliente Aggiornamento delle impostazioni di crittografia

Crittografia dei metadati delle applicazioni dell' OpenSearch interfaccia utente con chiavi gestite dal cliente

Le risorse visive e le configurazioni vengono archiviate come metadati per le applicazioni dell'interfaccia utente. OpenSearch Ciò include interrogazioni, visualizzazioni e dashboard salvate. I dati provenienti dalle fonti di dati associate non vengono archiviati nei metadati. Per informazioni sulla crittografia dei dati nelle tue fonti di dati, consulta Protezione dei dati in Amazon OpenSearch Service per i OpenSearch domini e Crittografia in Amazon OpenSearch Serverless per le raccolte serverless.

I metadati OpenSearch dell'interfaccia utente sono protetti con crittografia a riposo. Ciò impedisce l'accesso non autorizzato. La crittografia utilizza AWS Key Management Service (AWS KMS) per archiviare e gestire le chiavi di crittografia. Per impostazione predefinita, OpenSearch i metadati dell'interfaccia utente sono crittografati con chiavi AWS proprietarie.

Puoi anche utilizzare la funzionalità Customer Managed Key (CMK) per gestire le tue chiavi di crittografia. Ciò consente di soddisfare i requisiti normativi e di conformità. Per utilizzare CMK, è necessario creare una nuova applicazione OpenSearch UI e abilitare CMK nel processo di creazione. Al momento non è supportato l'aggiornamento di un'applicazione OpenSearch UI esistente dalla chiave AWS proprietaria a CMK.

Quando utilizzare le chiavi gestite dal cliente:

La tua organizzazione ha requisiti di conformità normativa per la gestione delle chiavi
Sono necessari audit trail per l'utilizzo delle chiavi di crittografia
Vuoi controllare i programmi di rotazione dei tasti
È necessario integrarsi con i flussi di lavoro di gestione delle chiavi esistenti

Quando utilizzi una chiave gestita dal cliente, hai il pieno controllo sulla chiave. Ciò include la capacità di:

Stabilire e mantenere le policy della chiave
Stabilire e mantenere concessioni e policy IAM
Attivare e disattivare la chiave
Ruota il materiale crittografico della chiave
Aggiungi tag alla chiave
Creare alias delle chiavi
Pianifica l'eliminazione della chiave

Nota

La chiave gestita dal cliente deve trovarsi nella Regione AWS stessa applicazione dell' OpenSearch interfaccia utente. Non è possibile utilizzare una chiave proveniente da un'altra regione.

Argomenti

Prerequisiti per l'utilizzo delle chiavi gestite dal cliente
Creazione di un'applicazione con crittografia a chiave gestita dal cliente utilizzando la console
Creazione di un'applicazione con crittografia a chiave gestita dal cliente utilizzando il AWS CLI
Monitoraggio dell'utilizzo delle chiavi gestite dal cliente
Aggiornamento delle impostazioni di crittografia

Prerequisiti per l'utilizzo delle chiavi gestite dal cliente

Prima di poter utilizzare una chiave gestita dal cliente per crittografare i metadati dell'applicazione dell' OpenSearch interfaccia utente, è necessario creare una chiave di crittografia simmetrica. AWS KMSPer istruzioni sulla creazione di chiavi, consulta Creating keys nella Developer Guide.AWS KMS

La politica chiave per la chiave gestita dal cliente deve concedere all' OpenSearch interfaccia utente l'autorizzazione all'uso della chiave. Utilizza la seguente politica chiave, sostituendola placeholder values con le tue informazioni:


{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowOpenSearchUIToUseKey",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "application.opensearchservice.amazonaws.com"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowKeyAdministration",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        }
    ]
}

La policy include due dichiarazioni:

La prima istruzione consente all' OpenSearch interfaccia utente di utilizzare la chiave per le operazioni di crittografia.
La seconda istruzione consente agli utenti dell'utente Account AWS di amministrare la chiave. Ciò include le autorizzazioni per aggiornare la politica delle chiavi, abilitare o disabilitare la chiave e pianificare l'eliminazione della chiave. Puoi limitare ulteriormente queste autorizzazioni sostituendo il root principal con utenti o ruoli IAM specifici.

Per ulteriori informazioni sulle politiche chiave, consulta Using key policy AWS KMS nella AWS KMS Developer Guide.

Creazione di un'applicazione con crittografia a chiave gestita dal cliente utilizzando la console

Quando OpenSearch crei un'applicazione UI nella console, puoi specificare una chiave gestita dal cliente per crittografare i metadati dell'applicazione.

Per creare un'applicazione OpenSearch UI con crittografia a chiave gestita dal cliente utilizzando la console

Accedi alla console di Amazon OpenSearch Service da https://console.aws.amazon.com/aos/casa.
Nel riquadro di navigazione a sinistra, scegli OpenSearch UI (dashboard).
Scegli Crea applicazione.
Per Nome applicazione, inserisci un nome per l'applicazione.
Configura le impostazioni di autenticazione e amministratore in base alle esigenze. Per ulteriori informazioni, consulta Guida introduttiva all'interfaccia OpenSearch utente in Amazon OpenSearch Service.
Nella sezione Crittografia, per Encryption at rest, scegli Usa chiave gestita dal cliente.
Seleziona una chiave gestita dal cliente esistente dall'elenco oppure scegli Crea una chiave per crearne una nuova AWS KMS.

Nota
La chiave deve essere nella Regione AWS stessa dell'applicazione che stai creando.
(Facoltativo) Aggiungi tag all'applicazione.
Scegli Create (Crea).

Creazione di un'applicazione con crittografia a chiave gestita dal cliente utilizzando il AWS CLI

Per creare un'applicazione OpenSearch UI con crittografia a chiave gestita dal cliente utilizzando il AWS CLI, utilizzate il comando create-application con il --kms-key-arn parametro.

Sostituisci placeholder values con le informazioni appropriate.


aws opensearch create-application \
    --name my-application \
    --kms-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012

Se non specificate il --kms-key-arn parametro, OpenSearch utilizza una chiave AWS-managed per crittografare i metadati dell'applicazione.

Monitoraggio dell'utilizzo delle chiavi gestite dal cliente

Quando si utilizza una chiave gestita dal cliente con un'applicazione di OpenSearch interfaccia utente, AWS KMS registra ogni utilizzo della chiave nei AWS CloudTrail registri. È possibile utilizzare questi registri per monitorare come e quando viene utilizzata la chiave. I registri mostrano quale utente o servizio ha avuto accesso alla chiave.

AWS AWS KMS ruota automaticamente le chiavi gestite dal cliente ogni anno. È inoltre possibile ruotare manualmente i tasti in base alle esigenze. Per ulteriori informazioni sulla rotazione dei tasti, consulta Rotating KMS keys nella Developer Guide.AWS KMS

Per ulteriori informazioni sul monitoraggio dell'utilizzo delle chiavi, consulta Logging AWS KMS API call with AWS CloudTrail nella Developer Guide.AWS KMS

Nota

L'utilizzo di chiavi gestite dal cliente comporta dei costi. AWS KMS I costi si basano sul numero di richieste API e di chiavi archiviate. Per i dettagli sui prezzi, consulta la sezione Prezzi del servizio di gestione delle AWS chiavi.

Aggiornamento delle impostazioni di crittografia

Dopo aver creato un'applicazione OpenSearch UI, non è possibile modificarne le impostazioni di crittografia. Se è necessario utilizzare una chiave gestita dal cliente diversa, è necessario creare una nuova applicazione. Se è necessario passare da una chiave gestita AWS a una chiave gestita dal cliente e viceversa, è inoltre necessario creare una nuova applicazione con le impostazioni di crittografia desiderate.

Importante

Prima di disabilitare o eliminare una chiave gestita dal cliente, considera quanto segue:

Se disabiliti la chiave, l'applicazione perderà l'accesso ai metadati crittografati. È necessario riattivare la stessa chiave per ripristinare l'accesso.
Se si elimina la chiave, gli oggetti salvati nell'applicazione diventano definitivamente inaccessibili. Ciò include interrogazioni, visualizzazioni e dashboard. Le chiavi eliminate non possono essere recuperate.
Ti consigliamo di documentare l'ARN della tua chiave prima di apportare modifiche allo stato della chiave.

Fasi successive

Dopo aver configurato la crittografia CMK per la tua applicazione, puoi:

Associare fonti di dati all'applicazione. Per ulteriori informazioni, consulta Gestione delle associazioni delle fonti di dati e delle autorizzazioni di accesso al Virtual Private Cloud.
Crea spazi di lavoro per il tuo team. Per ulteriori informazioni, consulta Utilizzo delle aree di lavoro OpenSearch di Amazon Service.
Imposta il AWS CloudTrail monitoraggio dell'utilizzo delle chiavi. Per ulteriori informazioni, consulta Monitoraggio dell'utilizzo delle chiavi gestite dal cliente.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Nozioni di base

Abilitazione della federazione SAML con IAM