Amazon Elasticsearch Service 的静态数据加密数据 - Amazon Elasticsearch Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Elasticsearch Service 的静态数据加密数据

Amazon ES 域提供了静态数据加密数据,这是一种有助于防止他人未经授权访问您的数据的安全功能。该功能使用 Amazon Key Management Service (Amazon KMS) 存储和管理您的加密密钥,并使用具有 256 位密钥的高级加密标准算法 (AES-256) 来执行加密。如果启用,该功能会对域的以下方面进行加密:

  • 所有指数(包括 UltraWarm 存储中的指数)

  • Elasticsearch Logs Logs

  • 交换文件

  • 应用程序目录中的所有其他数据

  • 自动快照

以下内容在您启用静态数据加密时不会 加密,但您可以执行额外的步骤来保护它们:

  • 手动快照:您目前无法使用 KMS 主密钥对手动快照进行加密。但是,您可以使用 S3 托管密钥或客户主密钥 (CMK) 的服务器端加密来对您用作快照存储库的存储桶进行加密。有关说明,请参阅注册手动快照存储库

  • 缓慢的日志和错误日志:如果您发布日志并希望对其进行加密,则可以使用相同的Amazon KMS主密钥作为 Amazon ES 域。有关更多信息,请参阅 。使用对 CloudWatch Logs 日志中的日志数据加密AmazonKMS中的Amazon CloudWatch Logs 用户指南

Amazon ES 仅支持对称客户主密钥,不支持非对称客户主密钥。要了解如何创建对称客户主密钥,请参阅创建密钥中的Amazon Key Management Service开发人员指南

无论是否启用静态加密,所有域都会自动加密自定义程序包使用 AES-256 和亚马逊 ES 管理的密钥。

启用静态数据加密数据加密数据

新域中的静态数据加密数据需要 Elasticsearch 5.1 或更高版本。在现有域上启用此功能需要弹性搜索 6.7 或更高版本。选择现有域Amazon控制台,操作, 和修改加密

要使用 Amazon ES 控制台配置静态数据加密,您必须具有Amazon KMS,例如以下基于身份的策略:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:List*", "kms:Describe*" ], "Resource": "*" } ] }

如果您希望使用以外的主密钥。(默认值)aws/es,您还必须拥有创建的权限。授予作为密钥。这些权限通常采用基于资源的策略的形式,您在创建密钥时会指定该策略。

如果您希望密钥专供 Amazon ES 使用,可将密钥添加到kms:ViaService条件添加到该关键策略:

"Condition": { "StringEquals": { "kms:ViaService": "es.us-west-1.amazonaws.com" }, "Bool": { "kms:GrantIsForAWSResource": "true" } }

有关更多信息,请参阅 。使用 中的密钥策略AmazonKMS中的Amazon Key Management Service开发人员指南

警告

如果您删除了用于对某个域进行加密的密钥,该域将变得无法访问。Amazon ES 团队无法帮助您恢复数据。Amazon KMS在经过至少 7 天的等待期后才会删除主密钥,因此,如果 Amazon ES 团队检测到您的域面临风险,它们可能会联系您。

禁用静态数据加密数据加密数据

在您配置一个域以对静态数据进行加密后,您无法禁用该设置。相反,您可以随时拍摄现有域的手动快照创建另一个域,迁移您的数据和删除旧域。

监控加密静态数据的域数据加密数据

对静态数据进行加密的域有两个额外指标:KMSKeyErrorKMSKeyInaccessible。仅当域发现您的加密密钥存在问题时,才会显示这些指标。有关这些指标的完整说明,请参阅集群指标。您可以使用 Amazon ES 控制台或 Amazon CloudWatch 控制台查看它们。

提示

每个指标都表示域的一个重大问题,因此我们建议您为两者创建 CloudWatch 警报。有关更多信息,请参阅 针对 Amazon Elasticsearch Service 的推荐 CloudWatch 警报

其他考虑因素

  • 自动密钥轮替会保留Amazon KMS主密钥,因此轮换不会影响您访问 Elasticsearch 数据的能力。加密的 Amazon ES 域不支持手动密钥轮换,手动密钥轮换涉及创建新的主密钥和将任何参考更新到旧密钥。要了解更多信息,请参阅轮换客户主密钥中的Amazon Key Management Service开发人员指南

  • 某些实例类型不支持静态数据加密。有关详细信息,请参阅Amazon Elasticsearch Service 中支持的实例类型

  • 对静态数据进行加密的域对其自动快照使用了不同的存储库名称。有关更多信息,请参阅 还原快照

  • 对 Amazon ES 域进行加密需要使用授予,并且每个加密密钥都有limit每位校长 500 个补助金。此限制意味着您可以使用单个密钥进行加密的 Amazon ES 域的最大数量为 500。目前,Amazon ES 最多支持每账户(每区域)100 个域,因此此授权限制无关紧要。但是,如果每个账户的域限制提升,授权限制可能变得相关。

    如果您到那时需要加密超过 500 个域,可以创建额外的密钥。密钥是区域性而不是全球性的,因此,如果您在多个 Amazon 区域中进行操作,则需要多个密钥。