投稿日: Nov 20, 2019
Amazon Elasticsearch Service は、AWS Key Management Service (KMS) およびノード間暗号化を使用して、保管時の暗号化をサポートするようになりました。組織は、厳しいセキュリティおよびコンプライアンス要件を持つ機密ワークロードをホストできます。
保管時の暗号化を有効にした Amazon Elasticsearch Service ドメインでは、プライマリとレプリカのインデックス、ログファイル、メモリスワップファイル、自動化スナップショットなど、基になるファイルシステムに保存されるすべてのデータが暗号化されます。Amazon Elasticsearch Service によって暗号化と復号化がシームレスに処理されるため、データにアクセスするためにアプリケーションに変更を加える必要はありません。Amazon Elasticsearch Service では、KMS マスターキーを新しく作成することも、独自のものから選択することもできます。保管時の暗号化は、Amazon Elastic Block Store (EBS) とインスタンスストレージの両方をサポートしています。
ノード間の暗号化により、クラスター内の Elasticsearch ノード間のすべての通信に Transport Layer Security (TLS) が実装され、セキュリティが強化されます。また、HTTPS を介して Amazon Elasticsearch Service ドメインに送信するデータは、Elasticsearch がノード間で配信およびレプリケートされている間も暗号化された状態で維持されます。すべての証明書はドメインの有効期限内において、サービスにより自動的にデプロイおよび更新されるため、追加の運用オーバーヘッドは不要です。
これらの機能の詳細と、新しいドメインでその機能を有効にする方法については、ドキュメントを参照してください。