投稿日: Jan 27, 2021

Amazon Elasticsearch Service で、保管時のデータの暗号化および既存のドメインでのノード間の暗号化がサポートされ、厳格なセキュリティとコンプライアンスの要件を伴う機密扱いのワークロードを組織でホストできるようになりました。

Amazon Elasticsearch Service には、AWS Key Management Service (KMS) で管理するキーを使用してデータを暗号化するオプションがあります。独自のマスターキーを持ち込むか、またはサービスが提供するマスターキーを利用するかを選択できます。暗号化を有効にした Amazon Elasticsearch Service ドメインでは、プライマリとレプリカのインデックス、ログファイル、メモリスワップファイル、自動化 Amazon S3 スナップショットなど、基盤となるファイルシステムに保存されるすべてのデータが暗号化されます。保管時の暗号化は、Amazon Elastic Block Store (EBS) とインスタンスストレージの両方をサポートしています。

ノード間の暗号化機能により、クラスター内の Amazon Elasticsearch Service インスタンス間のすべての通信に Transport Layer Security (TLS) が実行され、セキュリティが強化されます。また、HTTPS を介して Amazon Elasticsearch Service ドメインに送信するデータは、ノード間で配信およびレプリケートされている間も処理中の暗号化された状態が維持されます。TLS 証明書のライフサイクルは追加の運用上のオーバーヘッドなしで、ドメインの猶予期間の間、管理されます。

保存データの暗号化とノード間暗号化は、Elasticsearch バージョン 6.7 以降のすべてのドメインでサポートされています。AWS KMS で保存されているデータの暗号化を設定および使用する方法の詳細については、ドキュメントを参照してください。AWS KMS の詳細については、 AWS KMS の概要ページをご覧ください。ノード間暗号化の設定と使用の詳細については、 ドキュメント を参照してください。 

保存データの暗号化とノード間暗号化が、24 のリージョンで Amazon Elasticsearch Service ドメインで利用できるようになりました。 米国東部(バージニア北部、オハイオ)、米国西部(オレゴン、北カリフォルニア)、AWS GovCloud(US-Gov-East, US-Gov-West)、カナダ(中部)、南アメリカ(サンパウロ)、アフリカ(ケープタウン)、中東(バーレーン)、EU(アイルランド、ロンドン、フランクフルト、パリ、ストックホルム、ミラノ)、アジア太平洋(シンガポール、シドニー、東京、ソウル、ムンバイ、香港)、および中国(北京はSinnet、寧夏はNWCDが運営)。Amazon Elasticsearch Service 利用詳細については、AWS リージョン表をご覧ください。