認証、承認、暗号化、監査、規制遵守に関するセキュリティ要件を満たし、維持します。
大量のデータに基づいて構築された分析ソリューションは、特にセキュリティリスクや違反の影響を受けやすくなっています。 次の機能を備えた堅牢なセキュリティおよびコンプライアンスソリューションが必要です。
ネイティブ SAML サポート、AWS Cognito、AWS IAM など、任意の認証および承認方法を使用して、ユーザーに安全なアクセスを提供します。詳細については、「ダッシュボードでの SAML の使用」と「Identity and Access Management」をご覧ください。
ミリタリーグレードの AES-256 AWS Key Management Service (KMS) キーを使用して、ディスク、ログファイル、自動スナップショット上のデータの暗号化を有効にすることで、攻撃者からデータを保護します。TLS 1.2 を使用して、ノード間における転送中のデータを暗号化します。
AWS IAM ポリシーやきめ細かいアクセスコントロールなどの 1 つ以上のアクセスコントロール機能を使用して、ビジネスデータをクエリし、クラスター設定をモニタリングするための制御された予測可能な方法をユーザーに提供します。
AWS ID およびリソースポリシーを使用して ID とリソースを特定の許可/拒否アクションに関連付けることで、ドメインの境界を保護します。Amazon Virtual Private Cloud (VPC) と Amazon VPC セキュリティグループを使用して論理的に分離されたネットワークを作成し、既知のエンティティからのトラフィックのみを許可します。
ドメインに対する設定変更をモニタリングし、ユーザーアクティビティを追跡し、データのリクエストを監査します (詳細な接続属性を含む)。AWS CloudTrail ログ記録と OpenSearch 監査ログを使用して、設定 API の使用とデータへのリクエストをモニタリングします。
セキュリティの脆弱性からデータを保護します。バージョンアップグレードの必要を最小限に抑えるために、OpenSearch Service は、OpenSearch と Elasticsearch のサポートされているすべてのバージョン向けに、下位互換性のあるセキュリティパッチとアップグレードを提供します。
高度なセキュリティコントロールを使用して、機密データや秘密データへのアクセスを保護します。インデックス、ドキュメント、またはフィールドレベルのセキュリティを使用して、特定のインデックス、ドキュメント、またはフィールドへのアクセスを制限します。
AWS SDK または AWS コマンドラインインターフェイス (CLI) を使用して送信された Sigv4 署名付きリクエストを使用して、OpenSearch ドメインと安全に通信します。
組織の厳格なコンプライアンスおよびガバナンスの要件を満たします。Amazon OpenSearch Service は、HIPAA、FedRAMP、DoD CC SRG、SOC、PCI、ISO & CSA STAR、FIPS 140-2 など、いくつかの業界標準コンプライアンスプログラムの一部です。
さまざまなソースからさまざまな形式のログを収集し、セキュリティログデータを正規化して比較します。
Amazon OpenSearch Service は複数のセキュリティ機能を提供し、HIPAA に適合しています。また、PCI DSS、SOC、ISO、および FedRamp 標準に準拠しているため、セキュリティとコンプライアンスのニーズを満たすことができます。ドメインの作成やスケーリングなどの操作のための Amazon OpenSearch Service 管理 API へのアクセスは、AWS Identity and Access Management (IAM) ポリシーで制御されます。
Amazon OpenSearch Service ドメインは、VPC 内のエンドポイントまたはインターネットにアクセス可能なパブリックエンドポイントでアクセスできるように設定できます。VPC エンドポイントのネットワークアクセスはセキュリティグループで制御され、パブリックエンドポイントのアクセスは IP アドレスによって許可または制限できます。
ネットワークベースのアクセスコントロールに加えて、Amazon OpenSearch Service は IAM を介したユーザー認証と、ユーザー名とパスワードを使用した基本認証を提供します。承認は、ドメインレベルで (ドメインアクセスポリシーを介して)、インデックス、ドキュメント、およびフィールドレベルで (OpenSearch が提供するきめ細かいアクセスコントロール機能を介して) 付与できます。さらに、きめ細かいアクセスコントロール機能は、読み取り専用ビューと安全なマルチテナントサポートで OpenSearch ダッシュボードおよび Kibana を拡張します。
Amazon OpenSearch Service は Amazon Cognito との統合もサポートしているため、エンドユーザーは SAML 2.0 や Amazon Cognito ユーザープールなどを使用する Microsoft アクティブディレクトリなどのエンタープライズ ID プロバイダーを介して OpenSearch ダッシュボードおよび Kibana にログインできます。サインインすると、Amazon Cognito は適切な IAM プリンシパルを使用してセッションを確立します。これにより、Amazon OpenSearch Service ドメインへのアクセスが与えられます。これらの IAM プリンシパルは、OpenSearch を使用したきめ細かいアクセスコントロール機能で使用できます。
Amazon OpenSearch Service のセキュリティには、ネットワーク、ドメインアクセスポリシー、きめ細かいアクセスコントロールの 3 つの主要レイヤーがあります。最初のセキュリティレイヤーはネットワークであり、リクエストがドメインに到達するかどうかを決定します。VPC の特定のセキュリティグループに制限されたインターネットまたは VPC アクセスを介したパブリックアクセスをサポートしています。ドメインアクセスポリシーは、2 番目のセキュリティレイヤーです。リクエストがドメインエンドポイントに到達すると、ドメインアクセスポリシーにより、指定された URL へのリクエストアクセスが許可または拒否されます。ドメインアクセスポリシーは、OpenSearch/Elasticsearch に到達する前に、ドメインのエッジでリクエストを許可または拒否します。3 番目の最後のセキュリティレイヤーは、きめ細かいアクセスコントロールです。ドメインアクセスポリシーにより、リクエストがドメインエンドポイントに到達できるようになった後、きめ細かいアクセスコントロールがユーザー認証情報を評価して、ユーザーを認証するか、リクエストを拒否します。きめ細かいアクセスコントロールがユーザーを認証する場合、そのユーザーにマップされているすべてのロールを取得し、権限の完全なセットを使用して、ユーザーがアクセスできるデータを判断します。
はい。Amazon OpenSearch Service は、AWS Key Management Service (KMS) を介した保管時の暗号化、TLS を介したノード間暗号化、およびクライアントに HTTPS の通信をリクエストする機能をサポートしています。保管時の暗号化は、シャード、ログファイル、スワップファイル、および自動化された S3 スナップショットを暗号化します。AWS マネージドキーを使用するか、独自のキーを選択できます。ノード間の暗号化により、ノード間のすべての通信で TLS が有効になります。Amazon OpenSearch Service は、ドメインの存続期間中に証明書を自動的にデプロイおよびローテーションします。クライアントが HTTPS を介して通信する必要がある場合、最小 TLS バージョンを指定することもできます。
VPC アクセスが有効な場合、Amazon OpenSearch Service のエンドポイントはお客様の VPC 内のみアクセス可能です。お使いのノートパソコンを使用して VPC 外部から OpenSearch ダッシュボードおよび Kibana にアクセスするには、VPN または VPC の Direct Connect を使用して VPC に接続する必要があります。