Amazon Elasticsearch Service がデータ暗号化に対応しました

2017.12.08

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

ども、藤本です。

現地時間 12/07、Amazon Elasticsearch Service がデータ暗号化に対応しました。

早速試してみました。

概要

Amazon Elasticsearch Service は Elasticsearch、Kibana の AWSマネージドサービスです。クラスタ・ノードを AWS が運用・管理してくれ、数クリックで Elasticsearch、Kibana のクラスタをプロビジョニングでき、ノードで障害が発生すればユーザーは何もしなくても復旧します。

今回のアップデートにより、インデックスのデータログファイルメモリスワップなど Elasticsearch ノードがストアするデータを暗号化できるようになりました。またノードのデータだけでなく、S3 へのスナップショットデータも暗号化されます。ユーザーは Amazon Elasticsearch Service のクラスタ作成時に有効化するだけで今までの Elasticsearch API の使い方は変わらず AWS 側で自動で暗号化してくれます。利用するのは非常に簡単ですね。

暗号化には AWS KMS が利用されます。KSM のキーは AWS が用意してくれているものと、手動で作成した KMS のキーを利用することができます。

クラウドを利用する場合はディスクに書き込まれるデータが暗号化されていないといけないようなセキュリティ要件が厳しいシステムにも Amazon Elasticsearch Service を利用可能になりますね!

なお、暗号化設定はクラスタ作成時のみ可能です。作成されたクラスタに対して、有効化、無効化、キーの変更はできません。なので、既存のクラスタでデータ暗号化を有効化することはできません。

やってみた

作成画面

クラスタ作成時のディスク設定の項目にデータ暗号化が追加されました。

Enable encryption at restをチェックすることで有効化できます。KMS master keyのプルダウンから利用する KMS のキーを選択します。設定はそれだけです。簡単ですね!

変更画面

既存クラスタの暗号化設定はできないため、変更画面にはデータ暗号化の設定項目は表示されません。

まとめ

いかがでしたでしょうか? セキュリティ要件が厳しいユーザーの方には嬉しいアップデートです。