メインコンテンツまでスキップ
バージョン: User Guides (Cloud)

AWS KMS

AWS キー Management Service (KMS) は、データの暗号化や署名に使用するキーの作成と制御を容易にする AWS 管理サービスです。

📘Notes

この機能は、ビジネスクリティカル プロジェクト内の Dedicated クラスターでのみ利用可能です。

概要

通常、Zilliz Cloud クラスター内のデータを暗号化するために直接 KMS キーを使用することはありません。代わりに、KMS キーを使用して暗号化ゾーンキー(EZK)を暗号化し、EZK を使用してデータ暗号化キー(DEK)を暗号化し、DEK を使用してデータを暗号化します。

YJRcwu5BLhm8Hub1eiZcDiIdnDh

暗号化の仕組みとその範囲の詳細については、このセクション を参照してください。CMEK 機能の制限事項の詳細については、このセクション を参照してください。CMEK 機能を使用するには、このページの手順に従ってください。

開始前に

  • AWS CLI がインストールされているか、AWS CloudShell にアクセスできること。

    詳細については、このページ を参照してください。

  • KMS 関連のコマンドを実行するための十分な権限を持っていること。

KMS キーの追加

各プロジェクトでは、KMS プロバイダーに関係なく最大 20 個のキーを追加できます。既存の KMS キーを追加するか、Zilliz Cloud コンソールの指示に従って KMS キーを作成し、Zilliz Cloud に追加することができます。

手順

Zilliz Cloud コンソール にログインし、いずれかの ビジネスクリティカル プロジェクトに入り、左側のナビゲーションペインから ネットワーク > CMEK を選択し、+ CMEK をクリックして、Add CMEK (AWS KMS) ダイアログボックスの手順に従って処理を完了します。

開始する前に、この手順で使用する IAM ロールを決定する必要があります。IAM ロールは、KMS キーの追加に使用されると Zilliz Cloud に一覧表示されます。Existing IAM ロール タブの Select AWS IAM ロール ステップにあるドロップダウンリストを確認し、必要な IAM ロールが一覧表示されているかどうかを判断します。

既存のロールを使用して KMS キーを追加する

Existing IAM ロール タブの Select AWS IAM ロール にあるドロップダウンリストに必要な IAM ロールが含まれている場合は、このセクションの手順に従います。

1

Select AWS IAM ロール ステップでドロップダウンをクリックし、IAM ロールを選択して Next をクリックします。

O6IxwU89jhUTHDbShkfcHzZFn00

2

KMS キーを追加します。

ENW6wuQVlhaRntbKYDDcrdegnNL

  1. ステップ 1 で対象リージョンを選択します。

  2. (オプション) ステップ 2 のコマンドをコピーし、AWS CloudShell で実行します。

    このステップはオプションです。指定された IAM ロールで作成された KMS キーがすでに存在する場合は、このステップをスキップして次に進むことができます。これは、マルチリージョンレプリカキーを追加する場合に役立ちます。

    📘Notes

    暗号化された Zilliz Cloud クラスターをあるクラウドリージョンから別のリージョンにバックアップした場合、ターゲットリージョンでバックアップを復号するには、元のクラスターを暗号化したのと同じキーを使用する必要があります。

    この場合、キーをバックアップをホストするリージョンにレプリケートし、既存の IAM ロールを使用して Zilliz Cloud に送信できます。

    マルチリージョンレプリカキーの作成の詳細については、AWS ドキュメントのこのページをお読みください。

  3. 次の場所に KMS キー ARN をコピーして貼り付けます。

    • AWS コンソール 上の IAM ロールのポリシー。

      ロールリストでロールの名前をクリックし、Permissions タブでロールポリシーを見つけて、コピーした KMS キーを Resource ノードに追加します。

      {
              "Version": "2012-10-17",
              "Statement": [
                      {
                              "Effect": "Allow",
                              "Action": [
                                      "kms:Decrypt",
                                      "kms:Encrypt",
                                      "kms:DescribeKey"
                              ],
                              "Resource": [
                                      "arn:aws:kms:us-west-2:xxxx:key/mrk-...",
                                      "PASTE-THE-COPIED-KEY-ARN-HERE"
                              ]
                      }
              ]
      }

    • 上記の Zilliz Cloud のダイアログボックスのステップ 3。

  4. ダイアログボックスの下部にある Validate KMS キー をクリックします。

  5. 検証が成功したら、Add をクリックします。

新しいロールを使用して KMS キーを追加する

Existing IAM ロール タブの Select AWS IAM ロール のドロップダウンリストに必要な IAM ロールが含まれていない場合は、このセクションの手順に従ってください。

1

New IAM ロール をクリックします。

2

IAM ロールを作成し、その信頼ポリシーに Zilliz Cloud を追加します。

Zilliz Cloud に一覧表示されていない場合は、IAM ロールを作成してください。これには、AWS CloudShell でコマンドを実行する必要があります。

  1. Zilliz Cloud コンソールから信頼ポリシーのファイル名をコピーし、AWS CloudShell で vi コマンドを実行して信頼ポリシーファイルを作成します。

    vi role-trust-policy.json

  2. I キーを押して挿入モードに入ります。

  3. ステップ 1 の信頼ポリシー JSON をコピーし、ターミナルに貼り付けます。

  4. ESC キーを押し、:wq と入力して JSON ファイルを保存します。

  5. ステップ 2 で作成するロールの名前を入力します。

  6. ステップ 3 のコマンドをコピーし、ターミナルに貼り付けます。

  7. Enter キーを押してコマンドを実行します。

  8. コマンドの出力からロールの ARN をコピーし、ステップ 4 のテキストボックスに貼り付けます。

  9. 次へをクリックします。

3

KMS キーを作成する

  1. ステップ 1 でクラウドリージョンを選択します。

  2. ステップ 2 のコマンドをコピーし、ターミナルに貼り付けます。

  3. Enter キーを押してコマンドを実行します。

  4. コマンドの出力からキーの ARN をコピーし、ステップ 3 のテキストボックスに貼り付けます。

  5. 次へをクリックします。

4

KMS キーを IAM ロールに関連付ける

  1. vi コマンドを実行して、ステップ 1 で必要なロールポリシー JSON ファイルを作成します。

  2. ステップ 2 のコマンドをコピーし、ターミナルに貼り付けます。

  3. Enter キーを押してコマンドを実行します。

  4. コマンドの実行が完了したら、ダイアログボックス下部の KMS キーを検証 をクリックします。

  5. 検証が成功したら、追加 をクリックします。

📘Notes

KMS キーを使用して Zilliz Cloud クラスターを暗号化する場合、クラスターは 10 分ごとにキーの可用性を確認します。キーが利用可能であると検出されて初めて、クラスターは利用可能になります。

AWS KMS キーの管理

Zilliz Cloud コンソールで追加された AWS KMS キーを表示できます。

S3NKwZYR7hj6ocbkpIQcB66Unyg

Zilliz Cloud は、リストされたキーの可用性を 10 分ごとにスキャンします。また、リストされた KMS キーのステータスに関するプロジェクトアラートを作成することもできます。詳細については、プロジェクトアラートの管理 を参照してください。

KMS キーが不要になった場合、どのクラスターもそのキーを使用していない限り、削除できます。

AWS KMS キーの使用

KMS キーを Zilliz Cloud に追加すると、それを使用して暗号化されたクラスターを作成したり、バックアップおよび復元を行ったりできます。

暗号化されたクラスターの作成

クラスターを作成したいリージョンで利用可能な KMS キーを選択して、そのクラスターを暗号化できます。

RGUrbElsSoc61JxikfWcoTCrnHe

KMS キーを追加した後、以下の手順で暗号化されたクラスターを作成できます。

1

デプロイオプションの選択 セクションで 専用 をクリックします。

2

クラスターのクラウドプロバイダーとリージョンを選択します。

3

CMEK による保存時の暗号化 を有効にし、既存の KMS キーを選択します。選択できるのは、作成するクラスターと同じリージョンにある KMS キーのみです。

4

概要を確認し、クラスターの作成 をクリックします。

Iy8JbR19eoBQ4YxV1PjcLfUinl7

暗号化されたクラスターの 概要 ページには、上記の図に示すように、クラスター名の右側にキーのアイコンが表示されます。暗号化されたクラスター内で作成されたすべてのコレクションは、デフォルトで暗号化されます。

暗号化されたバックアップファイルからの復元

暗号化されたバックアップを新しいクラスターに復元する場合、Zilliz Cloud は復元前にバックアップファイルに関連付けられた KMS キーを使用してデータを復号します。したがって、バックアップを暗号化ありまたはなしで新しいクラスターに復元できます。

WaApbDlaYoywaMxxUMxcQLAOnDe

暗号化されたバックアップからの復元手順は、CMEK による保存時の暗号化 を有効にするかどうかを除き、通常の復元とほぼ同じです。

V1QJb3SK1oGa11xLljhcxKQEnkc

  • このオプションを有効にした場合、復元後に作成されたクラスターは、以下で指定された KMS キーを使用して暗号化されます。

  • このオプションを無効にした場合、復元後に作成されたクラスターは暗号化されません。