メインコンテンツまでスキップ
バージョン: User Guides (BYOC)

AWS KMS

AWS キー Management Service (KMS) は、データの暗号化や署名に使用するキーの作成と制御を容易にする AWS 管理サービスです。

概要

通常、Zilliz Cloud クラスター内のデータを暗号化するために直接 KMS キーを使用することはありません。代わりに、KMS キーを使用して暗号化ゾーンキー(EZK)を暗号化し、EZK を使用してデータ暗号化キー(DEK)を暗号化し、DEK を使用してデータを暗号化します。

YJRcwu5BLhm8Hub1eiZcDiIdnDh

暗号化の仕組みとその範囲の詳細については、このセクション を参照してください。CMEK 機能の制限事項の詳細については、このセクション を参照してください。CMEK 機能を使用するには、このページの手順に従ってください。

開始前に

  • AWS CLI がインストールされているか、AWS CloudShell にアクセスできること。

    詳細については、このページ を参照してください。

  • KMS 関連のコマンドを実行するための十分な権限を持っていること。

KMS キーの追加

各プロジェクトでは、KMS プロバイダーに関係なく、最大20個のキーを追加できます。既存の KMS キーを追加するか、Zilliz Cloud コンソールの指示に従って KMS キーを作成し、Zilliz Cloud に追加できます。

Select AWS IAM ロールステップのドロップダウンリストが空の場合、事前に Zilliz Cloud Terraform provider を使用して CMEK ロールを追加する必要があります。

1

Select AWS IAM ロールステップでドロップダウンをクリックし、IAM ロールを選択してNextをクリックします。

FbqvwpUuahSvMyb02IUcT1iNn6f

2

KMS キーを追加します。

OVdjw9ZFghQKnsbaX67cAPkWn2b

  1. ステップ 1 で対象リージョンを選択します。

  2. (オプション) ステップ 2 のコマンドをコピーし、AWS CloudShell で実行します。

    このステップはオプションです。指定された IAM ロールで作成済みの KMS キーが既にある場合は、このステップをスキップして次に進めます。これは、マルチリージョンレプリカキーを追加する場合に役立ちます。

    📘Notes

    暗号化された Zilliz Cloud クラスターをあるクラウドリージョンから別のリージョンにバックアップした後、ターゲットリージョンでバックアップを復号化する際には、元のクラスターを暗号化したのと同じキーを使用する必要があります。

    この場合、キーをバックアップをホストするリージョンにレプリケートし、既存の IAM ロールを使用して Zilliz Cloud に送信できます。

    マルチリージョンレプリカキーの作成方法の詳細については、AWS ドキュメントのこのページをお読みください。

  3. 次の場所に KMS キーの ARN をコピーして貼り付けます:

    • AWS コンソール 上の IAM ロールのポリシー。

      ロール一覧でロールの名前をクリックし、Permissionsタブでロールポリシーを見つけて、コピーした KMS キーをResourceノードに追加します。

      {
              "Version": "2012-10-17",
              "Statement": [
                      {
                              "Effect": "Allow",
                              "Action": [
                                      "kms:Decrypt",
                                      "kms:Encrypt",
                                      "kms:DescribeKey"
                              ],
                              "Resource": [
                                      "arn:aws:kms:us-west-2:xxxx:key/mrk-...",
                                      "PASTE-THE-COPIED-KEY-ARN-HERE"
                              ]
                      }
              ]
      }

    • 上記の Zilliz Cloud 上のダイアログボックスのステップ 3。

  4. ダイアログボックスの下部にある Validate KMS キー をクリックします。

  5. 検証が成功したら、Add をクリックします。

📘Notes

KMS キーを使用して Zilliz Cloud クラスターを暗号化する場合、クラスターは 10 分ごとにキーの可用性を確認します。キーが利用可能であると検出されて初めて、クラスターは利用可能になります。

AWS KMS キーの管理

Zilliz Cloud コンソールで追加された AWS KMS キーを表示できます。

OyNQwDHFhhUIXDbRMjac08Xdn1g

KMS キーが不要になった場合、どのクラスターもそのキーを使用していない限り、削除できます。

AWS KMS キーの使用

KMS キーを Zilliz Cloud に追加すると、それを使用して暗号化されたクラスターを作成したり、バックアップおよび復元を行ったりできます。

暗号化されたクラスターの作成

クラスターを作成するリージョンで利用可能な KMS キーを選択して、クラスターを暗号化できます。

RGUrbElsSoc61JxikfWcoTCrnHe

KMS キーを追加した後、以下の手順で暗号化されたクラスターを作成できます。

1

Choose Deployment Option セクションで Dedicated をクリックします。

2

クラスターのクラウドプロバイダーとリージョンを選択します。

3

Encryption at Rest with CMEK を有効にし、既存の KMS キーを選択します。選択できるのは、作成するクラスターと同じリージョンにある KMS キーのみです。

4

概要を確認し、Create Cluster をクリックします。

Iy8JbR19eoBQ4YxV1PjcLfUinl7

暗号化されたクラスターの Overview ページには、上記の図に示すように、クラスター名の右側にキーのアイコンが表示されます。暗号化されたクラスター内で作成されたすべてのコレクションは、デフォルトで暗号化されます。

暗号化されたバックアップファイルからの復元

暗号化されたバックアップを新しいクラスターに復元する場合、Zilliz Cloud は復元前にバックアップファイルに関連付けられた KMS キーを使用してデータを復号します。したがって、バックアップを暗号化ありまたはなしの新しいクラスターに復元できます。

WaApbDlaYoywaMxxUMxcQLAOnDe

暗号化されたバックアップからの復元手順は、Encryption at Rest with CMEK を有効にするかどうかを除き、通常の復元とほぼ同じです。

V1QJb3SK1oGa11xLljhcxKQEnkc

  • このオプションを有効にした場合、復元後に作成されたクラスターは、以下で指定された KMS キーを使用して暗号化されます。

  • このオプションを無効にした場合、復元後に作成されたクラスターは暗号化されません。