Verschlüsselung im Ruhezustand in ElastiCache - Amazon ElastiCache
BeschränkungenVerwenden Sie vom Kunden verwaltete Schlüssel von AWS KMSAktivieren der Verschlüsselung im RuhezustandWeitere Informationen finden Sie unter:

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsselung im Ruhezustand in ElastiCache

Um Ihre Daten zu schützen, bieten Amazon ElastiCache und Amazon S3 verschiedene Möglichkeiten, den Zugriff auf Daten in Ihrem Cache einzuschränken. Weitere Informationen erhalten Sie unter Amazon VPCs und ElastiCache Sicherheit und Identity and Access Management für Amazon ElastiCache.

ElastiCache Die Verschlüsselung im Ruhezustand ist eine Funktion zur Erhöhung der Datensicherheit durch Verschlüsselung von Daten auf der Festplatte. In einem Serverless-Cache ist sie immer aktiviert. Wenn die Funktion aktiviert ist, werden folgenden Aspekte verschlüsselt:

  • Festplatte bei Synchronisierung, Backup und Austausch

  • In Amazon S3 gespeicherte Backups

Daten, die auf SSDs (Solid-State-Laufwerken) in Clustern mit aktivierter Datenklassifizierung gespeichert sind, sind immer verschlüsselt.

ElastiCache bietet standardmäßige (vom Service verwaltete) Verschlüsselung im Ruhezustand sowie die Möglichkeit, Ihre eigenen symmetrischen, vom Kunden verwalteten AWS KMS Schlüssel im AWS Key Management Service () zu verwenden. KMS Wählen Sie bei der Sicherung des Caches unter Verschlüsselungsoptionen aus, ob Sie den Standardverschlüsselungsschlüssel oder einen vom Kunden verwalteten Schlüssel verwenden möchten. Weitere Informationen finden Sie unter Aktivieren der Verschlüsselung im Ruhezustand.

Anmerkung

Die Standardverschlüsselung (vom Service verwaltet) ist die einzige Option, die in den Regionen GovCloud (USA) verfügbar ist.

Wichtig

Wenn Sie die Verschlüsselung im Ruhezustand auf einem vorhandenen, selbst entworfenen Valkey- oder OSS Redis-Cluster aktivieren, müssen Sie Ihre bestehende Replikationsgruppe löschen, nachdem Sie die Sicherung und Wiederherstellung für die Replikationsgruppe ausgeführt haben.

Die Verschlüsselung im Ruhezustand kann nur für einen Cache aktiviert werden, wenn dieser erstellt wird. Da zum Verschlüsseln und Entschlüsseln der Daten ein gewisses Maß an Verarbeitung erforderlich ist, kann die Aktivierung der Verschlüsselung der Daten im Ruhezustand bei diesen Vorgängen zu Leistungseinbußen führen. Sie sollten Ihre Daten mit und ohne Verschlüsselung im Ruhezustand vergleichen, um die Auswirkungen auf die Leistung für Ihre Anwendungsfälle zu ermitteln.

Bedingungen für die Verschlüsselung im Ruhezustand

Bei der Planung der Implementierung ElastiCache der Verschlüsselung im Ruhezustand sollten Sie die folgenden Einschränkungen bei der ElastiCache Verschlüsselung im Ruhezustand berücksichtigen:

  • Die Verschlüsselung im Ruhezustand wird für Replikationsgruppen unterstützt, auf denen Valkey 7.2 und höher ausgeführt wird, sowie auf OSS Redis-Versionen (3.2.6 geplant, siehe Zeitplan für das Ende des Lebenszyklus der OSS Redis-Versionen)EOL, 4.0.10 oder höher.

  • Die Verschlüsselung im Ruhezustand wird nur für Replikationsgruppen unterstützt, die in einem Amazon VPC ausgeführt werden.

  • Die Verschlüsselung im Ruhezustand wird nur für Replikationsgruppen unterstützt, die die folgenden Knotentypen ausführen.

    • R6gd, R6g, R5, R4, R3

    • M6g, M5, M4, M3

    • T4g, T3, T2

    Weitere Informationen finden Sie unter Unterstützte Knotentypen.

  • Die Verschlüsselung im Ruhezustand wird durch die explizite Festlegung des AtRestEncryptionEnabled-Parameters auf true aktiviert.

  • Sie können die Verschlüsselung im Ruhezustand nur für eine Replikationsgruppe aktivieren, wenn Sie die Replikationsgruppe erstellen. Sie können die Verschlüsselung während der Übertragung nicht aktivieren und deaktivieren, indem Sie eine Replikationsgruppe ändern. Informationen zur Implementierung der Verschlüsselung im Ruhezustand bei vorhandenen Replikationsgruppen finden Sie unter Aktivieren der Verschlüsselung im Ruhezustand.

  • Wenn ein Cluster einen Knotentyp aus der R6GD-Familie verwendet, werden die darauf SSD gespeicherten Daten verschlüsselt, unabhängig davon, ob die Verschlüsselung im Ruhezustand aktiviert ist oder nicht.

  • Die Option, vom Kunden verwaltete Schlüssel für die Verschlüsselung im Ruhezustand zu verwenden, ist in den Regionen AWS GovCloud (us-gov-east-1 und us-gov-west -1) nicht verfügbar.

  • Wenn ein Cluster einen Knotentyp aus der R6GD-Familie verwendet, werden die darauf SSD gespeicherten Daten mit dem ausgewählten vom Kunden verwalteten AWS KMS Schlüssel (oder der vom Service verwalteten Verschlüsselung in AWS GovCloud Regionen) verschlüsselt.

  • Mit Memcached wird die Verschlüsselung im Ruhezustand nur in serverlosen Caches unterstützt.

  • Bei Verwendung von Memcached ist die Option, vom Kunden verwaltete Schlüssel für die Verschlüsselung im Ruhezustand zu verwenden, in AWS GovCloud den Regionen (-1 und -1) nicht verfügbar. us-gov-east us-gov-west

Durch die Implementierung der Verschlüsselung der Daten im Ruhezustand kann die Leistung während der Sicherungs- und Knoten-Synchronisierungsvorgänge reduziert sein. Vergleichen Sie die Verschlüsselung der Daten im Ruhezustand mit Ihren eigenen unverschlüsselten Daten, um die Auswirkungen auf die Leistung Ihrer Implementierung zu ermitteln.

Verwenden Sie vom Kunden verwaltete Schlüssel von AWS KMS

ElastiCache unterstützt symmetrische, vom Kunden verwaltete AWS KMS Schlüssel (KMSSchlüssel) für die Verschlüsselung im Ruhezustand. Kundenverwaltete KMS Schlüssel sind Verschlüsselungsschlüssel, die Sie in Ihrem AWS Konto erstellen, besitzen und verwalten. Weitere Informationen finden Sie unter AWS KMSSchlüssel im AWS Key Management Service Developer Guide. Die Schlüssel müssen erstellt werden, AWS KMS bevor sie mit verwendet werden können ElastiCache.

Informationen zum Erstellen von AWS KMS Stammschlüsseln finden Sie unter Creating Keys im AWS Key Management Service Developer Guide.

ElastiCache ermöglicht Ihnen die Integration mit AWS KMS. Weitere Informationen finden Sie unter Verwendung von Berechtigungen im Entwicklerhandbuch zum AWS -Schlüsselverwaltungsdienst. Es sind keine Kundenaktionen erforderlich, um die ElastiCache Amazon-Integration mit zu aktivieren AWS KMS.

Der kms:ViaService Bedingungsschlüssel beschränkt die Verwendung eines AWS KMS Schlüssels (KMSSchlüssels) auf Anfragen von bestimmten AWS Diensten. Um kms:ViaService mit zu verwenden ElastiCache, schließen Sie beide ViaService Namen in den Wert des Bedingungsschlüssels ein: elasticache.AWS_region.amazonaws.com unddax.AWS_region.amazonaws.com. Weitere Informationen finden Sie unter kms: ViaService.

Sie können AWS CloudTraildamit die Anfragen verfolgen, an die Amazon in AWS Key Management Service Ihrem Namen ElastiCache sendet. Alle API Aufrufe, die sich auf vom Kunden verwaltete Schlüssel AWS Key Management Service beziehen, haben entsprechende CloudTrail Protokolle. Wenn Sie den ListGrantsKMSAPIAnruf aufrufen, können Sie sich auch die Zuschüsse ansehen, die ElastiCache dadurch entstehen.

Ist eine Replikationsgruppe mit einem vom Kunden verwalteten Schlüssel verschlüsselt, werden alle Backups für die Replikationsgruppe wie folgt verschlüsselt:

  • Tägliche automatische Backups werden mit dem vom Kunden verwalteten Schlüssel verschlüsselt, der dem Cluster zugeordnet ist.

  • Die letzte Sicherung, die beim Löschen der Replikationsgruppe erstellt wird, wird ebenfalls mit dem kundenverwalteten Schlüssel verschlüsselt, der der Replikationsgruppe zugeordnet ist.

  • Manuell erstellte Backups werden standardmäßig so verschlüsselt, dass sie den KMS Schlüssel verwenden, der der Replikationsgruppe zugeordnet ist. Mit einem anderen kundenverwalteten Schlüssel können Sie dies außer Kraft setzen.

  • Als Standardeinstellung wird beim Kopieren einer Sicherung ein vom Kunden verwalteter Schlüssel verwendet, der mit der Quellsicherung verknüpft ist. Mit einem anderen kundenverwalteten Schlüssel können Sie dies außer Kraft setzen.

Anmerkung

  • Kundenverwaltete Schlüssel können beim Exportieren von Sicherungen in den von Ihnen ausgewählten Amazon S3-Bucket nicht verwendet werden. Alle in Amazon S3 exportierten Sicherungen werden jedoch mit serverseitiger Verschlüsselung verschlüsselt. Sie können wählen, ob Sie die Sicherungsdatei in ein neues S3-Objekt kopieren und mit einem vom Kunden verwalteten KMS Schlüssel verschlüsseln, die Datei in einen anderen S3-Bucket kopieren, der mit einer Standardverschlüsselung mithilfe eines KMS Schlüssels eingerichtet ist, oder eine Verschlüsselungsoption in der Datei selbst ändern.

  • Außerdem können Sie vom Kunden verwaltete Schlüssel verwenden, um manuell erstellte Backups für Replikationsgruppen zu verschlüsseln, die keine vom Kunden verwalteten Schlüssel für die Verschlüsselung verwenden. Mit dieser Option wird die in Amazon S3 gespeicherte Sicherungsdatei mit einem KMS Schlüssel verschlüsselt, obwohl die Daten in der ursprünglichen Replikationsgruppe nicht verschlüsselt sind.

Bei der Wiederherstellung von einer Sicherung können Sie aus verschiedenen Verschlüsselungsoptionen wählen, ähnlich den verfügbaren Verschlüsselungsoptionen beim Erstellen einer neuen Replikationsgruppe.

  • Wenn Sie den Schlüssel löschen oder deaktivieren und für den Schlüssel, den Sie zur Verschlüsselung eines Caches verwendet haben, Genehmigungen zurückziehen, kann der Cache nicht wiederhergestellt werden. Mit anderen Worten, sie kann nach einem Hardwarefehler nicht geändert oder wiederhergestellt werden. AWS KMSlöscht Root-Schlüssel erst nach einer Wartezeit von mindestens sieben Tagen. Nach dem Löschen des Schlüssels können Sie einen anderen vom Kunden verwalteten Schlüssel verwenden, um eine Sicherungskopie für Archivierungszwecke zu erstellen.

  • Bei der automatischen Schlüsselrotation bleiben die Eigenschaften Ihrer AWS KMS Stammschlüssel erhalten, sodass die Rotation keine Auswirkungen auf Ihre Fähigkeit hat, auf Ihre Daten zuzugreifen. ElastiCache Verschlüsselte ElastiCache Amazon-Caches unterstützen keine manuelle Schlüsselrotation, bei der ein neuer Root-Schlüssel erstellt und alle Verweise auf den alten Schlüssel aktualisiert werden. Weitere Informationen finden Sie unter Rotation von AWS KMS Schlüsseln im AWS Key Management Service Developer Guide.

  • Für die Verschlüsselung eines ElastiCache Caches mithilfe eines KMS Schlüssels ist ein Grant pro Cache erforderlich. Diese Genehmigung gilt für die Lebensdauer des Caches. Zusätzlich wird eine Genehmigung pro Backup bei der Backup-Erstellung verwendet. Diese Genehmigung wird zurückgezogen, sobald das Backup erstellt wurde.

  • Weitere Informationen zu AWS KMS Zuschüssen und Beschränkungen finden Sie unter Grenzwerte im AWS Key Management Service Developer Guide.

Aktivieren der Verschlüsselung im Ruhezustand

Für alle Serverless-Caches ist die Verschlüsselung im Ruhezustand aktiviert.

Wenn Sie einen selbst entworfenen Cluster erstellen, können Sie die Verschlüsselung im Ruhezustand aktivieren, indem Sie den Parameter AtRestEncryptionEnabled auf true festlegen. Sie können die Verschlüsselung der Daten im Ruhezustand für vorhandene Replikationsgruppen nicht aktivieren.

Sie können die Verschlüsselung im Ruhezustand aktivieren, wenn Sie einen ElastiCache Cache erstellen. Sie können dies mit dem AWS Management Console AWS CLI, dem oder dem ElastiCache API tun.

Beim Erstellen eines Caches können Sie eine der folgenden Optionen auswählen:

  • Standard – Diese Option verwendet serviceverwaltete Verschlüsselung im Ruhezustand.

  • Vom Kunden verwalteter Schlüssel — Mit dieser Option können Sie die Schlüssel-ID/ ARN von AWS KMS für die Verschlüsselung im Ruhezustand angeben.

Informationen zum Erstellen von AWS KMS Root-Schlüsseln finden Sie unter Create Keys im AWS Key Management Service Developer Guide

Sie können die Verschlüsselung im Ruhezustand nur aktivieren, wenn Sie eine Valkey- oder Redis-Replikationsgruppe erstellen. OSS Gehen Sie folgendermaßen vor, wenn Sie über eine vorhandene Replikationsgruppe verfügen, für die Sie die Verschlüsselung der Daten im Ruhezustand aktivieren möchten.

Aktivieren der Verschlüsselung der Daten im Ruhezustand für eine vorhandene Replikationsgruppe

  1. Erstellen Sie eine manuelle Sicherung Ihrer vorhandenen Replikationsgruppe. Weitere Informationen finden Sie unter Erstellen manueller Backups.

  2. Erstellen Sie eine neue Replikationsgruppe, indem Sie sie aus der Sicherung wiederherstellen. Aktivieren Sie in der neuen Replikationsgruppe die Verschlüsselung der Daten im Ruhezustand. Weitere Informationen finden Sie unter Wiederherstellen aus einem Backup in einen neuen Cache.

  3. Aktualisieren Sie die Endpunkte in Ihrer Anwendung so, dass sie auf die neue Replikationsgruppe verweisen.

  4. Löschen Sie die alte Replikationsgruppe. Weitere Informationen finden Sie unter Löschen eines Clusters in ElastiCache oder Löschen einer Replikationsgruppe.

Aktivierung der Verschlüsselung im Ruhezustand mithilfe der AWS Management Console

Für alle Serverless-Caches ist die Verschlüsselung im Ruhezustand aktiviert. Standardmäßig wird ein AWS-eigener KMS Schlüssel zum Verschlüsseln von Daten verwendet. Um Ihren eigenen AWS KMS Schlüssel zu wählen, treffen Sie die folgenden Auswahlen:

  • Erweitern Sie den Abschnitt Standardeinstellungen.

  • Wählen Sie im Abschnitt Standardeinstellungen die Option Standardeinstellungen anpassen aus.

  • Wählen Sie im Abschnitt Sicherheit die Option Sicherheitseinstellungen anpassen aus.

  • Wählen Sie CMK unter Einstellung des Verschlüsselungsschlüssels die Option Vom Kunden verwaltet aus.

  • Wählen Sie unter der Einstellung AWS KMS -Schlüssel einen Schlüssel aus.

Wenn Sie einen eigenen Cache entwerfen, ist bei den Konfigurationen „Dev/Test“ und „Production“ mit der Methode „Easy Create“ die Verschlüsselung im Ruhezustand mithilfe des Schlüssels Standard aktiviert. Legen Sie die folgenden Einstellungen fest, wenn Sie die Konfiguration selbst auswählen:

  • Wählen Sie Version 3.2.6, 4.0.10 oder höher als Ihre Engine-Version.

  • Aktivieren Sie für die Option Verschlüsselung im Ruhezustand das Kontrollkästchen neben Aktivieren.

  • Wählen Sie entweder einen Standardschlüssel oder einen vom Kunden verwalteten Schlüssel. CMK

Das step-by-step Verfahren finden Sie im Folgenden:

Aktivierung der Verschlüsselung im Ruhezustand mithilfe der AWS CLI

Um die Verschlüsselung im Ruhezustand zu aktivieren, wenn Sie einen Valkey- oder OSS Redis-Cluster mithilfe von erstellen AWS CLI, verwenden Sie beim Erstellen einer Replikationsgruppe den at-rest-encryption-enabled Parameter --.

Der folgende Vorgang erstellt die Valkey- oder Redis-Replikationsgruppe OSS (Clustermodus deaktiviert) my-classic-rg mit drei Knoten (-- num-cache-clusters), einem primären und zwei Read Replicas. Die Verschlüsselung im Ruhezustand ist für diese Replikationsgruppe aktiviert (--). at-rest-encryption-enabled

Die folgenden Parameter und ihre Werte sind erforderlich, um die Verschlüsselung für diese Replikationsgruppe zu aktivieren:

Hauptparameter

  • --engine— Muss oder sein. valkey redis

  • --engine-version—Wenn die Engine Redis istOSS, muss es 3.2.6, 4.0.10 oder höher sein.

  • --at-rest-encryption-enabled—Erforderlich, um die Verschlüsselung von Daten im Ruheszustand zu aktivieren.

Beispiel 1: Valkey- oder Redis-Cluster OSS (Clustermodus deaktiviert) mit Replikaten

Für Linux, macOS oder Unix:

aws elasticache create-replication-group \
    --replication-group-id my-classic-rg \
    --replication-group-description "3 node replication group" \
    --cache-node-type cache.m4.large \
    --engine redis \    
    --at-rest-encryption-enabled \  
    --num-cache-clusters 3

Für Windows:

aws elasticache create-replication-group ^
    --replication-group-id my-classic-rg ^
    --replication-group-description "3 node replication group" ^
    --cache-node-type cache.m4.large ^
    --engine redis ^    
    --at-rest-encryption-enabled ^  
    --num-cache-clusters 3 ^

Weitere Informationen finden Sie unter:

 

Der folgende Vorgang erstellt die Valkey- oder Redis-Replikationsgruppe OSS (Clustermodus aktiviert) my-clustered-rg mit drei Knotengruppen oder Shards (--). num-node-groups Jeder hat drei Knoten, einen primären und zwei Read Replicas (--). replicas-per-node-group Die Verschlüsselung im Ruhezustand ist für diese Replikationsgruppe aktiviert (-- at-rest-encryption-enabled).

Die folgenden Parameter und ihre Werte sind erforderlich, um die Verschlüsselung für diese Replikationsgruppe zu aktivieren:

Hauptparameter

  • --engine— Muss oder sein. valkey redis

  • --engine-version—Wenn die Engine Redis istOSS, muss es 4.0.10 oder höher sein.

  • --at-rest-encryption-enabled—Erforderlich, um die Verschlüsselung von Daten im Ruheszustand zu aktivieren.

  • --cache-parameter-group—Muss default-redis4.0.cluster.on oder eine davon abgeleitete sein, um diese zu einer Cluster-Modus-fähigen Replikationsgruppe zu machen.

Beispiel 2: Ein Valkey- oder OSS Redis-Cluster (Clustermodus aktiviert)

Für Linux, macOS oder Unix:

aws elasticache create-replication-group \
   --replication-group-id my-clustered-rg \
   --replication-group-description "redis clustered cluster" \
   --cache-node-type cache.m3.large \
   --num-node-groups 3 \
   --replicas-per-node-group 2 \
   --engine redis \
   --engine-version 6.2 \
   --at-rest-encryption-enabled \
   --cache-parameter-group default.redis6.x.cluster.on

Für Windows:

aws elasticache create-replication-group ^
   --replication-group-id my-clustered-rg ^
   --replication-group-description "redis clustered cluster" ^
   --cache-node-type cache.m3.large ^
   --num-node-groups 3 ^
   --replicas-per-node-group 2 ^
   --engine redis ^
   --engine-version 6.2 ^
   --at-rest-encryption-enabled ^
   --cache-parameter-group default.redis6.x.cluster.on

Weitere Informationen finden Sie unter:

Weitere Informationen finden Sie unter: