View a markdown version of this page

At-Rest Verschlüsselung in ElastiCache - Amazon ElastiCache
BeschränkungenVerwenden Sie vom Kunden verwaltete Schlüssel von AWS KMSAt-Rest Verschlüsselung aktivierenWeitere Informationen finden Sie unter:

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

At-Rest Verschlüsselung in ElastiCache

Um Ihre Daten zu schützen, bieten Amazon ElastiCache und Amazon S3 verschiedene Möglichkeiten, den Zugriff auf Daten in Ihrem Cache einzuschränken. Weitere Informationen erhalten Sie unter Amazon VPCs und Sicherheit ElastiCache und Identity and Access Management für Amazon ElastiCache.

ElastiCache Die Verschlüsselung im Ruhezustand ist eine Funktion zur Erhöhung der Datensicherheit durch Verschlüsselung von Daten auf der Festplatte. In einem Serverless-Cache ist sie immer aktiviert. Wenn die Funktion aktiviert ist, werden folgenden Aspekte verschlüsselt:

  • Festplatte bei Synchronisierung, Backup und Austausch

  • In Amazon S3 gespeicherte Backups

Daten, die auf SSDs (Solid-State-Laufwerke) in Data-Tiering-fähigen Clustern gespeichert sind, werden immer verschlüsselt.

ElastiCache bietet standardmäßige (vom Service verwaltete) Verschlüsselung im Ruhezustand sowie die Möglichkeit, Ihre eigenen symmetrischen, vom Kunden verwalteten AWS KMS-Schlüssel im AWS Key Management Service (KMS) zu verwenden. Wählen Sie bei der Sicherung des Caches unter Verschlüsselungsoptionen aus, ob Sie den Standardverschlüsselungsschlüssel oder einen vom Kunden verwalteten Schlüssel verwenden möchten. Weitere Informationen finden Sie unter At-Rest Verschlüsselung aktivieren.

Wichtig

Wenn Sie die At-Rest Verschlüsselung auf einem vorhandenen knotenbasierten Valkey- oder Redis-OSS-Cluster aktivieren, müssen Sie Ihre bestehende Replikationsgruppe löschen, nachdem Sie die Sicherung und Wiederherstellung für die Replikationsgruppe ausgeführt haben.

At-rest Die Verschlüsselung kann für einen Cache nur aktiviert werden, wenn er erstellt wurde. Da zum Verschlüsseln und Entschlüsseln der Daten ein gewisses Maß an Verarbeitung erforderlich ist, kann die Aktivierung der Verschlüsselung der Daten im Ruhezustand bei diesen Vorgängen zu Leistungseinbußen führen. Sie sollten Ihre Daten mit und ohne Verschlüsselung im Ruhezustand vergleichen, um die Auswirkungen auf die Leistung für Ihre Anwendungsfälle zu ermitteln.

At-Rest Bedingungen für die Verschlüsselung

Bei der Planung der Implementierung ElastiCache der Verschlüsselung im Ruhezustand sollten Sie die folgenden Einschränkungen bei der ElastiCache Verschlüsselung im Ruhezustand berücksichtigen:

  • At-rest Die Verschlüsselung wird für Replikationsgruppen unterstützt, auf denen Valkey 7.2 und höher ausgeführt wird, und für Redis OSS-Versionen (3.2.6 ist für EOL geplant, siehe Zeitplan für das Ende des Lebenszyklus der Redis OSS-Versionen), 4.0.10 oder höher.

  • At-rest Verschlüsselung wird nur für Replikationsgruppen unterstützt, die in einer Amazon VPC ausgeführt werden.

  • At-rest Verschlüsselung wird nur für Replikationsgruppen unterstützt, auf denen die folgenden Knotentypen ausgeführt werden.

    • R7g, R6gd, R6g, R5, R4, R3

    • M7 g, M6 g, M5, M4, M3

    • T4g, T3, T2

    • C7gn

    Weitere Informationen finden Sie unter Unterstützte Knotentypen.

  • At-rest Die Verschlüsselung wird aktiviert, indem der Parameter auf gesetzt wird. AtRestEncryptionEnabled true Für Valkey ist dieser Parameter standardmäßig auf, true wenn er nicht angegeben wird.

  • Sie können die Verschlüsselung im Ruhezustand nur für eine Replikationsgruppe aktivieren, wenn Sie die Replikationsgruppe erstellen. Sie können die Verschlüsselung während der Übertragung nicht aktivieren und deaktivieren, indem Sie eine Replikationsgruppe ändern. Informationen zur Implementierung der Verschlüsselung im Ruhezustand bei vorhandenen Replikationsgruppen finden Sie unter At-Rest Verschlüsselung aktivieren.

  • Wenn ein Cluster einen Knotentyp aus der R6gd-Familie verwendet, werden auf SSDs gespeicherte Daten unabhängig davon verschlüsselt, ob die Verschlüsselung im Ruhezustand aktiviert ist oder nicht.

  • Wenn ein Cluster einen Knotentyp aus der R6GD-Familie verwendet, werden die auf der SSD gespeicherten Daten mit dem ausgewählten, vom Kunden verwalteten KMS-Schlüssel verschlüsselt. AWS

  • Mit Memcached wird die Verschlüsselung im Ruhezustand nur in serverlosen Caches unterstützt.

Durch die Implementierung der Verschlüsselung der Daten im Ruhezustand kann die Leistung während der Sicherungs- und Knoten-Synchronisierungsvorgänge reduziert sein. Vergleichen Sie die Verschlüsselung der Daten im Ruhezustand mit Ihren eigenen unverschlüsselten Daten, um die Auswirkungen auf die Leistung Ihrer Implementierung zu ermitteln.

Verwenden Sie vom Kunden verwaltete Schlüssel von AWS KMS

ElastiCache unterstützt symmetrische, vom Kunden verwaltete AWS KMS-Schlüssel (KMS-Schlüssel) für die Verschlüsselung im Ruhezustand. Customer-managed KMS-Schlüssel sind Verschlüsselungsschlüssel, die Sie in Ihrem AWS Konto erstellen, besitzen und verwalten. Weitere Informationen finden Sie unter AWS -KMS-Schlüssel im Entwicklerhandbuch zum AWS -Schlüsselverwaltungsdienst. Die Schlüssel müssen in AWS KMS erstellt werden, bevor sie mit verwendet werden können ElastiCache.

Informationen zum Erstellen von AWS KMS-Stammschlüsseln finden Sie unter Creating Keys im AWS Key Management Service Developer Guide.

ElastiCache ermöglicht Ihnen die Integration mit AWS KMS. Weitere Informationen finden Sie unter Verwendung von Berechtigungen im Entwicklerhandbuch zum AWS -Schlüsselverwaltungsdienst. Es sind keine Kundenaktionen erforderlich, um die ElastiCache Amazon-Integration mit AWS KMS zu aktivieren.

Der kms:ViaService Bedingungsschlüssel beschränkt die Verwendung eines AWS KMS-Schlüssels (KMS-Schlüssel) auf Anfragen von bestimmten AWS Diensten. Um kms:ViaService mit zu verwenden ElastiCache, schließen Sie beide ViaService Namen in den Wert des Bedingungsschlüssels ein: elasticache.AWS_region.amazonaws.com unddax.AWS_region.amazonaws.com. Weitere Informationen finden Sie unter kms: ViaService.

Sie können AWS CloudTraildamit die Anfragen verfolgen, an die Amazon in AWS Key Management Service Ihrem Namen ElastiCache sendet. Alle API-Aufrufe, die sich auf vom Kunden verwaltete Schlüssel AWS Key Management Service beziehen, haben entsprechende CloudTrail Protokolle. Sie können sich auch die Zuschüsse ansehen, die ElastiCache generiert werden, wenn Sie den ListGrantsKMS-API-Aufruf aufrufen.

Ist eine Replikationsgruppe mit einem vom Kunden verwalteten Schlüssel verschlüsselt, werden alle Backups für die Replikationsgruppe wie folgt verschlüsselt:

  • Tägliche automatische Backups werden mit dem vom Kunden verwalteten Schlüssel verschlüsselt, der dem Cluster zugeordnet ist.

  • Die letzte Sicherung, die beim Löschen der Replikationsgruppe erstellt wird, wird ebenfalls mit dem kundenverwalteten Schlüssel verschlüsselt, der der Replikationsgruppe zugeordnet ist.

  • Standardmäßig werden manuell erstellte Sicherungen mit dem der Replikationsgruppe zugeordneten KMS-Schlüssel verschlüsselt. Mit einem anderen kundenverwalteten Schlüssel können Sie dies außer Kraft setzen.

  • Als Standardeinstellung wird beim Kopieren einer Sicherung ein vom Kunden verwalteter Schlüssel verwendet, der mit der Quellsicherung verknüpft ist. Mit einem anderen kundenverwalteten Schlüssel können Sie dies außer Kraft setzen.

Anmerkung

  • Kundenverwaltete Schlüssel können beim Exportieren von Sicherungen in den von Ihnen ausgewählten Amazon S3-Bucket nicht verwendet werden. Alle in Amazon S3 exportierten Sicherungen werden jedoch mit serverseitiger Verschlüsselung verschlüsselt. Sie können wahlweise die Sicherungsdatei in ein neues S3-Objekt kopieren und mit einem vom Kunden verwalteten KMS-Schlüssel verschlüsseln, die Datei in einen anderen S3-Bucket kopieren, der mit Standardverschlüsselung unter Verwendung eines KMS-Schlüssels eingerichtet ist, oder eine Verschlüsselungsoption in der Datei selbst ändern.

  • Außerdem können Sie vom Kunden verwaltete Schlüssel verwenden, um manuell erstellte Backups für Replikationsgruppen zu verschlüsseln, die keine vom Kunden verwalteten Schlüssel für die Verschlüsselung verwenden. Durch diese Option wird die in Amazon S3 gespeicherte Sicherungsdatei mit einem KMS-Schlüssel verschlüsselt, auch wenn die Daten in der ursprünglichen Replikationsgruppe nicht verschlüsselt sind.

Bei der Wiederherstellung von einer Sicherung können Sie aus verschiedenen Verschlüsselungsoptionen wählen, ähnlich den verfügbaren Verschlüsselungsoptionen beim Erstellen einer neuen Replikationsgruppe.

  • Wenn Sie den Schlüssel löschen oder deaktivieren und für den Schlüssel, den Sie zur Verschlüsselung eines Caches verwendet haben, Genehmigungen zurückziehen, kann der Cache nicht wiederhergestellt werden. Mit anderen Worten, es kann nach einem Hardwarefehler nicht geändert oder wiederhergestellt werden. AWS KMS löscht Root-Schlüssel erst nach einer Wartezeit von mindestens sieben Tagen. Nach dem Löschen des Schlüssels können Sie einen anderen vom Kunden verwalteten Schlüssel verwenden, um eine Sicherungskopie für Archivierungszwecke zu erstellen.

  • Bei der automatischen Schlüsselrotation bleiben die Eigenschaften Ihrer AWS KMS-Root-Schlüssel erhalten, sodass die Rotation keine Auswirkungen auf Ihre Fähigkeit hat, auf Ihre Daten zuzugreifen. ElastiCache Verschlüsselte ElastiCache Amazon-Caches unterstützen keine manuelle Schlüsselrotation, bei der ein neuer Root-Schlüssel erstellt und alle Verweise auf den alten Schlüssel aktualisiert werden. Weitere Informationen finden Sie unter Rotation von AWS KMS-Schlüsseln im AWS Key Management Service Developer Guide.

  • Für die Verschlüsselung eines ElastiCache Caches mithilfe eines KMS-Schlüssels ist ein Grant pro Cache erforderlich. Diese Genehmigung gilt für die Lebensdauer des Caches. Zusätzlich wird eine Genehmigung pro Backup bei der Backup-Erstellung verwendet. Diese Genehmigung wird zurückgezogen, sobald das Backup erstellt wurde.

  • Weitere Informationen zu AWS KMS-Zuschüssen und -Limits finden Sie unter Limits im AWS Key Management Service Developer Guide.

At-Rest Verschlüsselung aktivieren

Für alle Serverless-Caches ist die Verschlüsselung im Ruhezustand aktiviert.

Wenn Sie einen knotenbasierten Cluster erstellen, können Sie die Verschlüsselung im Ruhezustand aktivieren, indem Sie den Parameter auf setzen. AtRestEncryptionEnabled true Sie können die Verschlüsselung der Daten im Ruhezustand für vorhandene Replikationsgruppen nicht aktivieren.

Sie können die Verschlüsselung im Ruhezustand aktivieren, wenn Sie einen Cache erstellen. ElastiCache Sie können dies mit der AWS-Managementkonsole AWS CLI, oder der ElastiCache API tun.

Beim Erstellen eines Caches können Sie eine der folgenden Optionen auswählen:

  • Standard – Diese Option verwendet serviceverwaltete Verschlüsselung im Ruhezustand.

  • Vom Kunden verwalteter Schlüssel — Mit dieser Option können Sie den Schlüssel ID/ARN von AWS KMS für die Verschlüsselung im Ruhezustand bereitstellen.

Informationen zum Erstellen von AWS KMS-Root-Schlüsseln finden Sie unter Create Keys im AWS Key Management Service Developer Guide

Sie können die Verschlüsselung im Ruhezustand nur aktivieren, wenn Sie eine Valkey- oder Redis OSS-Replikationsgruppe erstellen. Gehen Sie folgendermaßen vor, wenn Sie über eine vorhandene Replikationsgruppe verfügen, für die Sie die Verschlüsselung der Daten im Ruhezustand aktivieren möchten.

Aktivieren der Verschlüsselung der Daten im Ruhezustand für eine vorhandene Replikationsgruppe

  1. Erstellen Sie eine manuelle Sicherung Ihrer vorhandenen Replikationsgruppe. Weitere Informationen finden Sie unter Erstellen manueller Backups.

  2. Erstellen Sie eine neue Replikationsgruppe, indem Sie sie aus der Sicherung wiederherstellen. Aktivieren Sie in der neuen Replikationsgruppe die Verschlüsselung der Daten im Ruhezustand. Weitere Informationen finden Sie unter Wiederherstellen aus einem Backup in einen neuen Cache.

  3. Aktualisieren Sie die Endpunkte in Ihrer Anwendung so, dass sie auf die neue Replikationsgruppe verweisen.

  4. Löschen Sie die alte Replikationsgruppe. Für weitere Informationen siehe Löschen eines Clusters in ElastiCache oder Löschen einer Replikationsgruppe.

Aktivierung der Verschlüsselung mit dem At-Rest AWS-Managementkonsole

Für alle Serverless-Caches ist die Verschlüsselung im Ruhezustand aktiviert. Standardmäßig wird ein KMS-Schlüssel, der dem AWS Eigentümer gehört, zum Verschlüsseln von Daten verwendet. Um Ihren eigenen AWS KMS Schlüssel auszuwählen, treffen Sie die folgenden Auswahlen:

  • Erweitern Sie den Abschnitt Standardeinstellungen.

  • Wählen Sie im Abschnitt Standardeinstellungen die Option Standardeinstellungen anpassen aus.

  • Wählen Sie im Abschnitt Sicherheit die Option Sicherheitseinstellungen anpassen aus.

  • Wählen Sie unter der Einstellung Verschlüsselungsschlüssels die Option Kundenverwalteter CMK aus.

  • Wählen Sie unter der Einstellung AWS KMS -Schlüssel einen Schlüssel aus.

Wenn Sie Ihren eigenen Cache entwerfen, ist bei den Konfigurationen 'Dev/Test' und 'Production' mit der Methode „Easy Create“ die Verschlüsselung im Ruhezustand mithilfe des Standardschlüssels aktiviert. Legen Sie die folgenden Einstellungen fest, wenn Sie die Konfiguration selbst auswählen:

  • Wählen Sie Version 3.2.6, 4.0.10 oder höher als Ihre Engine-Version.

  • Aktivieren Sie für die Option Verschlüsselung im Ruhezustand das Kontrollkästchen neben Aktivieren.

  • Wählen Sie entweder die Option Standardschlüssel oder Kundenverwalteter CMK.

Das Schritt-für-Schritt-Verfahren finden Sie im Folgenden:

Aktivierung der Verschlüsselung mit dem At-Rest AWS CLI

Um die Verschlüsselung im Ruhezustand zu aktivieren, wenn Sie einen Valkey- oder Redis-OSS-Cluster mithilfe von erstellen AWS CLI, verwenden Sie beim Erstellen einer Replikationsgruppe den Parameter --at-rest-encryption-enabled.

Der folgende Vorgang erstellt die Valkey- oder Redis OSS-Replikationsgruppe (Clustermodus deaktiviert) my-classic-rg mit drei Knoten (--num-cache-clusters), einem primären und zwei Read Replicas. At-rest Die Verschlüsselung ist für diese Replikationsgruppe aktiviert (--at-rest-encryption-enabled).

Die folgenden Parameter und ihre Werte sind erforderlich, um die Verschlüsselung für diese Replikationsgruppe zu aktivieren:

Hauptparameter

  • --engine— Muss oder sein. valkey redis

  • --engine-version—Wenn es sich bei der Engine um Redis OSS handelt, muss es sich um 3.2.6, 4.0.10 oder höher handeln.

  • --at-rest-encryption-enabled—Erforderlich, um die Verschlüsselung von Daten im Ruheszustand zu aktivieren.

Beispiel 1: Valkey- oder Redis OSS-Cluster (Clustermodus deaktiviert) mit Replikaten

Für Linux, macOS oder Unix:

aws elasticache create-replication-group \
    --replication-group-id my-classic-rg \
    --replication-group-description "3 node replication group" \
    --cache-node-type cache.m4.large \
    --engine redis \    
    --at-rest-encryption-enabled \  
    --num-cache-clusters 3

Für Windows:

aws elasticache create-replication-group ^
    --replication-group-id my-classic-rg ^
    --replication-group-description "3 node replication group" ^
    --cache-node-type cache.m4.large ^
    --engine redis ^    
    --at-rest-encryption-enabled ^  
    --num-cache-clusters 3 ^

Weitere Informationen finden Sie unter:

 

Der folgende Vorgang erstellt die Valkey- oder Redis OSS-Replikationsgruppe (Clustermodus aktiviert) my-clustered-rg mit drei Knotengruppen oder Shards (--num-node-groups). Jeder hat drei Knoten, eine primäre und zwei Read Replicas (--replicas-per-node-group). At-restDie Verschlüsselung ist für diese Replikationsgruppe aktiviert (--at-rest-encryption-enabled).

Die folgenden Parameter und ihre Werte sind erforderlich, um die Verschlüsselung für diese Replikationsgruppe zu aktivieren:

Hauptparameter

  • --engine— Muss oder sein. valkey redis

  • --engine-version—Wenn es sich bei der Engine um Redis OSS handelt, muss es sich um 4.0.10 oder höher handeln.

  • --at-rest-encryption-enabled—Erforderlich, um die Verschlüsselung von Daten im Ruheszustand zu aktivieren.

  • --cache-parameter-group—Muss default-redis4.0.cluster.on oder eine davon abgeleitete sein, um diese zu einer Cluster-Modus-fähigen Replikationsgruppe zu machen.

Beispiel 2: Ein Valkey- oder Redis OSS-Cluster (Clustermodus aktiviert)

Für Linux, macOS oder Unix:

aws elasticache create-replication-group \
   --replication-group-id my-clustered-rg \
   --replication-group-description "redis clustered cluster" \
   --cache-node-type cache.m3.large \
   --num-node-groups 3 \
   --replicas-per-node-group 2 \
   --engine redis \
   --engine-version 6.2 \
   --at-rest-encryption-enabled \
   --cache-parameter-group default.redis6.x.cluster.on

Für Windows:

aws elasticache create-replication-group ^
   --replication-group-id my-clustered-rg ^
   --replication-group-description "redis clustered cluster" ^
   --cache-node-type cache.m3.large ^
   --num-node-groups 3 ^
   --replicas-per-node-group 2 ^
   --engine redis ^
   --engine-version 6.2 ^
   --at-rest-encryption-enabled ^
   --cache-parameter-group default.redis6.x.cluster.on

Weitere Informationen finden Sie unter:

Weitere Informationen finden Sie unter: