Restricciones Uso de claves gestionadas por el cliente desde AWS KMS Activación del cifrado en reposo Véase también

Cifrado en reposo en ElastiCache

Para ayudar a proteger sus datos, Amazon ElastiCache y Amazon S3 ofrecen diferentes formas de restringir el acceso a los datos de la memoria caché. Para obtener más información, consulte Amazon VPCs y la ElastiCache seguridad y Identity and Access Management para Amazon ElastiCache.

ElastiCache El cifrado en reposo es una función que permite aumentar la seguridad de los datos mediante el cifrado de los datos del disco. Siempre está habilitada en una caché sin servidor. Si está habilitada, cifra los siguientes elementos:

Disco durante las operaciones de sincronización, copia de seguridad o intercambio
Copias de seguridad almacenadas en Amazon S3

Los datos almacenados SSDs (unidades de estado sólido) en clústeres habilitados para la estratificación de datos siempre están cifrados.

ElastiCache ofrece un cifrado predeterminado (gestionado por el servicio) en reposo, así como la posibilidad de utilizar sus propias AWS KMS claves simétricas gestionadas por el cliente en AWS Key Management Service (). KMS Cuando se haga una copia de seguridad de la caché, elija, en las opciones de cifrado, si desea usar la clave de cifrado predeterminada o una clave administrada por el cliente. Para obtener más información, consulte Activación del cifrado en reposo.

nota

El cifrado predeterminado (gestionado por el servicio) es la única opción disponible en las regiones GovCloud (EE. UU.).

importante

La activación del cifrado en reposo en un OSS clúster existente de Valkey o Redis de diseño propio implica eliminar el grupo de replicación existente, tras ejecutar la copia de seguridad y la restauración en el grupo de replicación.

El cifrado en reposo solo se puede habilitar en una caché en el momento de su creación. Como se requiere cierto procesamiento para cifrar y descifrar los datos, habilitar el cifrado en reposo durante estas operaciones puede afectar al rendimiento. Debe comparar los datos con y sin cifrado en reposo para determinar el impacto en el rendimiento de los casos de uso.

Temas

Condiciones del cifrado en reposo
Uso de claves gestionadas por el cliente desde AWS KMS
Activación del cifrado en reposo
Véase también

Condiciones del cifrado en reposo

Al planificar la implementación del cifrado en ElastiCache reposo, se deben tener en cuenta las siguientes restricciones en relación con el ElastiCache cifrado en reposo:

El cifrado en reposo se admite en los grupos de replicación que ejecutan Valkey 7.2 y versiones posteriores, y en OSS las versiones 4.0.10 o posteriores de Redis (la 3.2.6 está programada para EOL el final de la vida útil de OSS las versiones de Redis).
El cifrado en reposo solo se admite para los grupos de replicación que se ejecutan en AmazonVPC.
El cifrado en reposo solo se admite en los grupos de reproducción que ejecutan los siguientes tipos de nodos.
- R6gd, R6g, R5, R4, R3
- M6g, M5, M4, M3
- T4g, T3, T2
Para obtener más información, consulte Tipos de nodos compatibles.
El cifrado en reposo se habilita estableciendo explícitamente el parámetro AtRestEncryptionEnabled en true.
El cifrado en reposo solamente se puede habilitar en un grupo de reproducción en el momento de su creación. Por tanto, el cifrado en reposo no se puede habilitar y desactivar modificando un grupo de reproducción. Para obtener información acerca de la implementación del cifrado en reposo en un grupo de reproducción existente, consulte Activación del cifrado en reposo.
Si un clúster utiliza un tipo de nodo de la familia r6gd, los datos almacenados en él se cifran independientemente de que el cifrado en SSD reposo esté activado o no.
La opción de utilizar una clave gestionada por el cliente para el cifrado en reposo no está disponible en las regiones AWS GovCloud (us-gov-east-1 y us-gov-west -1).
Si un clúster utiliza un tipo de nodo de la familia r6gd, los datos almacenados en él SSD se cifran con la AWS KMS clave administrada por el cliente elegida (o con el cifrado administrado por el servicio en Regions). AWS GovCloud

Con Memcached, el cifrado en reposo solo se admite en las cachés sin servidor.
Cuando se utiliza Memcached, la opción de utilizar una clave gestionada por el cliente para el cifrado en reposo no está disponible en AWS GovCloud las regiones (-1 y -1). us-gov-east us-gov-west

Implementar el cifrado en reposo puede reducir el rendimiento durante las operaciones de backup y sincronización de nodos. Compare sus datos con y sin cifrado en reposo para determinar el impacto en el rendimiento de la implementación.

Uso de claves gestionadas por el cliente desde AWS KMS

ElastiCache admite AWS KMS claves simétricas gestionadas por el cliente (KMSclave) para el cifrado en reposo. KMSLas claves administradas por el cliente son claves de cifrado que usted crea, posee y administra en su cuenta. AWS Para obtener más información, consulta AWS KMSlas claves en la Guía para desarrolladores del Servicio de administración de AWS claves. Las claves se deben crear AWS KMS antes de poder utilizarlas con ellas ElastiCache.

Para obtener información sobre cómo crear claves AWS KMS raíz, consulte Creación de claves en la Guía AWS para desarrolladores del Servicio de administración de claves.

ElastiCache le permite integrarse con AWS KMS. Para obtener más información, consulte Uso de concesiones en la Guía para desarrolladores de AWS Key Management Service. No es necesaria ninguna acción por parte del cliente para permitir ElastiCache la integración de Amazon con AWS KMS.

La kms:ViaService clave condicional limita el uso de una AWS KMS clave (KMSclave) a las solicitudes de AWS servicios específicos. Para usarla kms:ViaService con ElastiCache, incluye ambos ViaService nombres en el valor de la clave de condición: elasticache.AWS_region.amazonaws.com ydax.AWS_region.amazonaws.com. Para obtener más información, consulte kms: ViaService.

Puedes utilizarla AWS CloudTrailpara hacer un seguimiento de las solicitudes que Amazon ElastiCache envía AWS Key Management Service en tu nombre. Todas las API llamadas AWS Key Management Service relacionadas con las claves gestionadas por el cliente tienen CloudTrail los registros correspondientes. También puedes ver las subvenciones que se ElastiCache generan al llamar a la ListGrantsKMSAPIconvocatoria.

Una vez que se cifra un grupo de reproducción mediante la clave administrada por el cliente, todas las copias de seguridad para el grupo de reproducción se cifran de la siguiente manera:

Las copias de seguridad diarias automáticas se cifran mediante la clave administrada por el cliente asociada con el clúster.
La copia de seguridad final creada cuando se elimina el grupo de reproducción también se cifra mediante la clave administrada por el cliente asociada con el grupo de reproducción.
Las copias de seguridad creadas manualmente se cifran de forma predeterminada para utilizar la KMS clave asociada al grupo de replicación. Puede anular esto al elegir otra clave administrada por el cliente.
Al copiar una copia de seguridad se utiliza de forma predeterminada una clave administrada por el cliente asociada a la copia de seguridad de origen. Puede anular esto al elegir otra clave administrada por el cliente.

nota

Las claves administradas por el cliente no se pueden utilizar cuando se exportan copias de seguridad al bucket de Amazon S3 seleccionado. Sin embargo, todas las copias de seguridad exportadas a Amazon S3 se cifran mediante el cifrado del lado del servidor. Puede optar por copiar el archivo de respaldo a un nuevo objeto de S3 y cifrarlo con una KMS clave administrada por el cliente, copiar el archivo a otro depósito de S3 que esté configurado con el cifrado predeterminado mediante una KMS clave o cambiar una opción de cifrado en el propio archivo.
También puede utilizar claves administradas por el cliente a fin de cifrar copias de seguridad creadas de forma manual para grupos de reproducción que no utilicen claves administradas por el cliente para el cifrado. Con esta opción, el archivo de respaldo almacenado en Amazon S3 se cifra con una KMS clave, aunque los datos no estén cifrados en el grupo de replicación original.

La restauración desde una copia de seguridad le permite elegir entre las opciones de cifrado disponibles, similares a las opciones de cifrado disponibles cuando se crea un nuevo grupo de reproducción.

Si elimina la clave o deshabilita la clave y revoca las concesiones para la clave que utilizó para cifrar una caché, esta se vuelve irrecuperable. En otras palabras, no se puede modificar ni recuperar después de un fallo de hardware. AWS KMSelimina las claves raíz solo después de un período de espera de al menos siete días. Después de eliminar la clave, puede utilizar una clave administrada por el cliente diferente para crear una copia de seguridad con fines de archivo.
La rotación automática de claves preserva las propiedades de las claves AWS KMS raíz, por lo que la rotación no afecta a la capacidad de acceder a ElastiCache los datos. ElastiCache Las cachés cifradas de Amazon no admiten la rotación manual de claves, lo que implica crear una nueva clave raíz y actualizar cualquier referencia a la clave anterior. Para obtener más información, consulte Rotación de AWS KMS claves en la Guía AWS para desarrolladores del Servicio de administración de claves.
El cifrado de una ElastiCache caché mediante una KMS clave requiere una concesión por caché. Esa concesión se utiliza durante toda la vida útil de la caché. Además, se utiliza una concesión por copia de seguridad durante la creación de la copia de seguridad. Dicha concesión se retira una vez que se crea la copia de seguridad.
Para obtener más información sobre las AWS KMS concesiones y los límites, consulte los límites en la Guía para desarrolladores del servicio de administración de AWS claves.

Activación del cifrado en reposo

Todas las cachés sin servidor tienen activado el cifrado en reposo.

Al crear un clúster de autodiseño, puede habilitar el cifrado en reposo configurando el parámetro AtRestEncryptionEnabled en true. No puede habilitar el cifrado en reposo en grupos de reproducción existentes.

Puede habilitar el cifrado en reposo al crear una ElastiCache memoria caché. Puede hacerlo utilizando el AWS Management Console AWS CLI, el o el ElastiCache API.

Cuando cree una caché, puede elegir una de las siguientes opciones:

Default (Predeterminado): esta opción utiliza el cifrado administrado por el servicio en reposo.
Clave gestionada por el cliente: esta opción le permite proporcionar el identificador o el formulario ARN de la clave AWS KMS para el cifrado en reposo.

Para obtener información sobre cómo crear claves AWS KMS raíz, consulte Crear claves en la Guía para desarrolladores del Servicio de administración de AWS claves

Contenido

Solo puede habilitar el cifrado en reposo al crear un grupo de replicación de Valkey o Redis. OSS Si tiene un grupo de reproducción existente en el que desea habilitar el cifrado en reposo, haga lo siguiente.

Para habilitar el cifrado en reposo en un grupo de reproducción existente

Cree un backup manual del grupo de reproducción existente. Para obtener más información, consulte Copias de seguridad manuales.
Cree un nuevo grupo de reproducción a partir de este backup. En el nuevo grupo de reproducción, habilite el cifrado en reposo. Para obtener más información, consulte Restauración desde una copia de seguridad a una nueva caché.
Actualice los puntos de enlace de la aplicación para que apunten al nuevo grupo de reproducción.
Elimine el grupo de reproducción antiguo. Para obtener más información, consulte Eliminar un clúster en ElastiCache o Eliminación de un grupo de reproducción.

Habilitar el cifrado en reposo mediante el AWS Management Console

Todas las cachés sin servidor tienen activado el cifrado en reposo. De forma predeterminada, se utiliza una AWS KMS clave propia para cifrar los datos. Para elegir su propia AWS KMS clave, realice las siguientes selecciones:

Amplíe la sección Configuración predeterminada.
Seleccione Personalizar la configuración predeterminada en la sección Configuración predeterminada.
Seleccione Personalice su configuración de seguridad en la sección Seguridad.
Elija Administrado por el cliente CMK en la configuración de clave de cifrado.
Seleccione una clave en el ajuste Clave de AWS KMS .

Al diseñar su propia caché, las configuraciones de “desarrollo y prueba” y “producción” con el método “Creación sencilla” habilitan el cifrado en reposo mediante la clave Predeterminada. Al elegir la configuración, seleccione estas opciones:

Seleccione la versión 3.2.6, 4.0.10 o posterior como versión del motor.
Haga clic en la casilla de verificación situada junto a Habilitar en la opción Cifrado en reposo.
Elija una clave predeterminada o gestionada por el cliente. CMK

Para conocer el step-by-step procedimiento, consulte lo siguiente:

Habilitación del cifrado en reposo mediante el AWS CLI

Para habilitar el cifrado en reposo al crear un OSS clúster de Valkey o Redis mediante el AWS CLI, utilice el at-rest-encryption-enabled parámetro -- al crear un grupo de replicación.

La siguiente operación crea el grupo de replicación de Valkey o Redis OSS (modo de clúster desactivado) my-classic-rg con tres nodos (-- num-cache-clusters), una réplica principal y dos réplicas de lectura. El cifrado en reposo está habilitado para este grupo de replicación (--). at-rest-encryption-enabled

Los siguientes parámetros y sus valores son necesarios para habilitar el cifrado de este grupo de reproducción:

Parámetros clave

--engine—Debe ser valkey o. redis
--engine-version—Si el motor es RedisOSS, debe ser 3.2.6, 4.0.10 o posterior.
--at-rest-encryption-enabled: obligatorio para habilitar el cifrado en reposo.

ejemplo 1: Clúster de Valkey o Redis OSS (modo de clúster desactivado) con réplicas

Para Linux, macOS o Unix:


aws elasticache create-replication-group \
    --replication-group-id my-classic-rg \
    --replication-group-description "3 node replication group" \
    --cache-node-type cache.m4.large \
    --engine redis \    
    --at-rest-encryption-enabled \  
    --num-cache-clusters 3

Para Windows:


aws elasticache create-replication-group ^
    --replication-group-id my-classic-rg ^
    --replication-group-description "3 node replication group" ^
    --cache-node-type cache.m4.large ^
    --engine redis ^    
    --at-rest-encryption-enabled ^  
    --num-cache-clusters 3 ^

Para obtener más información, consulte los siguientes temas:

La siguiente operación crea el grupo de replicación de Valkey o Redis OSS (modo de clúster activado) my-clustered-rg con tres grupos de nodos o fragmentos (--). num-node-groups Cada uno tiene tres nodos, una réplica principal y dos réplicas de lectura (--). replicas-per-node-group El cifrado en reposo está habilitado para este grupo de replicación (-- at-rest-encryption-enabled).

Los siguientes parámetros y sus valores son necesarios para habilitar el cifrado de este grupo de reproducción:

Parámetros clave

--engine—Debe ser valkey o. redis
--engine-version—Si el motor es RedisOSS, debe ser 4.0.10 o posterior.
--at-rest-encryption-enabled: obligatorio para habilitar el cifrado en reposo.
--cache-parameter-group: debe ser default-redis4.0.cluster.on o un valor derivado de este que lo convierta en un grupo de reproducción con el modo de clúster habilitado.

ejemplo 2: Un clúster de Valkey o Redis OSS (modo de clúster activado)

Para Linux, macOS o Unix:


aws elasticache create-replication-group \
   --replication-group-id my-clustered-rg \
   --replication-group-description "redis clustered cluster" \
   --cache-node-type cache.m3.large \
   --num-node-groups 3 \
   --replicas-per-node-group 2 \
   --engine redis \
   --engine-version 6.2 \
   --at-rest-encryption-enabled \
   --cache-parameter-group default.redis6.x.cluster.on

Para Windows:


aws elasticache create-replication-group ^
   --replication-group-id my-clustered-rg ^
   --replication-group-description "redis clustered cluster" ^
   --cache-node-type cache.m3.large ^
   --num-node-groups 3 ^
   --replicas-per-node-group 2 ^
   --engine redis ^
   --engine-version 6.2 ^
   --at-rest-encryption-enabled ^
   --cache-parameter-group default.redis6.x.cluster.on

Para obtener más información, consulte los siguientes temas:

Véase también

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Procedimientos recomendados para habilitar el cifrado en tránsito

Autenticación y autorización