Restricciones Uso de claves administradas por el cliente desde AWS KMS Activación del cifrado en reposo Véase también

Cifrado en reposo en ElastiCache

Para ayudar a proteger sus datos, Amazon ElastiCache y Amazon S3 ofrecen diferentes formas de restringir el acceso a los datos de la memoria caché. Para obtener más información, consulte Seguridad de ElastiCache y Amazon VPC y Identity and Access Management para Amazon ElastiCache.

ElastiCache El cifrado en reposo es una función que permite aumentar la seguridad de los datos mediante el cifrado de los datos del disco. Siempre está habilitada en una caché sin servidor. Si está habilitada, cifra los siguientes elementos:

Disco durante las operaciones de sincronización, copia de seguridad o intercambio
Copias de seguridad almacenadas en Amazon S3

Los datos almacenados en los SSD (unidades de estado sólido) en clústeres habilitados para la organización de datos en niveles siempre se cifran.

ElastiCache ofrece un cifrado predeterminado (gestionado por el servicio) en reposo, así como la posibilidad de utilizar sus propias claves KMS simétricas gestionadas por el cliente en AWS el Servicio de administración de claves ( AWS KMS). Cuando se haga una copia de seguridad de la caché, elija, en las opciones de cifrado, si desea usar la clave de cifrado predeterminada o una clave administrada por el cliente. Para obtener más información, consulte Activación del cifrado en reposo.

nota

El cifrado predeterminado (gestionado por el servicio) es la única opción disponible en las regiones GovCloud (EE. UU.).

importante

La activación del cifrado en reposo en un clúster OSS de Redis de diseño propio implica eliminar el grupo de replicación existente, tras ejecutar la copia de seguridad y la restauración en el grupo de replicación.

El cifrado en reposo solo se puede habilitar en una caché en el momento de su creación. Como se requiere cierto procesamiento para cifrar y descifrar los datos, habilitar el cifrado en reposo durante estas operaciones puede afectar al rendimiento. Debe comparar los datos con y sin cifrado en reposo para determinar el impacto en el rendimiento de los casos de uso.

Temas

Condiciones del cifrado en reposo
Uso de claves administradas por el cliente desde AWS KMS
Activación del cifrado en reposo
Véase también

Condiciones del cifrado en reposo

Al planificar la implementación del cifrado en ElastiCache reposo, se deben tener en cuenta las siguientes restricciones en relación con el ElastiCache cifrado en reposo:

El cifrado en reposo se admite en los grupos de replicación que ejecutan las versiones 4.0.10 o posteriores de Redis OSS (la 3.2.6 está programada para su fin de vida útil; consulte el calendario de fin de vida de las versiones de Redis OSS).
El cifrado en reposo solo es compatible con los grupos de reproducción que se ejecutan en una Amazon VPC.
El cifrado en reposo solo se admite en los grupos de reproducción que ejecutan los siguientes tipos de nodos.
- R6gd, R6g, R5, R4, R3
- M6g, M5, M4, M3
- T4g, T3, T2
Para obtener más información, consulte Tipos de nodos compatibles.
El cifrado en reposo se habilita estableciendo explícitamente el parámetro AtRestEncryptionEnabled en true.
El cifrado en reposo solamente se puede habilitar en un grupo de reproducción en el momento de su creación. Por tanto, el cifrado en reposo no se puede habilitar y desactivar modificando un grupo de reproducción. Para obtener información acerca de la implementación del cifrado en reposo en un grupo de reproducción existente, consulte Activación del cifrado en reposo.
Si un clúster utiliza un tipo de nodo de la familia r6gd, los datos almacenados en SSD se cifran independientemente de si el cifrado en reposo está habilitado o no.
La opción de utilizar una clave gestionada por el cliente para el cifrado en reposo no está disponible en AWS GovCloud las regiones (-1 y -1). us-gov-east us-gov-west
Si un clúster utiliza un tipo de nodo de la familia r6gd, los datos almacenados en la SSD se cifran con la clave AWS KMS administrada por el cliente elegida (o con el cifrado administrado por el servicio en Regions). AWS GovCloud

Implementar el cifrado en reposo puede reducir el rendimiento durante las operaciones de backup y sincronización de nodos. Compare sus datos con y sin cifrado en reposo para determinar el impacto en el rendimiento de la implementación.

Uso de claves administradas por el cliente desde AWS KMS

ElastiCache admite claves AWS KMS simétricas administradas por el cliente (clave KMS) para el cifrado en reposo. Las claves KMS administradas por el cliente son claves de cifrado que usted crea, posee y administra en su cuenta. AWS Para obtener más información, consulte Claves de AWS KMS en la Guía para desarrolladores de AWS Key Management Service. Las claves se deben crear en AWS KMS para poder usarlas con ellas. ElastiCache

Para obtener información sobre cómo crear claves raíz de AWS KMS, consulte Creación de claves en la Guía AWS para desarrolladores del Servicio de administración de claves.

ElastiCache le permite integrarse con AWS KMS. Para obtener más información, consulte Uso de concesiones en la Guía para desarrolladores de AWS Key Management Service. No es necesaria ninguna acción por parte del cliente para habilitar ElastiCache la integración de Amazon con AWS KMS.

La kms:ViaService clave condicional limita el uso de una clave AWS KMS (clave KMS) a las solicitudes de AWS servicios específicos. Para usarla kms:ViaService con ElastiCache, incluye ambos ViaService nombres en el valor de la clave de condición: elasticache.AWS_region.amazonaws.com ydax.AWS_region.amazonaws.com. Para obtener más información, consulte kms: ViaService.

Puedes utilizarla AWS CloudTrailpara hacer un seguimiento de las solicitudes que Amazon ElastiCache envía AWS Key Management Service en tu nombre. Todas las llamadas a la API AWS Key Management Service relacionadas con las claves gestionadas por el cliente tienen CloudTrail los registros correspondientes. También puede ver las concesiones que se ElastiCache crean al llamar a la API de ListGrantsKMS.

Una vez que se cifra un grupo de reproducción mediante la clave administrada por el cliente, todas las copias de seguridad para el grupo de reproducción se cifran de la siguiente manera:

Las copias de seguridad diarias automáticas se cifran mediante la clave administrada por el cliente asociada con el clúster.
La copia de seguridad final creada cuando se elimina el grupo de reproducción también se cifra mediante la clave administrada por el cliente asociada con el grupo de reproducción.
Las copias de seguridad creadas de forma manual se cifran de manera predeterminada para utilizar la clave de KMS asociada con el grupo de reproducción. Puede anular esto al elegir otra clave administrada por el cliente.
Al copiar una copia de seguridad se utiliza de forma predeterminada una clave administrada por el cliente asociada a la copia de seguridad de origen. Puede anular esto al elegir otra clave administrada por el cliente.

nota

Las claves administradas por el cliente no se pueden utilizar cuando se exportan copias de seguridad al bucket de Amazon S3 seleccionado. Sin embargo, todas las copias de seguridad exportadas a Amazon S3 se cifran mediante el cifrado del lado del servidor. Puede optar por copiar el archivo de copia de seguridad en un objeto de S3 nuevo y cifrarlo mediante una clave de KMS administrada por el cliente, copiar el archivo a otro bucket de S3 que se ha configurado con el cifrado predeterminado mediante una clave de KMS o cambiar una opción de cifrado en el propio archivo.
También puede utilizar claves administradas por el cliente a fin de cifrar copias de seguridad creadas de forma manual para grupos de reproducción que no utilicen claves administradas por el cliente para el cifrado. Con esta opción, el archivo de copia de seguridad almacenado en Amazon S3 se cifra mediante una clave de KMS, aunque los datos no se cifren en el grupo de reproducción original.

La restauración desde una copia de seguridad le permite elegir entre las opciones de cifrado disponibles, similares a las opciones de cifrado disponibles cuando se crea un nuevo grupo de reproducción.

Si elimina la clave o deshabilita la clave y revoca las concesiones para la clave que utilizó para cifrar una caché, esta se vuelve irrecuperable. En otras palabras, no se puede modificar ni recuperar después de un fallo de hardware. AWS KMS elimina las claves raíz solo después de un período de espera de al menos siete días. Después de eliminar la clave, puede utilizar una clave administrada por el cliente diferente para crear una copia de seguridad con fines de archivo.
La rotación automática de claves preserva las propiedades de las claves raíz de AWS KMS, por lo que la rotación no afecta a su capacidad de acceder a sus ElastiCache datos. ElastiCache Las cachés cifradas de Amazon no admiten la rotación manual de claves, lo que implica crear una nueva clave raíz y actualizar cualquier referencia a la clave anterior. Para obtener más información, consulte Rotación de claves AWS KMS en la Guía AWS para desarrolladores del servicio de administración de claves.
El cifrado de una ElastiCache caché mediante una clave KMS requiere una concesión por caché. Esa concesión se utiliza durante toda la vida útil de la caché. Además, se utiliza una concesión por copia de seguridad durante la creación de la copia de seguridad. Dicha concesión se retira una vez que se crea la copia de seguridad.
Para obtener más información sobre las concesiones y los límites de AWS KMS, consulte los límites en la Guía para desarrolladores del servicio de administración de AWS claves.

Activación del cifrado en reposo

Todas las cachés sin servidor tienen activado el cifrado en reposo.

Al crear un clúster de autodiseño, puede habilitar el cifrado en reposo configurando el parámetro AtRestEncryptionEnabled en true. No puede habilitar el cifrado en reposo en grupos de reproducción existentes.

Puede habilitar el cifrado en reposo al crear una ElastiCache memoria caché. Puede hacerlo mediante la AWS Management Console AWS CLI, la o la ElastiCache API.

Cuando cree una caché, puede elegir una de las siguientes opciones:

Default (Predeterminado): esta opción utiliza el cifrado administrado por el servicio en reposo.
Clave administrada por el cliente: esta opción le permite proporcionar el ID/ARN de clave de AWS KMS para el cifrado en reposo.

Para obtener información sobre cómo crear claves raíz de AWS KMS, consulte Crear claves en la Guía para desarrolladores del Servicio de administración de AWS claves

Contenido

Solo puede habilitar el cifrado en reposo al crear un grupo de replicación de Redis OSS. Si tiene un grupo de reproducción existente en el que desea habilitar el cifrado en reposo, haga lo siguiente.

Para habilitar el cifrado en reposo en un grupo de reproducción existente

Cree un backup manual del grupo de reproducción existente. Para obtener más información, consulte Copias de seguridad manuales.
Cree un nuevo grupo de reproducción a partir de este backup. En el nuevo grupo de reproducción, habilite el cifrado en reposo. Para obtener más información, consulte Restauración desde una copia de seguridad a una nueva caché.
Actualice los puntos de enlace de la aplicación para que apunten al nuevo grupo de reproducción.
Elimine el grupo de reproducción antiguo. Para obtener más información, consulte Eliminación de un clúster o Eliminación de un grupo de reproducción.

Habilitar el cifrado en reposo mediante AWS Management Console

Todas las cachés sin servidor tienen activado el cifrado en reposo. De forma predeterminada, se utiliza una AWS clave KMS propia para cifrar los datos. Para elegir su propia AWS KMS clave, realice las siguientes selecciones:

Amplíe la sección Configuración predeterminada.
Seleccione Personalizar la configuración predeterminada en la sección Configuración predeterminada.
Seleccione Personalice su configuración de seguridad en la sección Seguridad.
Elija CMK administrada por el cliente en Configuración de clave de cifrado.
Seleccione una clave en el ajuste Clave de AWS KMS .

Al diseñar su propia caché, las configuraciones de “desarrollo y prueba” y “producción” con el método “Creación sencilla” habilitan el cifrado en reposo mediante la clave Predeterminada. Al elegir la configuración, seleccione estas opciones:

Seleccione la versión 3.2.6, 4.0.10 o posterior como versión del motor.
Haga clic en la casilla de verificación situada junto a Habilitar en la opción Cifrado en reposo.
Elija una Clave predeterminada o una CMK administrada por el cliente.

Para conocer el step-by-step procedimiento, consulte lo siguiente:

Habilitación del cifrado en reposo mediante AWS CLI

Para habilitar el cifrado en reposo al crear un clúster de Redis OSS mediante el AWS CLI, utilice el at-rest-encryption-enabled parámetro -- al crear un grupo de replicación.

La siguiente operación crea el grupo de replicación Redis OSS (modo de clúster desactivado) my-classic-rg con tres nodos (-- num-cache-clusters), una réplica principal y dos réplicas de lectura. El cifrado en reposo está habilitado para este grupo de replicación (--). at-rest-encryption-enabled

Los siguientes parámetros y sus valores son necesarios para habilitar el cifrado de este grupo de reproducción:

Parámetros clave

--engine: debe ser redis.
--engine-version: debe ser 3.2.6, 4.0.10 o posterior.
--at-rest-encryption-enabled: obligatorio para habilitar el cifrado en reposo.

ejemplo 1: Clúster de Redis OSS (modo de clúster desactivado) con réplicas

Para Linux, macOS o Unix:


aws elasticache create-replication-group \
    --replication-group-id my-classic-rg \
    --replication-group-description "3 node replication group" \
    --cache-node-type cache.m4.large \
    --engine redis \    
    --at-rest-encryption-enabled \  
    --num-cache-clusters 3

Para Windows:


aws elasticache create-replication-group ^
    --replication-group-id my-classic-rg ^
    --replication-group-description "3 node replication group" ^
    --cache-node-type cache.m4.large ^
    --engine redis ^    
    --at-rest-encryption-enabled ^  
    --num-cache-clusters 3 ^

Para obtener más información, consulte los siguientes temas:

La siguiente operación crea el grupo de replicación Redis OSS (modo de clúster activado) my-clustered-rg con tres grupos de nodos o fragmentos (--). num-node-groups Cada uno tiene tres nodos, una réplica principal y dos réplicas de lectura (--). replicas-per-node-group El cifrado en reposo está habilitado para este grupo de replicación (-- at-rest-encryption-enabled).

Los siguientes parámetros y sus valores son necesarios para habilitar el cifrado de este grupo de reproducción:

Parámetros clave

--engine: debe ser redis.
--engine-version: debe ser 4.0.10 o posterior.
--at-rest-encryption-enabled: obligatorio para habilitar el cifrado en reposo.
--cache-parameter-group: debe ser default-redis4.0.cluster.on o un valor derivado de este que lo convierta en un grupo de reproducción con el modo de clúster habilitado.

ejemplo 2: Un clúster de Redis OSS (modo de clúster activado)

Para Linux, macOS o Unix:


aws elasticache create-replication-group \
   --replication-group-id my-clustered-rg \
   --replication-group-description "redis clustered cluster" \
   --cache-node-type cache.m3.large \
   --num-node-groups 3 \
   --replicas-per-node-group 2 \
   --engine redis \
   --engine-version 6.2 \
   --at-rest-encryption-enabled \
   --cache-parameter-group default.redis6.x.cluster.on

Para Windows:


aws elasticache create-replication-group ^
   --replication-group-id my-clustered-rg ^
   --replication-group-description "redis clustered cluster" ^
   --cache-node-type cache.m3.large ^
   --num-node-groups 3 ^
   --replicas-per-node-group 2 ^
   --engine redis ^
   --engine-version 6.2 ^
   --at-rest-encryption-enabled ^
   --cache-parameter-group default.redis6.x.cluster.on

Para obtener más información, consulte los siguientes temas:

Véase también

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Procedimientos recomendados para habilitar el cifrado en tránsito

Autenticación y autorización