Chiffrement au repos dans ElastiCache - Amazon ElastiCache

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement au repos dans ElastiCache

Pour garantir la sécurité de vos données, Amazon ElastiCache et Amazon S3 proposent différentes méthodes pour restreindre l'accès aux données de votre cache. Pour plus d’informations, consultez Amazon VPCs et la ElastiCache sécurité et Identity and Access Management pour Amazon ElastiCache.

ElastiCache le chiffrement au repos est une fonctionnalité visant à renforcer la sécurité des données en chiffrant les données sur disque. Il est toujours activé sur un cache sans serveur. Lorsque cette fonctionnalité est activée, elle chiffre les aspects suivants :

  • Le disque lors des opérations de synchronisation, de sauvegarde et d'échange

  • Sauvegardes stockées dans Amazon S3

Les données stockées sur SSDs (disques SSD) dans des clusters compatibles avec la hiérarchisation des données sont toujours chiffrées.

ElastiCache propose un chiffrement par défaut (géré par le service) au repos, ainsi que la possibilité d'utiliser vos propres AWS KMS clés symétriques gérées par le client dans AWS Key Management Service (KMS). Lorsque le cache est sauvegardé, sous les options de chiffrement, choisissez d’utiliser la clé de chiffrement par défaut ou une clé gérée par le client. Pour de plus amples informations, veuillez consulter Activation du chiffrement au repos.

Note

Le chiffrement par défaut (géré par le service) est la seule option disponible dans les régions GovCloud (États-Unis).

Important

L'activation du chiffrement au repos sur un OSS cluster Valkey ou Redis autoconçu implique la suppression de votre groupe de réplication existant, après avoir exécuté la sauvegarde et la restauration sur le groupe de réplication.

Le chiffrement au repos ne peut être activé sur un cache que lorsqu’il est créé. Puisque du traitement est nécessaire pour chiffrer et déchiffrer les données, activer le chiffrement au repos peut avoir un certain impact sur les performances durant ces opérations. Vous devez référencer vos données avec et sans le chiffrement au repos pour déterminer l'impact sur la performance pour vos cas d'utilisation.

Conditions du chiffrement au repos

Les contraintes suivantes relatives ElastiCache au chiffrement au repos doivent être prises en compte lorsque vous planifiez la mise en œuvre du ElastiCache chiffrement au repos :

  • Le chiffrement au repos est pris en charge sur les groupes de réplication exécutant Valkey 7.2 et versions ultérieures, ainsi que sur OSS les versions Redis (3.2.6 prévueEOL, voir calendrier de fin de vie des OSS versions Redis), 4.0.10 ou versions ultérieures.

  • Le chiffrement au repos n'est pris en charge que pour les groupes de réplication exécutés dans un AmazonVPC.

  • Le chiffrement au repos est pris en charge uniquement pour les groupes de réplication exécutant les types de nœud suivants.

    • R6gd, R6g, R5, R4, R3

    • M6g, M5, M4, M3

    • T4g,T3, T2

    Pour plus d'informations, consultez Types de nœuds pris en charge

  • Le chiffrement au repos est activé par la définition explicite du paramètre AtRestEncryptionEnabled sur true.

  • Le chiffrement au repos peut être activé sur un groupe de réplication uniquement lorsque vous créez le groupe de réplication. Vous ne pouvez pas activer et désactiver le chiffrement au repos en modifiant un groupe de réplication. Pour plus d'informations sur l'implémentation du chiffrement au repos sur un groupe de réplication existant, consultez Activation du chiffrement au repos.

  • Si un cluster utilise un type de nœud de la famille r6gd, les données qui y sont stockées sont chiffrées, que le SSD chiffrement au repos soit activé ou non.

  • L'option permettant d'utiliser une clé gérée par le client pour le chiffrement au repos n'est pas disponible dans les régions AWS GovCloud (us-gov-east us-gov-west-1 et -1).

  • Si un cluster utilise un type de nœud de la famille r6gd, les données qui y sont stockées sont chiffrées avec la AWS KMS clé gérée par le client choisie (ou avec le chiffrement géré par le service dans les régions). SSD AWS GovCloud

  • Avec Memcached, le chiffrement au repos n'est pris en charge que sur les caches sans serveur.

  • Lorsque vous utilisez Memcached, l'option permettant d'utiliser une clé gérée par le client pour le chiffrement au repos n'est pas disponible dans les AWS GovCloud régions (us-gov-east-1 et us-gov-west -1).

L'implémentation du chiffrement au repos peut réduire la performance lors des opérations de sauvegarde et de synchronisation de nœud. Référencez le chiffrement au repos en comparaison avec l'absence de chiffrement sur vos propres données pour déterminer l'impact sur la performance pour votre cas d'utilisation.

Utilisation de clés gérées par le client depuis AWS KMS

ElastiCache prend en charge les AWS KMS clés symétriques gérées par le client (KMSclé) pour le chiffrement au repos. Les KMS clés gérées par le client sont des clés de chiffrement que vous créez, détenez et gérez dans votre AWS compte. Pour plus d'informations, consultez la section sur AWS KMSles clés dans le guide du développeur du service de gestion des AWS clés. Les clés doivent être créées AWS KMS avant de pouvoir être utilisées avec ElastiCache.

Pour savoir comment créer des clés AWS KMS root, consultez la section Création de clés dans le guide du développeur du service de gestion des AWS clés.

ElastiCache vous permet de vous intégrer à AWS KMS. Pour plus d'informations, veuillez consulter Utilisation d'octrois dans le Guide du développeur AWS Key Management Service. Aucune action du client n'est requise pour activer ElastiCache l'intégration d'Amazon avec AWS KMS.

La clé de kms:ViaService condition limite l'utilisation d'une AWS KMS clé (KMSclé) aux demandes provenant de AWS services spécifiques. À utiliser kms:ViaService avec ElastiCache, incluez les deux ViaService noms dans la valeur de la clé de condition : elasticache.AWS_region.amazonaws.com etdax.AWS_region.amazonaws.com. Pour plus d'informations, voir kms : ViaService.

Vous pouvez l'AWS CloudTrailutiliser pour suivre les demandes qu'Amazon ElastiCache envoie AWS Key Management Service en votre nom. Tous les API appels AWS Key Management Service relatifs aux clés gérées par le client ont des CloudTrail journaux correspondants. Vous pouvez également voir les subventions ElastiCache créées en appelant l'ListGrantsKMSAPIappel.

Une fois un groupe de réplication chiffré à l'aide d'une clé gérée par le client, toutes les sauvegardes pour le groupe de réplication sont chiffrées comme suit :

  • Les sauvegardes quotidiennes automatiques sont chiffrées à l'aide de la clé gérée par le client associée au cluster.

  • La sauvegarde finale créée quand le groupe de réplication est supprimé est également chiffrée à l'aide de la clé gérée par le client associée au groupe de réplication.

  • Les sauvegardes créées manuellement sont chiffrées par défaut pour utiliser la KMS clé associée au groupe de réplication. Vous pouvez la remplacer en choisissant une autre clé gérée par le client.

  • Copier une sauvegarde revient à utiliser une clé gérée par le client associée à la sauvegarde de la source. Vous pouvez la remplacer en choisissant une autre clé gérée par le client.

Note
  • Les clés gérées par le client ne peuvent pas être utilisées lorsque vous exportez des sauvegardes vers le compartiment Amazon S3 sélectionné. Cependant, toutes les sauvegardes exportées vers Amazon S3 sont chiffrées à l'aide du Chiffrement côté client. Vous pouvez choisir de copier le fichier de sauvegarde vers un nouvel objet S3 et de le chiffrer à l'aide d'une KMS clé gérée par le client, de copier le fichier dans un autre compartiment S3 configuré avec le chiffrement par défaut à l'aide d'une KMS clé ou de modifier une option de chiffrement dans le fichier lui-même.

  • Vous pouvez toujours utiliser des clés gérées par le client pour chiffrer des sauvegardes manuellement créées pour les groupes de réplication qui n'utilisent pas de clés gérées par le client pour le chiffrement. Avec cette option, le fichier de sauvegarde stocké dans Amazon S3 est chiffré à l'aide d'une KMS clé, même si les données ne sont pas chiffrées sur le groupe de réplication d'origine.

La restauration à partir d'une sauvegarde vous permet de choisir parmi les options de chiffrement disponibles, comme pour les choix de chiffrement disponibles lors de la création d'un nouveau groupe de réplication.

  • Si vous supprimez la clé ou si vous la désactivez et révoquez les octrois pour la clé que vous avez utilisée pour chiffrer un cache, ce dernier devient irrécupérable. En d'autres termes, il ne peut pas être modifié ou restauré après une panne matérielle. AWS KMSsupprime les clés root uniquement après une période d'attente d'au moins sept jours. Une fois la clé supprimée, vous pouvez utiliser une autre clé gérée par le client afin de créer une sauvegarde à des fins d'archive.

  • La rotation automatique des touches préserve les propriétés de vos clés AWS KMS racines, de sorte que la rotation n'a aucun effet sur votre capacité à accéder à vos ElastiCache données. Les ElastiCache caches Amazon chiffrés ne prennent pas en charge la rotation manuelle des clés, qui implique la création d'une nouvelle clé racine et la mise à jour des références à l'ancienne clé. Pour en savoir plus, consultez Rotation AWS KMS des clés dans le guide du développeur du service de gestion des AWS clés.

  • Le chiffrement d'un ElastiCache cache à l'aide d'une KMS clé nécessite une autorisation par cache. Cet octroi est utilisé pendant toute la durée de vie du cache. De plus, un octroi par sauvegarde est utilisé pendant la création de la sauvegarde. Cet octroi est retiré une fois la sauvegarde créée.

  • Pour plus d'informations sur les AWS KMS autorisations et les limites, consultez la section Limites du Guide du développeur du service de gestion des AWS clés.

Activation du chiffrement au repos

Le chiffrement au repos est activé pour tous les caches sans serveur.

Lorsque vous créez un cluster auto-conçu, vous pouvez activer le chiffrement au repos en définissant le paramètre AtRestEncryptionEnabled sur true. Vous ne pouvez pas activer le chiffrement au repos sur les groupes de réplication existants.

Vous pouvez activer le chiffrement au repos lorsque vous créez un ElastiCache cache. Vous pouvez le faire en utilisant le AWS Management Console AWS CLI, le ou le ElastiCache API.

Lorsque vous créez un cache, vous pouvez sélectionner l’une des options suivantes :

  • Par défaut : cette option utilise le chiffrement au repos géré par service.

  • Clé gérée par le client : cette option vous permet de fournir l'identifiant ou le formulaire ARN de clé AWS KMS pour le chiffrement au repos.

Pour savoir comment créer des clés AWS KMS root, consultez la section Créer des clés dans le guide du développeur du service de gestion des AWS clés

Vous ne pouvez activer le chiffrement au repos que lorsque vous créez un groupe de réplication Valkey ou RedisOSS. Si vous disposez déjà d'un groupe de réplication sur lequel vous souhaitez activer le chiffrement au repos, procédez comme suit.

Pour activer le chiffrement au repos sur un groupe de réplication existant
  1. Créez une sauvegarde manuelle de votre groupe de réplication existant. Pour de plus amples informations, veuillez consulter Réalisation de sauvegardes manuelles.

  2. Créez un groupe de réplication en restaurant la sauvegarde. Sur le nouveau groupe de réplication, activez le chiffrement au repos. Pour de plus amples informations, veuillez consulter Restauration à partir d’une sauvegarde dans un nouveau cache.

  3. Dans votre application, mettez à jour les points de terminaison pour pointer vers le nouveau groupe de réplication.

  4. Supprimez l'ancien groupe de réplication. Pour plus d’informations, consultez Supprimer un cluster dans ElastiCache ou Suppression d'un groupe de réplication.

Activation du chiffrement au repos à l'aide du AWS Management Console

Le chiffrement au repos est activé pour tous les caches sans serveur. Par défaut, une KMS clé AWS appartenant à l'utilisateur est utilisée pour chiffrer les données. Pour choisir votre propre AWS KMS clé, effectuez les sélections suivantes :

  • Développez la section Paramètres par défaut.

  • Choisissez Personnaliser les paramètres par défaut dans la section Paramètres par défaut.

  • Choisissez Personnaliser vos paramètres de sécurité dans la section Sécurité.

  • Choisissez Client géré CMK sous Paramètre de clé de chiffrement.

  • Sélectionnez une clé sous le paramètre CléAWS KMS .

Lorsque vous concevez votre propre cache, le chiffrement au repos est activé à l’aide de la clé Par défaut pour les configurations « Dev/Test » et « Production » avec la méthode « Création facile ». Lorsque vous choisissez vous-même la configuration, effectuez les sélections suivantes :

  • Choisissez la version 3.2.6, 4.0.10 ou ultérieure en tant que version de moteur.

  • Cochez la case en regard de Activer pour l’option Chiffrement au repos.

  • Choisissez une clé par défaut ou une clé gérée par le client CMK.

Pour la step-by-step procédure, reportez-vous à la section suivante :

Activation du chiffrement au repos à l'aide du AWS CLI

Pour activer le chiffrement au repos lors de la création d'un OSS cluster Valkey ou Redis à l'aide du AWS CLI, utilisez le at-rest-encryption-enabled paramètre -- lors de la création d'un groupe de réplication.

L'opération suivante crée le groupe de réplication Valkey ou Redis OSS (mode cluster désactivé) my-classic-rg avec trois nœuds (-- num-cache-clusters), une réplique principale et deux répliques en lecture. Le chiffrement au repos est activé pour ce groupe de réplication (-- at-rest-encryption-enabled).

Les paramètres suivants, ainsi que leurs valeurs, sont nécessaires à l'activation du chiffrement sur ce groupe de réplication :

Paramètres clés
  • --engine—Ça doit être valkey ou. redis

  • --engine-version—Si le moteur est RedisOSS, il doit être 3.2.6, 4.0.10 ou version ultérieure.

  • --at-rest-encryption-enabled : requis pour activer le chiffrement au repos.

Exemple 1 : Cluster Valkey ou Redis OSS (mode cluster désactivé) avec répliques

Pour Linux, macOS ou Unix :

aws elasticache create-replication-group \ --replication-group-id my-classic-rg \ --replication-group-description "3 node replication group" \ --cache-node-type cache.m4.large \ --engine redis \ --at-rest-encryption-enabled \ --num-cache-clusters 3

Pour Windows :

aws elasticache create-replication-group ^ --replication-group-id my-classic-rg ^ --replication-group-description "3 node replication group" ^ --cache-node-type cache.m4.large ^ --engine redis ^ --at-rest-encryption-enabled ^ --num-cache-clusters 3 ^

Pour plus d'informations, consultez les éléments suivants :

 

L'opération suivante crée le groupe de réplication Valkey ou Redis OSS (mode cluster activé) my-clustered-rg avec trois groupes de nœuds ou fragments (--). num-node-groups Chacun possède trois nœuds, un nœud principal et deux répliques de lecture (-- replicas-per-node-group). Le chiffrement au repos est activé pour ce groupe de réplication (-- at-rest-encryption-enabled).

Les paramètres suivants, ainsi que leurs valeurs, sont nécessaires à l'activation du chiffrement sur ce groupe de réplication :

Paramètres clés
  • --engine—Ça doit être valkey ou. redis

  • --engine-version—Si le moteur est RedisOSS, il doit être 4.0.10 ou version ultérieure.

  • --at-rest-encryption-enabled : requis pour activer le chiffrement au repos.

  • --cache-parameter-group : doit indiquer default-redis4.0.cluster.on ou l'un de ses dérivés afin de faire de ce cluster un groupe de réplication activé sur le mode.

Exemple 2 : Un cluster Valkey ou Redis OSS (mode cluster activé)

Pour Linux, macOS ou Unix :

aws elasticache create-replication-group \ --replication-group-id my-clustered-rg \ --replication-group-description "redis clustered cluster" \ --cache-node-type cache.m3.large \ --num-node-groups 3 \ --replicas-per-node-group 2 \ --engine redis \ --engine-version 6.2 \ --at-rest-encryption-enabled \ --cache-parameter-group default.redis6.x.cluster.on

Pour Windows :

aws elasticache create-replication-group ^ --replication-group-id my-clustered-rg ^ --replication-group-description "redis clustered cluster" ^ --cache-node-type cache.m3.large ^ --num-node-groups 3 ^ --replicas-per-node-group 2 ^ --engine redis ^ --engine-version 6.2 ^ --at-rest-encryption-enabled ^ --cache-parameter-group default.redis6.x.cluster.on

Pour plus d'informations, consultez les éléments suivants :

consultez aussi