Crittografia At-Rest in ElastiCache - Amazon ElastiCache
VincoliUtilizzo di chiavi gestite dal cliente da AWS KMSAbilitazione della crittografia dei dati inattiviVedi anche

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia At-Rest in ElastiCache

Per proteggere i dati, Amazon ElastiCache e Amazon S3 offrono diversi modi per limitare l'accesso ai dati nella cache. Per ulteriori informazioni, consulta Amazon VPCs e la ElastiCache sicurezza e Identity and Access Management per Amazon ElastiCache.

ElastiCache la crittografia at-rest è una funzionalità che aumenta la sicurezza dei dati crittografando i dati su disco. È sempre abilitata su una cache serverless. Quando è abilitata, esegue la crittografia degli elementi seguenti:

  • Il disco durante la sincronizzazione, operazioni di backup e di swap.

  • I backup archiviati in Amazon S3

I dati archiviati su SSDs (unità a stato solido) in cluster abilitati al tiering dei dati sono sempre crittografati.

ElastiCache offre la crittografia predefinita (gestita dal servizio) a riposo, oltre alla possibilità di utilizzare le proprie AWS KMS chiavi simmetriche gestite dal cliente in AWS Key Management Service (). KMS Quando viene eseguito il backup della cache, nelle opzioni di crittografia scegli se utilizzare la chiave di crittografia predefinita o una chiave gestita dal cliente. Per ulteriori informazioni, consulta Abilitazione della crittografia dei dati inattivi.

Nota

La crittografia predefinita (gestita dal servizio) è l'unica opzione disponibile nelle regioni GovCloud (Stati Uniti).

Importante

L'attivazione della crittografia At-Rest su un OSS cluster Valkey o Redis esistente progettato autonomamente comporta l'eliminazione del gruppo di replica esistente, dopo aver eseguito il backup e il ripristino sul gruppo di replica.

La crittografia dei dati a riposo può essere abilitata su una cache solo quando viene creata. Poiché la crittografia e la decrittografia dei dati richiede l'elaborazione, l'abilitazione della crittografia dei dati inattivi può in parte influire sulle prestazioni durante queste operazioni. È opportuno creare un riferimento per i dati con o senza crittografia dei dati inattivi per determinare l'impatto sulle prestazioni per i propri casi d'uso.

Condizioni di crittografia dei dati inattivi

I seguenti vincoli sulla crittografia a ElastiCache riposo devono essere tenuti presenti quando pianifichi l'implementazione della crittografia a riposo: ElastiCache

  • La crittografia a riposo è supportata nei gruppi di replica che eseguono Valkey 7.2 e versioni successive e nelle versioni Redis (prevista la 3.2.6, vedi la pianificazione di fine del ciclo di vita delle OSS versioni Redis OSS)EOL, 4.0.10 o successive.

  • La crittografia a riposo è supportata solo per i gruppi di replica in esecuzione in Amazon. VPC

  • La crittografia dei dati inattivi è supportata solo per i gruppi di replica in esecuzione sui seguenti tipi di nodi.

    • R6gd, R6g, R5, R4, R3

    • M6g, M5, M4, M3

    • T4g, T3, T2

    Per ulteriori informazioni, consulta Tipi di nodi supportati

  • La crittografia dei dati inattivi è abilitata impostando in maniera esplicita impostando il parametro AtRestEncryptionEnabled su true.

  • Puoi abilitare la crittografia dei dati inattivi su un gruppo di replica solo durante la creazione del gruppo di replica. Non puoi attivare/disattivare la crittografia dei dati inattivi modificando un gruppo di replica. Per informazioni sull'implementazione della crittografia dei dati inattivi su un gruppo di replica esistente, consulta Abilitazione della crittografia dei dati inattivi.

  • Se un cluster utilizza un tipo di nodo della famiglia r6gd, i dati archiviati su SSD di esso vengono crittografati indipendentemente dal fatto che la crittografia a riposo sia abilitata o meno.

  • L'opzione di utilizzare la chiave gestita dal cliente per la crittografia a riposo non è disponibile nelle regioni AWS GovCloud (us-gov-east-1 e us-gov-west -1).

  • Se un cluster utilizza un tipo di nodo della famiglia r6gd, i dati archiviati vengono crittografati con la AWS KMS chiave gestita dal cliente scelta (o la crittografia gestita dal servizio nelle regioni). SSD AWS GovCloud

  • Con Memcached, la crittografia a riposo è supportata solo sulle cache serverless.

  • Quando si utilizza Memcached, l'opzione di utilizzare la chiave gestita dal cliente per la crittografia a riposo non è disponibile nelle AWS GovCloud regioni (-1 e -1). us-gov-east us-gov-west

L'implementazione della crittografia dei dati inattivi può ridurre le prestazioni durante le operazioni di backup e sincronizzazione. Raffronta la crittografia dei dati inattivi con l'assenza di crittografia sui dati per determinare il suo impatto sulle prestazioni per l'implementazione.

Utilizzo di chiavi gestite dal cliente da AWS KMS

ElastiCache supporta AWS KMS chiavi simmetriche gestite dal cliente (KMSchiave) per la crittografia a riposo. Le KMS chiavi gestite dal cliente sono chiavi di crittografia che crei, possiedi e gestisci nel tuo account. AWS Per ulteriori informazioni, consulta le AWS KMSchiavi nella AWS Key Management Service Developer Guide. Le chiavi devono essere create AWS KMS prima di poter essere utilizzate con ElastiCache.

Per informazioni su come creare chiavi AWS KMS root, consulta Creating Keys nella AWS Key Management Service Developer Guide.

ElastiCache consente l'integrazione con AWS KMS. Per ulteriori informazioni, consulta Utilizzo di concessioni nella AWS Guida per gli sviluppatori Key Management Service. Non è necessaria alcuna azione da parte del cliente per abilitare ElastiCache l'integrazione di Amazon con AWS KMS.

La chiave kms:ViaService condizionale limita l'uso di una AWS KMS chiave (KMSchiave) alle richieste provenienti da AWS servizi specifici. Da usare kms:ViaService con ElastiCache, includi entrambi ViaService i nomi nel valore della chiave di condizione: elasticache.AWS_region.amazonaws.com anddax.AWS_region.amazonaws.com. Per ulteriori informazioni, vedere kms: ViaService.

Puoi utilizzarlo AWS CloudTrailper tenere traccia delle richieste a cui Amazon ElastiCache invia per tuo AWS Key Management Service conto. Tutte le API chiamate AWS Key Management Service relative alle chiavi gestite dal cliente hanno CloudTrail i registri corrispondenti. È inoltre possibile visualizzare le sovvenzioni generate ElastiCache chiamando la ListGrantsKMSAPIchiamata.

Dopo che un gruppo di replica viene crittografato mediante le chiavi gestite dal cliente, tutti i backup del gruppo di replica sono crittografati nel modo seguente:

  • I backup automatici giornalieri vengono crittografati utilizzando la chiave gestita dal cliente associata al cluster.

  • Anche il backup finale creato al momento dell'eliminazione del gruppo di replica viene crittografato utilizzando la chiave gestita da cliente associata a gruppo di replica.

  • I backup creati manualmente sono crittografati per impostazione predefinita per utilizzare la KMS chiave associata al gruppo di replica. Puoi sostituirla scegliendo un'altra chiave gestita dal cliente.

  • La copia di un backup viene impostata in modo di default sull'uso della chiave gestita dal cliente associata a backup fonte. Puoi sostituirla scegliendo un'altra CMK gestita dal cliente.

Nota

  • Le chiavi gestite dal cliente non possono essere utilizzate durante l'esportazione dei backup sul bucket Amazon S3 selezionato. Tuttavia, tutti i backup esportati in Amazon S3 vengono crittografati utilizzando la crittografia lato server. Puoi scegliere di copiare il file di backup su un nuovo oggetto S3 e cifrarlo utilizzando una KMS chiave gestita dal cliente, copiare il file in un altro bucket S3 configurato con la crittografia predefinita utilizzando una KMS chiave o modificare un'opzione di crittografia nel file stesso.

  • Puoi anche utilizzare le chiavi gestite dal cliente per crittografare i backup creati manualmente per i gruppi di replica che, per la crittografia, non utilizzano chiave gestite dal cliente. Con questa opzione, il file di backup archiviato in Amazon S3 viene crittografato utilizzando una KMS chiave, anche se i dati non sono crittografati nel gruppo di replica originale.

Il ripristino da un backup consente di scegliere tra le opzioni di crittografia disponibili, come si fa con le opzioni di crittografia disponibili quando si crea un nuovo gruppo di replica.

  • Se elimini o disabiliti la chiave e revochi le assegnazioni della chiave utilizzata per crittografare un gruppo di replica, la cache diventa irrecuperabile. In altre parole, non può essere modificato o ripristinato dopo un guasto hardware. AWS KMSelimina le chiavi principali solo dopo un periodo di attesa di almeno sette giorni. Una volta eliminata la chiave, puoi utilizzare una chiave gestita dal cliente differente per creare un backup per scopi di archiviazione.

  • La rotazione automatica delle chiavi preserva le proprietà delle AWS KMS chiavi principali, quindi la rotazione non ha alcun effetto sulla capacità di accedere ai dati ElastiCache . ElastiCache Le cache Amazon crittografate non supportano la rotazione manuale delle chiavi, che comporta la creazione di una nuova chiave principale e l'aggiornamento di eventuali riferimenti alla vecchia chiave. Per ulteriori informazioni, consulta Rotating AWS KMS keys nella AWS Key Management Service Developer Guide.

  • La crittografia di una ElastiCache cache tramite KMS chiave richiede una concessione per cache. Questa assegnazione viene utilizzata per tutta la durata della cache. Inoltre, durante la creazione del backup viene utilizzata una singola assegnazione per ogni backup. Questa assegnazione viene ritirata una volta creato il backup.

  • Per ulteriori informazioni su AWS KMS concessioni e limiti, consulta Limits nella AWS Key Management Service Developer Guide.

Abilitazione della crittografia dei dati inattivi

Tutte le cache serverless dispongono della crittografia dei dati a riposo abilitata.

Quando si crea un cluster progettato autonomamente, è possibile abilitare la crittografia dei dati a riposo impostando il parametro AtRestEncryptionEnabled su true. Non puoi abilitare la crittografia dei dati inattivi su gruppi di replica esistenti.

È possibile abilitare la crittografia a riposo quando si crea una ElastiCache cache. È possibile farlo utilizzando il AWS Management Console, il AWS CLI, o il ElastiCache API.

Durante la creazione di una cache, puoi scegliere una delle opzioni seguenti:

  • Predefinita – Questa opzione utilizza la crittografia dei dati inattivi gestita dal servizio.

  • Chiave gestita dal cliente: questa opzione consente di fornire l'ID della chiave ARN da utilizzare AWS KMS per la crittografia a riposo.

Per informazioni su come creare chiavi AWS KMS root, consulta Create Keys nella AWS Key Management Service Developer Guide

È possibile abilitare la crittografia at-rest solo quando si crea un gruppo di replica Valkey o Redis. OSS Se disponi di un gruppo di replica esistente su cui desideri abilitare la crittografia dei dati inattivi, procedi nel modo seguente.

Per abilitare la crittografia dei dati inattivi su un gruppo di replica esistente

  1. Creare un backup manuale del gruppo di replica esistente. Per ulteriori informazioni, consulta Esecuzione di backup manuali.

  2. Creare un nuovo gruppo di replica eseguendo il ripristino dal backup. Sul nuovo gruppo di replica, abilitare la crittografia dei dati inattivi. Per ulteriori informazioni, consulta Ripristino da un backup in una nuova cache.

  3. Aggiornare gli endpoint nell'applicazione affinché facciano riferimento al nuovo gruppo di replica.

  4. Eliminare il vecchio gruppo di replica. Per ulteriori informazioni, consulta Eliminazione di un cluster in ElastiCache o Eliminazione di un gruppo di replica.

Abilitazione della crittografia At-Rest utilizzando il AWS Management Console

Tutte le cache serverless dispongono della crittografia dei dati a riposo abilitata. Per impostazione predefinita, viene utilizzata una KMS chiave AWS di proprietà per crittografare i dati. Per scegliere la tua AWS KMS chiave, effettua le seguenti selezioni:

  • Espandi la sezione Impostazioni predefinite.

  • Scegli Personalizza le impostazioni predefinite nella sezione Impostazioni predefinite.

  • Scegli Personalizza le impostazioni di sicurezza nella sezione Sicurezza.

  • Scegli Customer managed CMK in Encryption key setting.

  • Seleziona una chiave nell'impostazione Chiave AWS KMS .

Quando si progetta la propria cache, le configurazioni "Sviluppo/Test" e "Produzione" con il metodo "Crea semplice" hanno la crittografia dei dati a riposo abilitata con la chiave predefinita. Quando scegli la configurazione, procedi come segue:

  • Scegliere la versione 3.2.6, 4.0.10 o successive come versione motore.

  • Fai clic sulla casella di controllo Abilita accanto all'opzione Crittografia dei dati a riposo.

  • Scegli una chiave predefinita o gestita dal cliente. CMK

Per la step-by-step procedura, consulta quanto segue:

Abilitazione della crittografia At-Rest utilizzando il AWS CLI

Per abilitare la crittografia a riposo durante la creazione di un OSS cluster Valkey o Redis utilizzando il AWS CLI, utilizzate il parametro -- at-rest-encryption-enabled durante la creazione di un gruppo di replica.

L'operazione seguente crea il gruppo di replica Valkey o Redis OSS (modalità cluster disabilitata) my-classic-rg con tre nodi (-- num-cache-clusters), una replica principale e due repliche di lettura. La crittografia a riposo è abilitata per questo gruppo di replica (--). at-rest-encryption-enabled

I seguenti parametri e i relativi valori sono necessari per abilitare la crittografia su questo gruppo di replica:

Parametri chiave

  • --engine—Deve essere o. valkey redis

  • --engine-version—Se il motore è RedisOSS, deve essere 3.2.6, 4.0.10 o successivo.

  • --at-rest-encryption-enabled- Richiesto per abilitare la crittografia inattiva.

Esempio 1: Cluster Valkey o Redis OSS (modalità cluster disabilitata) con repliche

Per Linux, macOS o Unix:

aws elasticache create-replication-group \
    --replication-group-id my-classic-rg \
    --replication-group-description "3 node replication group" \
    --cache-node-type cache.m4.large \
    --engine redis \    
    --at-rest-encryption-enabled \  
    --num-cache-clusters 3

Per Windows:

aws elasticache create-replication-group ^
    --replication-group-id my-classic-rg ^
    --replication-group-description "3 node replication group" ^
    --cache-node-type cache.m4.large ^
    --engine redis ^    
    --at-rest-encryption-enabled ^  
    --num-cache-clusters 3 ^

Per ulteriori informazioni, consulta la seguente documentazione:

 

L'operazione seguente crea il gruppo di replica Valkey o Redis OSS (modalità cluster abilitata) my-clustered-rg con tre gruppi di nodi o shard (--). num-node-groups Ciascuno ha tre nodi, una replica principale e due repliche di lettura (--). replicas-per-node-group La crittografia a riposo è abilitata per questo gruppo di replica (--). at-rest-encryption-enabled

I seguenti parametri e i relativi valori sono necessari per abilitare la crittografia su questo gruppo di replica:

Parametri chiave

  • --engine—Deve essere o. valkey redis

  • --engine-version—Se il motore è RedisOSS, deve essere 4.0.10 o successivo.

  • --at-rest-encryption-enabled- Richiesto per abilitare la crittografia inattiva.

  • --cache-parameter-group: deve essere default-redis4.0.cluster.on o uno derivato da esso per rendere questo un gruppo di replica abilitato in modalità cluster.

Esempio 2: Un cluster Valkey o Redis OSS (modalità cluster abilitata)

Per Linux, macOS o Unix:

aws elasticache create-replication-group \
   --replication-group-id my-clustered-rg \
   --replication-group-description "redis clustered cluster" \
   --cache-node-type cache.m3.large \
   --num-node-groups 3 \
   --replicas-per-node-group 2 \
   --engine redis \
   --engine-version 6.2 \
   --at-rest-encryption-enabled \
   --cache-parameter-group default.redis6.x.cluster.on

Per Windows:

aws elasticache create-replication-group ^
   --replication-group-id my-clustered-rg ^
   --replication-group-description "redis clustered cluster" ^
   --cache-node-type cache.m3.large ^
   --num-node-groups 3 ^
   --replicas-per-node-group 2 ^
   --engine redis ^
   --engine-version 6.2 ^
   --at-rest-encryption-enabled ^
   --cache-parameter-group default.redis6.x.cluster.on

Per ulteriori informazioni, consulta la seguente documentazione:

Vedi anche