Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »

での保管時の暗号化 ElastiCache

PDF
RSS
フォーカスモード
での保管時の暗号化 ElastiCache - Amazon ElastiCache
制約からのカスタマーマネージドキーの使用 AWS KMS保管時の暗号化を有効にする以下の資料も参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

データの安全性を維持するために、Amazon ElastiCache と Amazon S3 では、キャッシュ内のデータへのアクセスを制限するさまざまな方法が用意されています。詳細については、Amazon VPC と ElastiCache のセキュリティおよびAmazon の Identity and Access Management ElastiCacheを参照してください。

ElastiCache 保管時の暗号化は、ディスク上のデータを暗号化することでデータセキュリティを強化する機能です。この機能はサーバーレスキャッシュでは常に有効になっています。有効にすると、次の要素が暗号化されます。

  • 同期、バックアップ、およびスワップオペレーション中のディスク

  • バックアップは Amazon S3 に保存されます。

データ階層化が有効なクラスターの SSDs (ソリッドステートドライブ) に保存されているデータは常に暗号化されます。

ElastiCache は、保管時のデフォルトの (サービスマネージド) 暗号化と、 AWS Key Management Service (KMS) で独自の対称カスタマーマネージド AWS KMSキーを使用する機能を提供します。キャッシュをバックアップするときに、暗号化オプションで、デフォルトの暗号化キーを使用するか、カスタマー管理のキーを使用するかを選択します。詳細については、「保管時の暗号化を有効にする」を参照してください。

注記

デフォルトの (サービスマネージド) 暗号化は、 GovCloud (米国) リージョンで使用できる唯一のオプションです。

重要

既存の独自設計型 Valkey または Redis OSSクラスターで保管時の暗号化を有効にするには、レプリケーショングループでバックアップと復元を実行した後、既存のレプリケーショングループを削除する必要があります。

保管時の暗号化は、キャッシュに対してその作成時にのみ有効にできます。データの暗号化と復号を行うにはある程度の処理が必要であるため、保管時の暗号化を有効にすると、これらのオペレーションの実行中のパフォーマンスに影響を与える可能性があります。保管時の暗号化の使用時と未使用時でデータのベンチマークを取得して、ユースケースにおけるパフォーマンスの影響を判断する必要があります。

保管時の暗号化の条件

保管 ElastiCache 時の暗号化の実装を計画する際は、保管時の ElastiCache 暗号化に関する以下の制約事項に留意する必要があります。

  • 保管時の暗号化は、Valkey 7.2 以降を実行しているレプリケーショングループ、および Redis OSSバージョン (3.2.6 は に予定されています。EOLRedis OSSバージョンのサポート終了スケジュールを参照してください)、4.0.10 以降でサポートされています。

  • 保管時の暗号化は、Amazon で実行されているレプリケーショングループでのみサポートされますVPC。

  • 保管時の暗号化は、以下のノードタイプを実行しているレプリケーショングループでのみサポートされます。

    • R6gd、R6g、R5、R4、R3

    • M6g、M5、M4、M3

    • T4g、T3、T2

    詳細については、サポートされているノードの種類 を参照してください。

  • 保管時の暗号化は、パラメータ AtRestEncryptionEnabled を明示的に true に設定することで有効化されます。

  • 保管時の暗号化は、レプリケーショングループの作成時にのみレプリケーショングループで有効にできます。レプリケーショングループを変更して保管時の暗号化のオンとオフを切り替えることはできません。既存のレプリケーショングループ上への保管時の暗号化の実装の詳細については、「保管時の暗号化を有効にする」を参照してください。

  • クラスターが r6gd ファミリーのノードタイプを使用している場合、 に保存されているデータは、保管時のSSD暗号化が有効になっているかどうかにかかわらず暗号化されます。

  • 保管時の暗号化にカスタマーマネージドキーを使用するオプションは、 AWS GovCloud (us-gov-east-1 および us-gov-west-1) リージョンでは使用できません。

  • クラスターが r6gd ファミリーのノードタイプを使用している場合、 に保存されているデータは、選択したカスタマーマネージド AWS KMSキー (または AWS GovCloud リージョンのサービスマネージドSSD暗号化) で暗号化されます。

  • Memcached の場合、保管時の暗号化は、サーバーレスキャッシュでのみサポートされます。

  • Memcached を使用する場合、保管時の暗号化にカスタマーマネージドキーを使用するオプションはGovCloud 、 (us-gov-east-1 および us-gov-west-1) リージョンで AWS は使用できません。

保管時の暗号化を実装することで、バックアップオペレーションおよびノード同期オペレーションの実行中にパフォーマンスが低下する場合があります。自身のデータで保管時の暗号化使用時のベンチマークを暗号化なしの場合と比較して、実装におけるパフォーマンスの影響を判断してください。

からのカスタマーマネージドキーの使用 AWS KMS

ElastiCache は、保管時の暗号化に対称カスタマーマネージド AWS KMSキー (KMS キー) をサポートしています。カスタマーマネージドKMSキーは、 AWS アカウントで作成、所有、管理する暗号化キーです。詳細については、AWS KMS「 Key AWS Management Service デベロッパーガイド」の「 キー」を参照してください。キーは、 で使用する前に で AWS KMS作成する必要があります ElastiCache。

ルートキーの作成 AWS KMS方法については、「 Key AWS Management Service デベロッパーガイド」の「キーの作成」を参照してください。

ElastiCache を使用すると、 と統合できます AWS KMS。詳細については、AWS Key Management Service デベロッパーガイドの「付与の使用」を参照してください。Amazon と ElastiCache の統合を有効にするために、お客様のアクションは必要ありません AWS KMS。

kms:ViaService 条件キーは、 AWS KMS キー (KMS キー) の使用を、指定された AWS サービスからのリクエストに制限します。kms:ViaService で使用するには ElastiCache、条件キー値 elasticache.AWS_region.amazonaws.comと に両方の ViaService 名前を含めますdax.AWS_region.amazonaws.com。詳細については、kms:ViaService を参照してください。

を使用してAWS CloudTrail、Amazon がユーザーに代わって ElastiCache に送信する AWS Key Management Service リクエストを追跡できます。カスタマーマネージドキー AWS Key Management Service に関連する へのすべてのAPI呼び出しには、対応する CloudTrail ログがあります。また、 ListGrantsKMSAPI呼び出しを呼び出して が ElastiCache 作成する権限を確認することもできます。

カスタマー管理のキーを使用してレプリケーショングループが暗号化されると、レプリケーショングループのすべてのバックアップは以下のように暗号化されます。

  • 毎日の自動バックアップは、クラスターに関連付けられたカスタマー管理のキーを使用して暗号化されます。

  • レプリケーショングループが削除されたときに作成される最終バックアップも、レプリケーショングループに関連付けられたカスタマー管理のキーを使用して暗号化されます。

  • 手動で作成されたバックアップは、レプリケーショングループに関連付けられたKMSキーを使用するようにデフォルトで暗号化されます。この動作は、別のカスタマー管理のキーを選択して上書きできます。

  • バックアップをコピーするとき、デフォルトでは、ソースバックアップに関連付けられたカスタマー管理のキーが使用されます。この動作は、別のカスタマー管理のキーを選択して上書きできます。

注記

  • 選択した Amazon S3 バケットにバックアップをエクスポートするとき、カスタマー管理のキーは使用できません。ただし、Amazon S3 にエクスポートされたすべてのバックアップは、サーバー側の暗号化を使用して暗号化されます。バックアップファイルを新しい S3 オブジェクトにコピーし、カスタマーマネージドKMSキーを使用して暗号化するか、KMSキーを使用してデフォルトの暗号化で設定された別の S3 バケットにファイルをコピーするか、ファイル自体の暗号化オプションを変更することができます。

  • また、暗号化にカスタマー管理のキーを使用しないレプリケーショングループに手動で作成されたバックアップを、カスタマー管理のキーを使用して暗号化することもできます。このオプションでは、データが元のレプリケーショングループで暗号化されていない場合でも、Amazon S3 に保存されているバックアップファイルはKMSキーを使用して暗号化されます。

バックアップから復元するときは、新しいレプリケーショングループの作成時に使用できるものと同様の暗号化オプションから選択できます。

  • キーを削除するか、キーを‭無効化‭して‬、キャッシュの暗号化に使用したキーの‭‬許可を取り消す‭と、キャッシュは回復不可能になります。‬‬‬‬‬‬‬‬‬‬‬‬ つまり、ハードウェア障害後に変更または復旧することはできません。 AWS KMS は、少なくとも 7 日間の待機期間後にのみルートキーを削除します。キーが削除された後、別のカスタマー管理のキーを使用して、アーカイブ目的のバックアップを作成できます。

  • 自動キーローテーションはルートキーの AWS KMSプロパティを保持するため、ローテーションは ElastiCache データにアクセスする機能には影響しません。暗号化された Amazon ElastiCache キャッシュは、新しいルートキーの作成と古いキーへの参照の更新を含む手動キーローテーションをサポートしていません。詳細については、「 Key AWS Management Service デベロッパーガイド」のAWS KMS「キーのローテーション」を参照してください。

  • KMS キーを使用して ElastiCache キャッシュを暗号化するには、キャッシュごとに 1 つの許可が必要です。この許可はキャッシュの有効期間を通じて使用されます。また、バックアップの作成中、バックアップごとに 1 つの許可が使用されます。この許可はバックアップの作成後に無効になります。

  • 許可と制限の詳細については AWS KMS、AWS 「 Key Management Service デベロッパーガイド」の「制限」を参照してください。

保管時の暗号化を有効にする

すべてのサーバーレスキャッシュでは、保管時の暗号化が有効になっています。

独自設計型クラスターを作成する場合は、パラメータ AtRestEncryptionEnabledtrue に設定することで保管時の暗号化を有効にできます。既存のレプリケーショングループ上で保管時の暗号化を有効にすることはできません。

ElastiCache キャッシュを作成するときに、保管時の暗号化を有効にできます。これを行うには AWS Management Console、、 AWS CLI、または を使用します ElastiCache API。

キャッシュを作成するときに、以下のオプションのいずれかを選択できます。

  • デフォルト - このオプションでは、サービス管理の保存時の暗号化が使用されます。

  • カスタマーマネージドキー – このオプションでは、保管時の暗号化のために から AWS KMSキー ID/ARN を指定できます。

ルートキーの作成 AWS KMS方法については、「 Key Management Service デベロッパーガイド」の「キーの作成」を参照してください。 AWS

保管時の暗号化は、Valkey または Redis OSSレプリケーショングループを作成するときにのみ有効にできます。保管時の暗号化を有効化したい既存レプリケーショングループがある場合は、次の操作を行います。

既存のレプリケーショングループ上で保管時の暗号化を有効にするには

  1. 既存のレプリケーショングループの手動バックアップを作成します。詳細については、「手動バックアップの取得」を参照してください。

  2. バックアップから復元して新しいレプリケーショングループを作成します。新しいレプリケーショングループで、保管時の暗号化を有効にします。詳細については、「バックアップから新しいキャッシュへの復元」を参照してください。

  3. アプリケーションのエンドポイントを、新しいレプリケーショングループのエンドポイントに更新します。

  4. 古いレプリケーショングループを削除します。詳細については、でのクラスターの削除 ElastiCache または レプリケーショングループの削除 を参照してください。

保管時の暗号化は、Valkey または Redis OSSレプリケーショングループを作成するときにのみ有効にできます。保管時の暗号化を有効化したい既存レプリケーショングループがある場合は、次の操作を行います。

既存のレプリケーショングループ上で保管時の暗号化を有効にするには

  1. 既存のレプリケーショングループの手動バックアップを作成します。詳細については、「手動バックアップの取得」を参照してください。

  2. バックアップから復元して新しいレプリケーショングループを作成します。新しいレプリケーショングループで、保管時の暗号化を有効にします。詳細については、「バックアップから新しいキャッシュへの復元」を参照してください。

  3. アプリケーションのエンドポイントを、新しいレプリケーショングループのエンドポイントに更新します。

  4. 古いレプリケーショングループを削除します。詳細については、でのクラスターの削除 ElastiCache または レプリケーショングループの削除 を参照してください。

を使用した保管時の暗号化の有効化 AWS Management Console

すべてのサーバーレスキャッシュでは、保管時の暗号化が有効になっています。デフォルトでは、 AWS所有KMSキーはデータの暗号化に使用されます。独自の AWS KMS キーを選択するには、次の選択を行います。

  • [デフォルト設定] セクションを展開します。

  • [デフォルト設定] セクションで [デフォルト設定をカスタマイズ] を選択します。

  • [セキュリティ] セクションで [セキュリティ設定をカスタマイズ] を選択します。

  • 暗号化キー設定でカスタマー管理CMKを選択します。

  • [AWS KMS キー] 設定でキーを選択します。

すべてのサーバーレスキャッシュでは、保管時の暗号化が有効になっています。デフォルトでは、 AWS所有KMSキーはデータの暗号化に使用されます。独自の AWS KMS キーを選択するには、次の選択を行います。

  • [デフォルト設定] セクションを展開します。

  • [デフォルト設定] セクションで [デフォルト設定をカスタマイズ] を選択します。

  • [セキュリティ] セクションで [セキュリティ設定をカスタマイズ] を選択します。

  • 暗号化キー設定でカスタマー管理CMKを選択します。

  • [AWS KMS キー] 設定でキーを選択します。

独自のキャッシュを設計する場合、[簡易作成] 方式の [開発/テスト] 設定と [本番稼働用]設定では、[デフォルト] キーを使用する保管時の暗号化が有効になっています。設定を自分で選択するときは、以下のように選択します。

  • エンジンのバージョンとしてバージョン 3.2.6、4.0.10 またはそれ以降を選択します。

  • [保管時の暗号化] オプションの [有効化] の横にあるチェックボックスをオンにします。

  • デフォルトキーまたはカスタマー管理の CMKを選択します。

手順については step-by-step、以下を参照してください。

独自のキャッシュを設計する場合、[簡易作成] 方式の [開発/テスト] 設定と [本番稼働用]設定では、[デフォルト] キーを使用する保管時の暗号化が有効になっています。設定を自分で選択するときは、以下のように選択します。

  • エンジンのバージョンとしてバージョン 3.2.6、4.0.10 またはそれ以降を選択します。

  • [保管時の暗号化] オプションの [有効化] の横にあるチェックボックスをオンにします。

  • デフォルトキーまたはカスタマー管理の CMKを選択します。

手順については step-by-step、以下を参照してください。

を使用した保管時の暗号化の有効化 AWS CLI

を使用して Valkey または Redis OSSクラスターを作成するときに保管時の暗号化を有効にするには AWS CLI、レプリケーショングループを作成するときに --at-rest-encryption-enabled パラメータを使用します。

次のオペレーションでは、プライマリと 2 つのリードレプリカである 3 つのノード OSS (--num-cache-clusters) my-classic-rgを持つ Valkey または Redis (クラスターモードが無効) レプリケーショングループを作成します。このレプリケーショングループ (--at-rest-encryption-enabled) では、保管時の暗号化が有効になっています。

以下のパラメータとその値は、このレプリケーショングループで暗号化を有効にするために必要です。

主要パラメータ

  • --enginevalkey または redis を指定する必要があります。

  • --engine-version— エンジンが Redis の場合OSS、これは 3.2.6、4.0.10 以降である必要があります。

  • --at-rest-encryption-enabled — 保管時の暗号化に必要です。

例 1: レプリカを持つ Valkey または Redis OSS (クラスターモードが無効) クラスター

Linux、macOS、Unix の場合:

aws elasticache create-replication-group \
    --replication-group-id my-classic-rg \
    --replication-group-description "3 node replication group" \
    --cache-node-type cache.m4.large \
    --engine redis \    
    --at-rest-encryption-enabled \  
    --num-cache-clusters 3

Windows の場合:

aws elasticache create-replication-group ^
    --replication-group-id my-classic-rg ^
    --replication-group-description "3 node replication group" ^
    --cache-node-type cache.m4.large ^
    --engine redis ^    
    --at-rest-encryption-enabled ^  
    --num-cache-clusters 3 ^

詳細については、以下を参照してください。

 

次のオペレーションでは、プライマリと 2 つのリードレプリカである 3 つのノード OSS (--num-cache-clusters) my-classic-rgを持つ Valkey または Redis (クラスターモードが無効) レプリケーショングループを作成します。このレプリケーショングループ (--at-rest-encryption-enabled) では、保管時の暗号化が有効になっています。

以下のパラメータとその値は、このレプリケーショングループで暗号化を有効にするために必要です。

主要パラメータ

  • --enginevalkey または redis を指定する必要があります。

  • --engine-version— エンジンが Redis の場合OSS、これは 3.2.6、4.0.10 以降である必要があります。

  • --at-rest-encryption-enabled — 保管時の暗号化に必要です。

例 1: レプリカを持つ Valkey または Redis OSS (クラスターモードが無効) クラスター

Linux、macOS、Unix の場合:

aws elasticache create-replication-group \
    --replication-group-id my-classic-rg \
    --replication-group-description "3 node replication group" \
    --cache-node-type cache.m4.large \
    --engine redis \    
    --at-rest-encryption-enabled \  
    --num-cache-clusters 3

Windows の場合:

aws elasticache create-replication-group ^
    --replication-group-id my-classic-rg ^
    --replication-group-description "3 node replication group" ^
    --cache-node-type cache.m4.large ^
    --engine redis ^    
    --at-rest-encryption-enabled ^  
    --num-cache-clusters 3 ^

詳細については、以下を参照してください。

 

次のオペレーションでは、3 つのノードグループまたはシャード OSS (--num-node-groups) my-clustered-rgを持つ Valkey または Redis (クラスターモードが有効) レプリケーショングループを作成します。各 には、プライマリと 2 つのリードレプリカ (--replicas-per-node-group) の 3 つのノードがあります。このレプリケーショングループ (--at-rest-encryption-enabled) では、保管時の暗号化が有効になっています。

以下のパラメータとその値は、このレプリケーショングループで暗号化を有効にするために必要です。

主要パラメータ

  • --enginevalkey または redis を指定する必要があります。

  • --engine-version— エンジンが Redis の場合OSS、これは 4.0.10 以降である必要があります。

  • --at-rest-encryption-enabled — 保管時の暗号化に必要です。

  • --cache-parameter-groupdefault-redis4.0.cluster.on、またはこれをクラスターモードが有効なレプリケーショングループにするために、それから算出されたいずれかに指定する必要があります。

例 2: Valkey または Redis OSS (クラスターモードが有効) クラスター

Linux、macOS、Unix の場合:

aws elasticache create-replication-group \
   --replication-group-id my-clustered-rg \
   --replication-group-description "redis clustered cluster" \
   --cache-node-type cache.m3.large \
   --num-node-groups 3 \
   --replicas-per-node-group 2 \
   --engine redis \
   --engine-version 6.2 \
   --at-rest-encryption-enabled \
   --cache-parameter-group default.redis6.x.cluster.on

Windows の場合:

aws elasticache create-replication-group ^
   --replication-group-id my-clustered-rg ^
   --replication-group-description "redis clustered cluster" ^
   --cache-node-type cache.m3.large ^
   --num-node-groups 3 ^
   --replicas-per-node-group 2 ^
   --engine redis ^
   --engine-version 6.2 ^
   --at-rest-encryption-enabled ^
   --cache-parameter-group default.redis6.x.cluster.on

詳細については、以下を参照してください。

次のオペレーションでは、3 つのノードグループまたはシャード OSS (--num-node-groups) my-clustered-rgを持つ Valkey または Redis (クラスターモードが有効) レプリケーショングループを作成します。各 には、プライマリと 2 つのリードレプリカ (--replicas-per-node-group) の 3 つのノードがあります。このレプリケーショングループ (--at-rest-encryption-enabled) では、保管時の暗号化が有効になっています。

以下のパラメータとその値は、このレプリケーショングループで暗号化を有効にするために必要です。

主要パラメータ

  • --enginevalkey または redis を指定する必要があります。

  • --engine-version— エンジンが Redis の場合OSS、これは 4.0.10 以降である必要があります。

  • --at-rest-encryption-enabled — 保管時の暗号化に必要です。

  • --cache-parameter-groupdefault-redis4.0.cluster.on、またはこれをクラスターモードが有効なレプリケーショングループにするために、それから算出されたいずれかに指定する必要があります。

例 2: Valkey または Redis OSS (クラスターモードが有効) クラスター

Linux、macOS、Unix の場合:

aws elasticache create-replication-group \
   --replication-group-id my-clustered-rg \
   --replication-group-description "redis clustered cluster" \
   --cache-node-type cache.m3.large \
   --num-node-groups 3 \
   --replicas-per-node-group 2 \
   --engine redis \
   --engine-version 6.2 \
   --at-rest-encryption-enabled \
   --cache-parameter-group default.redis6.x.cluster.on

Windows の場合:

aws elasticache create-replication-group ^
   --replication-group-id my-clustered-rg ^
   --replication-group-description "redis clustered cluster" ^
   --cache-node-type cache.m3.large ^
   --num-node-groups 3 ^
   --replicas-per-node-group 2 ^
   --engine redis ^
   --engine-version 6.2 ^
   --at-rest-encryption-enabled ^
   --cache-parameter-group default.redis6.x.cluster.on

詳細については、以下を参照してください。

以下の資料も参照してください。

このページの内容

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.