ElastiCache 転送時の暗号化 (TLS）

データを安全に保つために、Amazon ElastiCache と Amazon EC2はサーバー上のデータの不正アクセスから保護するメカニズムを提供します。転送時の暗号化機能を提供することで、は、ある場所から別の場所に移動しているデータの保護に役立つツール ElastiCache を提供します。

すべてのサーバーレスキャッシュで、転送時の暗号化が有効になっています。独自設計型クラスターの場合、レプリケーショングループの作成時にパラメータを true (CLI：--transit-encryption-enabled) TransitEncryptionEnabled に設定することで、レプリケーショングループで転送時の暗号化を有効にできます。これは、、、 AWS Management Console AWS CLIまたはを使用してレプリケーショングループを作成する場合でも実行できます ElastiCache API。

トピック

転送時の暗号化の概要

Amazon ElastiCache 転送時の暗号化は、ある場所から別の場所への転送中に、最も脆弱なポイントでデータのセキュリティを強化できる機能です。エンドポイントでデータの暗号化と復号を行うにはある程度の処理が必要であるため、転送時の暗号化を有効にするとパフォーマンスに影響を及ぼす可能性があります。転送時の暗号化の使用時と未使用時でデータのベンチマークを取得して、ユースケースにおけるパフォーマンス影響を判断する必要があります。

ElastiCache 転送時の暗号化には、次の機能が実装されています。

暗号化されたクライアント接続 — キャッシュノードへのクライアント接続はTLS暗号化されます。
暗号化されたサーバー接続 — クラスター内のノード間を移動するデータは暗号化されます。
[サーバー認証] — クライアントは、適切なサーバーに接続していることを認証できます。
クライアント認証 — Redis OSSAUTH機能を使用して、サーバーはクライアントを認証できます。

転送時の暗号化の条件

独自設計型クラスターの実装を計画するときは、Amazon の転送 ElastiCache 時の暗号化に関する以下の制約事項に留意する必要があります。

転送時の暗号化は、Redis OSSバージョン 3.2.6、4.0.10 以降を実行するレプリケーショングループでサポートされています。
既存のクラスターの転送時の暗号化設定の変更は、Redis OSSバージョン 7 以降を実行しているレプリケーショングループでサポートされています。
転送時の暗号化は、Amazon で実行されているレプリケーショングループでのみサポートされますVPC。
転送時の暗号化は、MM1, M2 のノードタイプを実行するレプリケーショングループではサポートされていません。

詳細については、「サポートされているノードの種類」を参照してください。
転送時の暗号化は、パラメータ TransitEncryptionEnabled を true に明示的に設定することで有効化されます。
キャッシュクライアントがTLS接続をサポートし、クライアント設定で有効にしていることを確認します。
バージョン TLS 6 以降では、古い 1.0 TLS および 1.1 ElastiCache の使用はすべての AWS リージョンで廃止されています。ElastiCache は、2025 TLS 年 5 月 8 日まで 1.0 および 1.1 を引き続きサポートします。お客様は、その日より前にクライアントソフトウェアを更新する必要があります。

転送時の暗号化のベストプラクティス

エンドポイントでデータの暗号化と復号を行うにはある程度の処理が必要であるため、転送時の暗号化の実装によりパフォーマンスが低下する可能性があります。自身のデータで転送時の暗号化使用時のベンチマークを暗号化なしの場合と比較して、実装におけるパフォーマンスの影響を判断してください。
新しい接続の作成にはコストがかかる可能性があるため、TLS接続を永続化することで、転送中の暗号化のパフォーマンスへの影響を軽減できます。

以下も参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Amazon のデータセキュリティ ElastiCache

転送時の暗号化を有効にする