転送時の DAX 暗号化
Amazon DynamoDB Accelerator (DAX) は、アプリケーションと DAX クラスター間でデータを転送する際の暗号化をサポートするため、厳しい暗号化要件を持つアプリケーションでも DAX を使用できます。
転送中に暗号化を選択するかどうかにかかわらず、アプリケーションと DAX クラスター間のトラフィックは Amazon VPC に残ります。このトラフィックは、クラスターのノードに添付されている VPC 内のプライベート IP を使用して、Elastic Network Interface にルーティングされます。信頼境界として VPC を使用すると、セキュリティグループ、ネットワーク ACL を使用したサブネットセグメンテーション、VPC フロートレースなどのスタンダードツールを使用することで、データのセキュリティを大幅に制御できます。転送中の DAX 暗号化では、このベースラインレベルの機密性が高まり、アプリケーションとクラスター間のすべてのリクエストとレスポンスがトランスポートレベルセキュリティ (TLS) によって暗号化され、クラスターへの接続はクラスター x509 証明書の検証によって認証されます。DAX によってディスクに書き込まれたデータも、DAX クラスターを作成する際に保管時の暗号化 を選択すれば暗号化されます。
DAXなら、転送中の暗号化を簡単に使用できます。新しいクラスターを作成するときにこのオプションを選択するだけです。そして最近のバージョンの DAX クライアントアプリケーションに保管します。転送中に暗号化を使用するクラスターは、暗号化されていないトラフィックをサポートしないため、アプリケーションを誤って設定したり、暗号化をバイパスしたりすることはありません。DAX クライアントは、接続を確立するときに、クラスターの x509 証明書を使用してクラスターのアイデンティティを認証し、DAX リクエストが意図した場所に確実に送信されるようにします。DAX クラスターの作成方法はすべて (AWS Management Console、AWS CLI、すべての SDK、AWS CloudFormation)、転送中の暗号化をサポートします。
転送中の暗号化は、既存の DAX クラスターでは有効にできません。既存の DAX アプリケーションで転送中の暗号化を使用するには、転送中の暗号化を有効にした新しいクラスターを作成し、アプリケーションのトラフィックをそのクラスターに移行してから、古いクラスターを削除します。