As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criptografia em repouso em ElastiCache
Para ajudar a manter seus dados seguros, a Amazon ElastiCache e o Amazon S3 oferecem maneiras diferentes de restringir o acesso aos dados em seu cache. Para ter mais informações, consulte Amazon VPCs e ElastiCache segurança e Identity and Access Management para Amazon ElastiCache.
ElastiCache a criptografia em repouso é um recurso para aumentar a segurança dos dados criptografando dados em disco. Ela está sempre habilitada em um cache sem servidor. Quando habilitada, ela criptografa os seguintes aspectos:
-
Disco durante as operações de sincronização, backup e swap
-
Backups armazenados no Amazon S3
Os dados armazenados em SSDs (unidades de estado sólido) em clusters habilitados para armazenamento de dados em camadas são sempre criptografados.
ElastiCache oferece criptografia padrão (gerenciada pelo serviço) em repouso, bem como a capacidade de usar suas próprias AWS KMS chaves simétricas gerenciadas pelo cliente no AWS Key Management Service (KMS). Quando o backup do cache for feito, em opções de criptografia, escolha se você deseja usar a chave de criptografia padrão ou uma chave gerenciada pelo cliente. Para obter mais informações, consulte Ativar criptografia em repouso.
nota
A criptografia padrão (gerenciada pelo serviço) é a única opção disponível nas regiões GovCloud (EUA).
Importante
Habilitar a criptografia em repouso em um OSS cluster Valkey ou Redis autoprojetado existente envolve a exclusão do grupo de replicação existente, depois de executar o backup e a restauração no grupo de replicação.
A criptografia em repouso só pode ser habilitada em um cache quando é criada. Como a criptografia e a descriptografia dos dados requerem processamento, a ativação da criptografia em repouso pode afetar o desempenho durante essas operações. Compare seus dados com e sem criptografia em repouso para determinar o impacto no desempenho para seus casos de uso.
Tópicos
Condições da criptografia em repouso
As seguintes restrições sobre a criptografia em ElastiCache repouso devem ser lembradas ao planejar sua implementação da ElastiCache criptografia em repouso:
-
A criptografia em repouso é suportada em grupos de replicação que executam o Valkey 7.2 e versões posteriores e OSS as versões do Redis (3.2.6 programadas para, consulte o cronograma de fim de vida das OSS versões do Redis)EOL, 4.0.10 ou posteriores.
-
A criptografia em repouso é suportada somente para grupos de replicação executados em uma Amazon. VPC
-
A criptografia em repouso é compatível somente com grupos de replicação que estejam executando os tipos de nó a seguir.
-
R6gd, R6g, R5, R4, R3
-
M6g, M5, M4, M3
-
T4g,T3, T2
Para obter mais informações, consulte Tipos de nó compatíveis.
-
-
A criptografia em repouso é ativada por meio da configuração explícita do parâmetro
AtRestEncryptionEnabled
comotrue
. -
Somente é possível habilitar a criptografia em repouso em um grupo de replicação ao criá-lo. Não é possível ativar e desativar a criptografia em repouso modificando um grupo de replicação. Para obter informações sobre a implementação de criptografia em repouso em um grupo de replicação, consulte Ativar criptografia em repouso.
Se um cluster estiver usando um tipo de nó da família r6gd, os dados armazenados serão criptografados, independentemente de a criptografia em SSD repouso estar ativada ou não.
A opção de usar a chave gerenciada pelo cliente para criptografia em repouso não está disponível nas regiões AWS GovCloud (us-gov-east us-gov-west-1 e -1).
Se um cluster estiver usando um tipo de nó da família r6gd, os dados armazenados serão criptografados com a AWS KMS chave SSD gerenciada pelo cliente escolhida (ou criptografia gerenciada pelo serviço nas regiões). AWS GovCloud
Com o Memcached, a criptografia em repouso é suportada somente em caches sem servidor.
Ao usar o Memcached, a opção de usar a chave gerenciada pelo cliente para criptografia em repouso não está disponível nas regiões AWS GovCloud (us-gov-east-1 e us-gov-west -1).
A implementação de criptografia em repouso pode reduzir o desempenho durante as operações de backup e sincronização de nós. Compare seus dados com criptografia em repouso e sem criptografia para determinar o impacto no desempenho da sua implementação.
Usando chaves gerenciadas pelo cliente de AWS KMS
ElastiCache suporta AWS KMS chaves simétricas gerenciadas pelo cliente (KMSchave) para criptografia em repouso. KMSAs chaves gerenciadas pelo cliente são chaves de criptografia que você cria, possui e gerencia em sua AWS conta. Para obter mais informações, consulte AWS KMSas chaves no Guia do desenvolvedor do AWS Key Management Service. As chaves devem ser criadas AWS KMS antes que possam ser usadas com ElastiCache.
Para saber como criar chaves AWS KMS raiz, consulte Criação de chaves no Guia do desenvolvedor do AWS Key Management Service.
ElastiCache permite que você se integre com AWS KMS. Para obter mais informações, consulte Uso de concessões no Guia do desenvolvedor do serviço de gerenciamento de chaves da AWS . Nenhuma ação do cliente é necessária para permitir a ElastiCache integração da Amazon com AWS KMS.
A chave de kms:ViaService
condição limita o uso de uma AWS KMS chave (KMSchave) às solicitações de AWS serviços especificados. Para usar kms:ViaService
com ElastiCache, inclua os dois ViaService nomes no valor da chave de condição: elasticache.AWS_region.amazonaws.com
dax.AWS_region.amazonaws.com
e. Para maiores informações, veja kms: ViaService.
Você pode usar AWS CloudTrailpara rastrear as solicitações que a Amazon ElastiCache envia AWS Key Management Service em seu nome. Todas as API chamadas AWS Key Management Service relacionadas às chaves gerenciadas pelo cliente têm CloudTrail registros correspondentes. Você também pode ver as concessões ElastiCache criadas ao ligar para a ListGrantsKMSAPIchamada.
Assim que um grupo de replicação é criptografado usando a chave gerenciada pelo cliente, todos os backups do grupo de replicação são criptografados da seguinte maneira:
Os backups diários automáticos são criptografados usando a chave gerenciada pelo cliente associada ao cluster.
O backup final criado quando o grupo de replicação é excluído também é criptografado usando a chave gerenciada pelo cliente associada ao grupo de replicação.
Os backups criados manualmente são criptografados por padrão para usar a KMS chave associada ao grupo de replicação. Você pode substituir escolhendo outra chave gerenciada pelo cliente.
Por padrão, a cópia de um backup equivale a usar uma chave gerenciada pelo cliente associada ao backup de origem. Você pode substituir escolhendo outra chave gerenciada pelo cliente.
nota
-
As chaves gerenciadas pelo cliente não podem ser usadas ao exportar backups para o bucket do Amazon S3 selecionado. No entanto, todos os backups exportados para o Amazon S3 são criptografados usando Criptografia do lado do servidor. Você pode optar por copiar o arquivo de backup em um novo objeto do S3 e criptografar usando uma KMS chave gerenciada pelo cliente, copiar o arquivo para outro bucket do S3 configurado com criptografia padrão usando uma KMS chave ou alterar uma opção de criptografia no próprio arquivo.
-
Você também pode usar chaves gerenciadas pelo cliente para criptografar backups criados manualmente para grupos de replicação que não usem chaves gerenciadas pelo cliente para criptografia. Com essa opção, o arquivo de backup armazenado no Amazon S3 é criptografado usando uma KMS chave, mesmo que os dados não estejam criptografados no grupo de replicação original.
A restauração de um backup permite escolher entre as opções de criptografia disponíveis, semelhantes às opções de criptografia disponíveis ao criar um novo grupo de replicação.
Se você excluir a chave ou desabilitá-la e revogar as concessões da chave que usou para criptografar um cache, o cache ficará irrecuperável. Em outras palavras, ele não pode ser modificado ou recuperado após uma falha de hardware. AWS KMSexclui as chaves raiz somente após um período de espera de pelo menos sete dias. Depois que a chave for excluída, você poderá usar uma chave gerenciada pelo cliente diferente para criar um backup para fins de arquivamento.
A rotação automática de chaves preserva as propriedades de suas chaves AWS KMS raiz, portanto, a rotação não afeta sua capacidade de acessar seus ElastiCache dados. Os ElastiCache caches criptografados da Amazon não oferecem suporte à rotação manual de chaves, o que envolve a criação de uma nova chave raiz e a atualização de qualquer referência à chave antiga. Para saber mais, consulte AWS KMSChaves rotativas no Guia do desenvolvedor do AWS Key Management Service.
Criptografar um ElastiCache cache usando uma KMS chave requer uma concessão por cache. Essa concessão é usada durante toda a vida útil do cache. Além disso, uma concessão por backup é usada durante a criação do backup. Essa concessão é retirada assim que o backup é criado.
Para obter mais informações sobre AWS KMS concessões e limites, consulte Limites no Guia do desenvolvedor do AWS Key Management Service.
Ativar criptografia em repouso
Todos os caches sem servidor têm criptografia em repouso habilitada.
Ao criar um cluster autoprojetado, você pode habilitar a criptografia em repouso definindo o parâmetro AtRestEncryptionEnabled
como true
. Não é possível ativar a criptografia em repouso em grupos de replicação existentes.
Você pode ativar a criptografia em repouso ao criar um ElastiCache cache. Você pode fazer isso usando o AWS Management Console AWS CLI, o ou ElastiCache API o.
Ao criar um cache, você pode escolher uma das seguintes opções:
-
Default (Padrão) – Esta opção usa a criptografia gerenciada pelo serviço em repouso.
-
Chave gerenciada pelo cliente — Essa opção permite que você forneça o ID/formulário ARN da chave AWS KMS para criptografia em repouso.
Para saber como criar chaves AWS KMS raiz, consulte Criar chaves no Guia do desenvolvedor do AWS Key Management Service
Sumário
Você só pode ativar a criptografia em repouso ao criar um grupo de replicação Valkey ou RedisOSS. Se você tem um grupo de replicação no qual deseja ativar a criptografia em repouso, siga as etapas a seguir.
Para ativar a criptografia em repouso em um grupo de replicação existente
-
Crie um backup manual do seu grupo de replicação existente. Para obter mais informações, consulte Realização de backups manuais.
-
Crie um novo grupo de replicação com base em um backup. No novo grupo de replicação, ative a criptografia em repouso. Para obter mais informações, consulte Restauração de um backup para um novo cache.
-
Atualize os endpoints no seu aplicativo para apontarem para o novo grupo de replicação.
-
Exclua o grupo de replicação antigo. Para obter mais informações, consulte Excluindo um cluster no ElastiCache ou Exclusão de um grupo de replicação.
Habilitando a criptografia em repouso usando o AWS Management Console
Todos os caches sem servidor têm criptografia em repouso habilitada. Por padrão, uma KMS chave AWS própria é usada para criptografar dados. Para escolher sua própria AWS KMS chave, faça as seguintes seleções:
Expanda a seção Visualizar configurações padrão.
Escolha Personalizar configurações padrão na seção Visualizar configurações padrão.
Escolha Personalize suas configurações de segurança na seção Segurança.
Escolha Cliente gerenciado CMK em Configuração de chave de criptografia.
Selecione uma chave na configuração Chave AWS KMS .
Ao projetar o próprio cache, as configurações “Dev/Teste” e “Produção” com o método “Criação fácil” têm a criptografia em repouso habilitada usando a chave Padrão. Ao escolher a configuração por conta própria, faça as seguintes seleções:
-
Escolha a versão 3.2.6, 4.0.10 ou posterior como a versão do mecanismo.
-
Clique na caixa de seleção ao lado de Habilitar para a opção Criptografia em repouso.
-
Escolha uma chave padrão ou uma chave gerenciada pelo cliente CMK.
Para o step-by-step procedimento, consulte o seguinte:
Habilitando a criptografia em repouso usando o AWS CLI
Para habilitar a criptografia em repouso ao criar um OSS cluster Valkey ou Redis usando o AWS CLI, use o at-rest-encryption-enabled parâmetro -- ao criar um grupo de replicação.
A operação a seguir cria o grupo de replicação Valkey ou Redis OSS (modo de cluster desativado) my-classic-rg
com três nós (-- num-cache-clusters), uma réplica primária e duas réplicas de leitura. A criptografia em repouso está habilitada para esse grupo de replicação (-- at-rest-encryption-enabled).
Os seguintes parâmetros e seus valores são necessários para ativar a criptografia neste grupo de replicação:
Principais parâmetros
-
--engine
—Deve servalkey
ouredis
. -
--engine-version
—Se o motor for RedisOSS, deverá ser 3.2.6, 4.0.10 ou posterior. -
--at-rest-encryption-enabled
: obrigatório para habilitar a criptografia em repouso.
exemplo 1: Cluster Valkey ou Redis OSS (modo de cluster desativado) com réplicas
Para Linux, macOS ou Unix:
aws elasticache create-replication-group \ --replication-group-id
my-classic-rg
\ --replication-group-description"3 node replication group"
\ --cache-node-typecache.m4.large
\--engine
\redis
--at-rest-encryption-enabled
\ --num-cache-clusters3
Para Windows:
aws elasticache create-replication-group ^ --replication-group-id
my-classic-rg
^ --replication-group-description"3 node replication group"
^ --cache-node-typecache.m4.large
^--engine
^redis
--at-rest-encryption-enabled
^ --num-cache-clusters3
^
Para obter informações adicionais, consulte:
A operação a seguir cria o grupo de replicação Valkey ou Redis OSS (modo de cluster ativado) my-clustered-rg
com três grupos de nós ou fragmentos (--). num-node-groups Cada um tem três nós, uma réplica primária e duas réplicas de leitura (-- replicas-per-node-group). A criptografia em repouso está habilitada para esse grupo de replicação (-- at-rest-encryption-enabled).
Os seguintes parâmetros e seus valores são necessários para ativar a criptografia neste grupo de replicação:
Principais parâmetros
-
--engine
—Deve servalkey
ouredis
. -
--engine-version
—Se o motor for RedisOSS, deverá ser 4.0.10 ou posterior. -
--at-rest-encryption-enabled
: obrigatório para habilitar a criptografia em repouso. -
--cache-parameter-group
: deve serdefault-redis4.0.cluster.on
ou um derivado dele para torná-lo um grupo de replicação para o modo cluster habilitado.
exemplo 2: Um cluster Valkey ou Redis OSS (modo de cluster ativado)
Para Linux, macOS ou Unix:
aws elasticache create-replication-group \ --replication-group-id
my-clustered-rg
\ --replication-group-description"redis clustered cluster"
\ --cache-node-typecache.m3.large
\ --num-node-groups3
\ --replicas-per-node-group2
\--engine
\redis
--engine-version
\6.2
--at-rest-encryption-enabled
\--cache-parameter-group
default.redis6.x.cluster.on
Para Windows:
aws elasticache create-replication-group ^ --replication-group-id
my-clustered-rg
^ --replication-group-description"redis clustered cluster"
^ --cache-node-typecache.m3.large
^ --num-node-groups3
^ --replicas-per-node-group2
^--engine
^redis
--engine-version
^6.2
--at-rest-encryption-enabled
^--cache-parameter-group
default.redis6.x.cluster.on
Para obter informações adicionais, consulte: