Restrições Usando chaves gerenciadas pelo cliente do AWS KMS Ativar criptografia em repouso Consulte também

Criptografia em repouso em ElastiCache

Para ajudar a manter seus dados seguros, a Amazon ElastiCache e o Amazon S3 oferecem maneiras diferentes de restringir o acesso aos dados em seu cache. Para obter mais informações, consulte Segurança do Amazon VPCs e do ElastiCache e Identity and Access Management para Amazon ElastiCache.

ElastiCache a criptografia em repouso é um recurso para aumentar a segurança dos dados criptografando dados em disco. Ela está sempre habilitada em um cache sem servidor. Quando habilitada, ela criptografa os seguintes aspectos:

Disco durante as operações de sincronização, backup e swap
Backups armazenados no Amazon S3

Os dados armazenados em unidades de estado sólido (SSDs) em clusters habilitados para divisão de dados em camada são sempre criptografados por padrão.

ElastiCache oferece criptografia padrão (gerenciada pelo serviço) em repouso, bem como a capacidade de usar suas próprias chaves AWS KMS simétricas gerenciadas pelo cliente no AWS Key Management Service (KMS). Quando o backup do cache for feito, em opções de criptografia, escolha se você deseja usar a chave de criptografia padrão ou uma chave gerenciada pelo cliente. Para ter mais informações, consulte Ativar criptografia em repouso.

nota

A criptografia padrão (gerenciada pelo serviço) é a única opção disponível nas regiões GovCloud (EUA).

Importante

Habilitar a criptografia em repouso em um cluster Redis OSS existente e autoprojetado envolve a exclusão do grupo de replicação existente, depois de executar o backup e a restauração no grupo de replicação.

A criptografia em repouso só pode ser habilitada em um cache quando é criada. Como a criptografia e a descriptografia dos dados requerem processamento, a ativação da criptografia em repouso pode afetar o desempenho durante essas operações. Compare seus dados com e sem criptografia em repouso para determinar o impacto no desempenho para seus casos de uso.

Tópicos

Condições da criptografia em repouso
Usando chaves gerenciadas pelo cliente do AWS KMS
Ativar criptografia em repouso
Consulte também

Condições da criptografia em repouso

As seguintes restrições sobre a criptografia em ElastiCache repouso devem ser lembradas ao planejar sua implementação da ElastiCache criptografia em repouso:

A criptografia em repouso é suportada em grupos de replicação que executam as versões do Redis OSS (3.2.6 programado para EOL, consulte o cronograma de fim da vida útil das versões do Redis OSS), 4.0.10 ou posterior.
A criptografia em repouso tem suporte somente em grupos de replicação em execução em uma Amazon VPC.
A criptografia em repouso é compatível somente com grupos de replicação que estejam executando os tipos de nó a seguir.
- R6gd, R6g, R5, R4, R3
- M6g, M5, M4, M3
- T4g,T3, T2
Para obter mais informações, consulte Tipos de nó compatíveis.
A criptografia em repouso é ativada por meio da configuração explícita do parâmetro AtRestEncryptionEnabled como true.
Somente é possível habilitar a criptografia em repouso em um grupo de replicação ao criá-lo. Não é possível ativar e desativar a criptografia em repouso modificando um grupo de replicação. Para obter informações sobre a implementação de criptografia em repouso em um grupo de replicação, consulte Ativar criptografia em repouso.
Se um cluster estiver usando um tipo de nó da família r6gd, os dados armazenados em SSD serão criptografados independentemente de a criptografia em repouso estar ativada ou não.
A opção de usar a chave gerenciada pelo cliente para criptografia em repouso não está disponível nas regiões AWS GovCloud (us-gov-east us-gov-west-1 e -1).
Se um cluster estiver usando um tipo de nó da família r6gd, os dados armazenados no SSD serão criptografados com a chave AWS KMS gerenciada pelo cliente escolhida (ou criptografia gerenciada pelo serviço nas regiões). AWS GovCloud

A implementação de criptografia em repouso pode reduzir o desempenho durante as operações de backup e sincronização de nós. Compare seus dados com criptografia em repouso e sem criptografia para determinar o impacto no desempenho da sua implementação.

Usando chaves gerenciadas pelo cliente do AWS KMS

ElastiCache suporta chaves AWS KMS simétricas gerenciadas pelo cliente (chave KMS) para criptografia em repouso. As chaves KMS gerenciadas pelo cliente são chaves de criptografia que você cria, possui e gerencia em sua conta. AWS Para obter mais informações, consulte Chaves KMS da AWS no Guia do desenvolvedor do serviço de gerenciamento de chaves da AWS . As chaves devem ser criadas no AWS KMS antes de poderem ser usadas com ElastiCache.

Para saber como criar chaves raiz do AWS KMS, consulte Criação de chaves no Guia do desenvolvedor do AWS Key Management Service.

ElastiCache permite a integração com o AWS KMS. Para obter mais informações, consulte Uso de concessões no Guia do desenvolvedor do serviço de gerenciamento de chaves da AWS . Nenhuma ação do cliente é necessária para permitir a ElastiCache integração da Amazon com o AWS KMS.

A chave de kms:ViaService condição limita o uso de uma chave AWS KMS (chave KMS) às solicitações de serviços especificados AWS . Para usar kms:ViaService com ElastiCache, inclua os dois ViaService nomes no valor da chave de condição: elasticache.AWS_region.amazonaws.com dax.AWS_region.amazonaws.com e. Para maiores informações, veja kms: ViaService.

Você pode usar AWS CloudTrailpara rastrear as solicitações que a Amazon ElastiCache envia AWS Key Management Service em seu nome. Todas as chamadas de API AWS Key Management Service relacionadas às chaves gerenciadas pelo cliente têm CloudTrail registros correspondentes. Você também pode ver as concessões ElastiCache criadas ao chamar a chamada da API ListGrantsKMS.

Assim que um grupo de replicação é criptografado usando a chave gerenciada pelo cliente, todos os backups do grupo de replicação são criptografados da seguinte maneira:

Os backups diários automáticos são criptografados usando a chave gerenciada pelo cliente associada ao cluster.
O backup final criado quando o grupo de replicação é excluído também é criptografado usando a chave gerenciada pelo cliente associada ao grupo de replicação.
Os backups criados manualmente são criptografados por padrão para usar a chave do KMS associada ao grupo de replicação. Você pode substituir escolhendo outra chave gerenciada pelo cliente.
Por padrão, a cópia de um backup equivale a usar uma chave gerenciada pelo cliente associada ao backup de origem. Você pode substituir escolhendo outra chave gerenciada pelo cliente.

nota

As chaves gerenciadas pelo cliente não podem ser usadas ao exportar backups para o bucket do Amazon S3 selecionado. No entanto, todos os backups exportados para o Amazon S3 são criptografados usando Criptografia do lado do servidor. Você pode optar pro copiar o arquivo de backup para um novo objeto do S3 e criptografar usando uma chave do KMS gerenciada pelo cliente, copiar o arquivo para outro bucket do S3 configurado com a criptografia padrão usando uma chave do KMS ou alterar uma opção de criptografia no próprio arquivo.
Você também pode usar chaves gerenciadas pelo cliente para criptografar backups criados manualmente para grupos de replicação que não usem chaves gerenciadas pelo cliente para criptografia. Com essa opção, o arquivo de backup armazenado no Amazon S3 é criptografado usando uma chave do KMS, embora os dados não sejam criptografados no grupo de replicação original.

A restauração de um backup permite escolher entre as opções de criptografia disponíveis, semelhantes às opções de criptografia disponíveis ao criar um novo grupo de replicação.

Se você excluir a chave ou desabilitá-la e revogar as concessões da chave que usou para criptografar um cache, o cache ficará irrecuperável. Em outras palavras, ele não pode ser modificado ou recuperado após uma falha de hardware. AWS O KMS exclui as chaves raiz somente após um período de espera de pelo menos sete dias. Depois que a chave for excluída, você poderá usar uma chave gerenciada pelo cliente diferente para criar um backup para fins de arquivamento.
A rotação automática de chaves preserva as propriedades das chaves raiz do AWS KMS, portanto, a rotação não afeta sua capacidade de acessar seus ElastiCache dados. Os ElastiCache caches criptografados da Amazon não oferecem suporte à rotação manual de chaves, o que envolve a criação de uma nova chave raiz e a atualização de qualquer referência à chave antiga. Para saber mais, consulte Chaves rotativas do AWS KMS no Guia do desenvolvedor do AWS Key Management Service.
Criptografar um ElastiCache cache usando a chave KMS requer uma concessão por cache. Essa concessão é usada durante toda a vida útil do cache. Além disso, uma concessão por backup é usada durante a criação do backup. Essa concessão é retirada assim que o backup é criado.
Para obter mais informações sobre concessões e limites do AWS KMS, consulte Limites no Guia do desenvolvedor do AWS Key Management Service.

Ativar criptografia em repouso

Todos os caches sem servidor têm criptografia em repouso habilitada.

Ao criar um cluster autoprojetado, você pode habilitar a criptografia em repouso definindo o parâmetro AtRestEncryptionEnabled como true. Não é possível ativar a criptografia em repouso em grupos de replicação existentes.

Você pode ativar a criptografia em repouso ao criar um ElastiCache cache. Você pode fazer isso usando a AWS Management Console AWS CLI, a ou a ElastiCache API.

Ao criar um cache, você pode escolher uma das seguintes opções:

Default (Padrão) – Esta opção usa a criptografia gerenciada pelo serviço em repouso.
Chave gerenciada pelo cliente — Essa opção permite que você forneça o ID/ARN da chave do AWS KMS para criptografia em repouso.

Para saber como criar chaves raiz do AWS KMS, consulte Criar chaves no Guia do desenvolvedor do AWS Key Management Service

Sumário

Você só pode habilitar a criptografia em repouso ao criar um grupo de replicação do Redis OSS. Se você tem um grupo de replicação no qual deseja ativar a criptografia em repouso, siga as etapas a seguir.

Para ativar a criptografia em repouso em um grupo de replicação existente

Crie um backup manual do seu grupo de replicação existente. Para ter mais informações, consulte Realização de backups manuais.
Crie um novo grupo de replicação com base em um backup. No novo grupo de replicação, ative a criptografia em repouso. Para ter mais informações, consulte Restauração de um backup para um novo cache.
Atualize os endpoints no seu aplicativo para apontarem para o novo grupo de replicação.
Exclua o grupo de replicação antigo. Para obter mais informações, consulte Excluir um cluster ou Exclusão de um grupo de replicação.

Habilitando a criptografia em repouso usando o AWS Management Console

Todos os caches sem servidor têm criptografia em repouso habilitada. Por padrão, uma chave KMS AWS de propriedade própria é usada para criptografar dados. Para escolher sua própria AWS KMS chave, faça as seguintes seleções:

Expanda a seção Visualizar configurações padrão.
Escolha Personalizar configurações padrão na seção Visualizar configurações padrão.
Escolha Personalize suas configurações de segurança na seção Segurança.
Escolha CMK gerenciada pelo cliente na configuração Chave de criptografia.
Selecione uma chave na configuração Chave AWS KMS .

Ao projetar o próprio cache, as configurações “Dev/Teste” e “Produção” com o método “Criação fácil” têm a criptografia em repouso habilitada usando a chave Padrão. Ao escolher a configuração por conta própria, faça as seguintes seleções:

Escolha a versão 3.2.6, 4.0.10 ou posterior como a versão do mecanismo.
Clique na caixa de seleção ao lado de Habilitar para a opção Criptografia em repouso.
Escolha uma Chave padrão ou uma CMK gerenciada pelo cliente.

Para o step-by-step procedimento, consulte o seguinte:

Habilitando a criptografia em repouso usando o AWS CLI

Para habilitar a criptografia em repouso ao criar um cluster Redis OSS usando o AWS CLI, use o at-rest-encryption-enabled parâmetro -- ao criar um grupo de replicação.

A operação a seguir cria o grupo de replicação Redis OSS (modo de cluster desativado) my-classic-rg com três nós (-- num-cache-clusters), uma réplica primária e duas réplicas de leitura. A criptografia em repouso está habilitada para esse grupo de replicação (-- at-rest-encryption-enabled).

Os seguintes parâmetros e seus valores são necessários para ativar a criptografia neste grupo de replicação:

Principais parâmetros

--engine: deve ser redis.
--engine-version: deve ser 3.2.6, 4.0.10 ou posterior.
--at-rest-encryption-enabled: obrigatório para habilitar a criptografia em repouso.

exemplo 1: Cluster Redis OSS (modo de cluster desativado) com réplicas

Para Linux, macOS ou Unix:


aws elasticache create-replication-group \
    --replication-group-id my-classic-rg \
    --replication-group-description "3 node replication group" \
    --cache-node-type cache.m4.large \
    --engine redis \    
    --at-rest-encryption-enabled \  
    --num-cache-clusters 3

Para Windows:


aws elasticache create-replication-group ^
    --replication-group-id my-classic-rg ^
    --replication-group-description "3 node replication group" ^
    --cache-node-type cache.m4.large ^
    --engine redis ^    
    --at-rest-encryption-enabled ^  
    --num-cache-clusters 3 ^

Para obter informações adicionais, consulte:

A operação a seguir cria o grupo de replicação Redis OSS (modo de cluster ativado) my-clustered-rg com três grupos de nós ou fragmentos (--). num-node-groups Cada um tem três nós, uma réplica primária e duas réplicas de leitura (-- replicas-per-node-group). A criptografia em repouso está habilitada para esse grupo de replicação (-- at-rest-encryption-enabled).

Os seguintes parâmetros e seus valores são necessários para ativar a criptografia neste grupo de replicação:

Principais parâmetros

--engine: deve ser redis.
--engine-version: deve ser 4.0.10 ou posterior.
--at-rest-encryption-enabled: obrigatório para habilitar a criptografia em repouso.
--cache-parameter-group: deve ser default-redis4.0.cluster.on ou um derivado dele para torná-lo um grupo de replicação para o modo cluster habilitado.

exemplo 2: Um cluster Redis OSS (modo de cluster ativado)

Para Linux, macOS ou Unix:


aws elasticache create-replication-group \
   --replication-group-id my-clustered-rg \
   --replication-group-description "redis clustered cluster" \
   --cache-node-type cache.m3.large \
   --num-node-groups 3 \
   --replicas-per-node-group 2 \
   --engine redis \
   --engine-version 6.2 \
   --at-rest-encryption-enabled \
   --cache-parameter-group default.redis6.x.cluster.on

Para Windows:


aws elasticache create-replication-group ^
   --replication-group-id my-clustered-rg ^
   --replication-group-description "redis clustered cluster" ^
   --cache-node-type cache.m3.large ^
   --num-node-groups 3 ^
   --replicas-per-node-group 2 ^
   --engine redis ^
   --engine-version 6.2 ^
   --at-rest-encryption-enabled ^
   --cache-parameter-group default.redis6.x.cluster.on

Para obter informações adicionais, consulte:

Consulte também

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Práticas recomendadas ao habilitar a criptografia em trânsito

Autenticação e autorização