ElastiCache 传输中加密（TLS）

为了帮助确保数据安全，Amazon ElastiCache 和 Amazon EC2 提供了禁止未经授权来访问服务器上数据的机制。通过传输中加密功能，ElastiCache 为您提供了在不同位置之间移动数据时用来保护数据的工具。

所有 Valkey 或 Redis OSS 无服务器缓存均启用了传输中加密。对于自行设计的集群，在创建复制组时，您可将参数 TransitEncryptionEnabled 设置为 true（CLI：--transit-encryption-enabled），以此在复制组中启用传输中加密。无论您使用 AWS Management Console、AWS CLI 还是 ElastiCache API 创建复制组，都可以采用此做法。

所有无服务器缓存均启用了传输中加密。对于自行设计的集群，在使用 CreateCacheCluster（CLI：create-cache-cluster）操作创建缓存群集时，您可以将参数 TransitEncryptionEnabled 设置为 true（CLI：--transit-encryption-enabled），从而在缓存群集上启用传输中加密。

传输中加密概览

Amazon ElastiCache 传输中加密功能可让您在数据最脆弱时候（从一个位置传输到另一个位置时）提高数据的安全性。由于在端点加密和解密数据时需要进行一些处理，因此启用传输中加密会对性能产生一些影响。应对使用和不使用传输中加密的数据进行基准测试，以确定对使用案例的性能影响。

ElastiCache 传输中加密可实现以下功能：

传输中加密的条件（Valkey 和 Redis OSS）

在规划您的自行设计集群的实施时，应注意有关 Amazon ElastiCache 传输中加密的以下限制：

传输中加密的条件（Memcached）

在规划您的自行设计集群的实施时，应注意有关 Amazon ElastiCache 传输中加密的以下限制：

传输中加密最佳实践

更多 Valkey 和 Redis OSS 选项

有关 Valkey 和 Redis OSS 可用选项的更多信息，请参阅以下链接。

为 Memcached 启用传输中加密

要在使用 AWS 管理控制台创建 Memcached 集群时启用传输中加密，请进行以下选择：

有关分步过程，请参阅 创建 Valkey 或 Redis OSS 集群。

使用 Openssl 连接到启用了传输中加密的节点（Memcached）

要从启用了传输中加密的 ElastiCache（Memcached）节点中访问数据，您需要使用利用安全套接字层（SSL）的客户端。您也可以在 Amazon Linux 和 Amazon Linux 2 上使用 Openssl s_client。

使用 Openssl s_client 连接到 Amazon Linux 2 或 Amazon Linux 上启用了传输中加密的 Memcached 集群：

/usr/bin/openssl s_client -connect memcached-node-endpoint:memcached-port

使用 Java 创建 TLS Memcached 客户端

要在 TLS 模式下创建客户端，请执行以下操作以利用适当的 SSLContext 初始化该客户端：

import java.security.KeyStore;
import javax.net.ssl.SSLContext;
import javax.net.ssl.TrustManagerFactory;
import net.spy.memcached.AddrUtil;
import net.spy.memcached.ConnectionFactoryBuilder;
import net.spy.memcached.MemcachedClient;
public class TLSDemo {
    public static void main(String[] args) throws Exception {
        ConnectionFactoryBuilder connectionFactoryBuilder = new ConnectionFactoryBuilder();
        // Build SSLContext
        TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
        tmf.init((KeyStore) null);
        SSLContext sslContext = SSLContext.getInstance("TLS");
        sslContext.init(null, tmf.getTrustManagers(), null);
        // Create the client in TLS mode
        connectionFactoryBuilder.setSSLContext(sslContext);
        MemcachedClient client = new MemcachedClient(connectionFactoryBuilder.build(), AddrUtil.getAddresses("mycluster.fnjyzo.cfg.use1.cache.amazonaws.com:11211"));

        // Store a data item for an hour.
        client.set("theKey", 3600, "This is the data value");
    }
}

使用 PHP 创建 TLS Memcached 客户端

要在 TLS 模式下创建客户端，请执行以下操作以利用适当的 SSLContext 初始化该客户端：

<?php

/**
 * Sample PHP code to show how to create a TLS Memcached client. In this example we
 * will use the Amazon ElastiCache Auto Descovery feature, but TLS can also be
 * used with a Static mode client. 
 * See Using the ElastiCache Cluster Client for PHP (https://docs.aws.amazon.com/AmazonElastiCache/latest/dg/AutoDiscovery.Using.ModifyApp.PHP.html) for more information 
 * about Auto Discovery and persistent-id.
 */

/* Configuration endpoint to use to initialize memcached client.
 * this is only an example */
$server_endpoint = "mycluster.fnjyzo.cfg.use1.cache.amazonaws.com";

/* Port for connecting to the cluster. 
 * This is only an example     */
$server_port = 11211;

/* Initialize a persistent Memcached client and configure it with the Dynamic client mode  */
$tls_client =  new Memcached('persistent-id');
$tls_client->setOption(Memcached::OPT_CLIENT_MODE, Memcached::DYNAMIC_CLIENT_MODE);

/* Add the memcached's cluster server/s */
$tls_client->addServer($server_endpoint, $server_port);

/* Configure the client to use TLS */
if(!$tls_client->setOption(Memcached::OPT_USE_TLS, 1)) {
    echo $tls_client->getLastErrorMessage(), "\n";
    exit(1);
}

/* Set your TLS context configurations values.
 * See MemcachedTLSContextConfig in memcached-api.php for all configurations */
$tls_config = new MemcachedTLSContextConfig();
$tls_config->hostname = '*.mycluster.fnjyzo.use1.cache.amazonaws.com';
$tls_config->skip_cert_verify = false;
$tls_config->skip_hostname_verify = false;

/* Use the created TLS context configuration object to create OpenSSL's SSL_CTX and set it to your client.
 * Note:  These TLS context configurations will be applied to all the servers connected to this client. */
$tls_client->createAndSetTLSContext((array)$tls_config);

/* test the TLS connection with set-get scenario: */

 /* store the data for 60 seconds in the cluster.
 * The client will decide which cache host will store this item.
 */
if($tls_client->set('key', 'value', 60)) {
    print "Successfully stored key\n";
} else {
    echo "Failed to set key: ", $tls_client->getLastErrorMessage(), "\n";
    exit(1);
}

/* retrieve the key */
if ($tls_client->get('key') === 'value') {
    print "Successfully retrieved key\n";
} else {
    echo "Failed to get key: ", $tls_client->getLastErrorMessage(), "\n";
    exit(1);
}

有关使用 PHP 客户端的更多信息，请参阅 安装适用于 PHP 的 ElastiCache Cluster Client。