本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
ElastiCache 傳輸中加密 () TLS
為了協助保護您的資料安全,Amazon ElastiCache 和 Amazon EC2 提供機制以防止未經授權存取您在伺服器上的資料。透過提供傳輸中加密功能, ElastiCache 您可以使用工具在資料從一個位置移動到另一個位置時協助保護資料。
所有無伺服器快取都會啟用傳輸中加密。對於自行設計的叢集,您可以在建立複製群組時TransitEncryptionEnabled將參數設定為 true (CLI:--transit-encryption-enabled),在複製群組上啟用傳輸中加密。無論您是使用、或建立複製群組 AWS Management Console,都可以執行 AWS CLI此操作 ElastiCache API。
主題
傳輸中加密概觀
Amazon ElastiCache 傳輸中加密是一項功能,可讓您在資料最容易受到攻擊的位置 (當資料從一個位置傳輸到另一個位置時) 提高資料的安全性。因為要加密和解密端點的資料需要一些處理,啟用傳輸中加密可能會有一些效能影響。您應該對您具有和不具有傳輸中加密的資料進行基準分析,以判斷對您的使用案例的影響。
ElastiCache 傳輸中加密實作下列功能:
-
加密的用戶端連線 — 用戶端與快取節點的連線會TLS加密。
-
加密的伺服器連線:在叢集中的節點之間移動的資料會經過加密。
-
伺服器身分驗證 - 用戶端可以驗證是否已連線至正確的伺服器。
-
用戶端驗證 — 使用 Redis OSS AUTH 功能,伺服器可以驗證用戶端。
傳輸中加密條件
規劃自行設計的叢集 ElastiCache 實作時,應牢記下列 Amazon 傳輸中加密的限制:
-
執行 Redis 3.2.6、4.0.10 及更新OSS版本的複寫群組支援傳輸中加密。
-
執行 Redis 第 7 版及更新OSS版本的複寫群組支援修改現有叢集的傳輸中加密設定。
-
只有在 Amazon VPC 中執行的複寫群組才支援傳輸中加密。
-
執行下列節點類型的複寫群組不支援傳輸中加密:M1、M2。
如需詳細資訊,請參閱支援的節點類型。
-
透過將參數
TransitEncryptionEnabled明確設定為true,可啟用傳輸中加密。 -
請確定您的快取用戶端支援TLS連線能力,而且您已在用戶端組態中啟用它。
-
第 6 ElastiCache 版及更新版本的所有 AWS 區域已停用舊 TLS 1.0 和 TLS 1.1 的使用。ElastiCache 將繼續支持 TLS 1.0 和 1.1,直到二零二五年五月八日為止。客戶必須在該日期之前更新其用戶端軟體。
傳輸中加密最佳實務
-
因為要加密和解密端點的資料需要一些處理,實作傳輸中加密可能會降低效能。對您自己的資料進行傳輸中加密與無加密基準分析的比較,來判斷對您實作的影響。
-
由於建立新連線可能很昂貴,因此您可以透過保留連線來降低傳輸中加密對效能的影響。TLS
另請參閱
