Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Überwachen Sie ElastiCache Amazon-Cluster auf Verschlüsselung im Ruhezustand
*Abhishek Agawane, Amazon Web Services*
## Zusammenfassung
Amazon ElastiCache ist ein Service von Amazon Web Services (AWS), der eine leistungsstarke, skalierbare und kostengünstige Caching-Lösung für die Verteilung eines In-Memory-Datenspeichers oder einer Cache-Umgebung in der Cloud bietet. Er ruft Daten aus In-Memory-Datenspeichern mit hohem Durchsatz und niedriger Latenz ab. Diese Funktionalität macht sie zu einer beliebten Wahl für Echtzeit-Anwendungsfälle wie Caching, Sitzungsspeicher, Spiele, Geodatendienste, Echtzeitanalysen und Warteschlangen. ElastiCache bietet Redis- und Memcached-Datenspeicher, die beide Reaktionszeiten unter einer Millisekunde bieten.
Datenverschlüsselung verhindert, dass unbefugte Benutzer sensible Daten lesen, die auf Ihren Redis-Clustern und den zugehörigen Cache-Speichersystemen verfügbar sind. Dazu gehören Daten, die auf persistenten Medien gespeichert sind (sogenannte *Data at Rest*), und Daten, die auf ihrem Weg durch das Netzwerk zwischen Clients und Cache-Servern abgefangen werden können (sogenannte *Daten* während der Übertragung).
Sie können die Verschlüsselung im Ruhezustand für ElastiCache (Redis OSS) aktivieren, wenn Sie eine Replikationsgruppe erstellen, indem Sie den Parameter auf setzen. `AtRestEncryptionEnabled` **`true`** Wenn dieser Parameter aktiviert ist, verschlüsselt er die Festplatte bei Synchronisierungs-, Sicherungs- und Swap-Vorgängen und verschlüsselt Backups, die in Amazon Simple Storage Service (Amazon S3) gespeichert sind. Sie können die Verschlüsselung im Ruhezustand nicht für eine bestehende Replikationsgruppe aktivieren. Wenn Sie eine Replikationsgruppe erstellen, können Sie die Verschlüsselung im Ruhezustand auf folgende zwei Arten aktivieren:
+ Indem Sie die **Standardoption** wählen, bei der vom Service verwaltete Verschlüsselung im Ruhezustand verwendet wird.
+ Indem Sie einen vom Kunden verwalteten Schlüssel verwenden und die Schlüssel-ID oder den Amazon-Ressourcennamen (ARN) von AWS Key Management Service (AWS KMS) angeben.
Dieses Muster bietet eine Sicherheitskontrolle, die API-Aufrufe überwacht und bei diesem `CreateReplicationGroup` Vorgang ein Amazon EventBridge Events-Ereignis generiert. Dieses Ereignis ruft eine AWS Lambda Funktion auf, die ein Python-Skript ausführt. Die Funktion ruft die Replikationsgruppen-ID aus der JSON-Eingabe des Ereignisses ab und führt die folgenden Prüfungen durch, um festzustellen, ob ein unverschlüsselter Cluster vorhanden ist:
+ Prüft, ob der `AtRestEncryptionEnabled`**** Schlüssel existiert.
+ Falls `AtRestEncryptionEnabled`**** vorhanden, wird der Wert überprüft, um festzustellen, ob er vorhanden ist`true`.
+ Wenn der `AtRestEncryptionEnabled`**** Wert auf gesetzt ist`false`, wird eine Variable festgelegt, die Verstöße verfolgt und mithilfe einer Amazon Simple Notification Service (Amazon SNS) -Benachrichtigung eine Verstoßnachricht an eine von Ihnen angegebene E-Mail-Adresse sendet.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktiver AWS-Konto.
+ Ein S3-Bucket zum Hochladen des bereitgestellten Lambda-Codes.
+ Eine E-Mail-Adresse, an die Sie Benachrichtigungen über Verstöße erhalten möchten.
+ ElastiCache Protokollierung aktiviert, für den Zugriff auf alle API-Protokolle.
**Einschränkungen**
+ Diese Detective Control ist regional und muss in allen Bereichen eingesetzt werden AWS-Region , die Sie überwachen möchten.
+ Das Steuerelement unterstützt Replikationsgruppen, die in einer Virtual Private Cloud (VPC) ausgeführt werden.
+ Das Steuerelement unterstützt Replikationsgruppen, auf denen die folgenden Knotentypen ausgeführt werden:
+ R7g, R6gd, R6g, R5, R4, R3
+ M7 g, M6 g, M5, M4, M3
+ T4g, T3, T2
+ C7gn
**Versionen der Produkte**
+ Unterstützt ElastiCache (Redis OSS) Version 3.2.6 oder höher und Valkey 7.2 oder höher
## Architektur
**Workflow-Architektur**
![\[Workflow für die Überwachung von ElastiCache Clustern.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/2917ebc2-3cfe-4530-887d-2c7eb7085453/images/59a36936-e9a8-4f12-a49d-776ff7959053.png)
1. Der Benutzer startet eine ElastiCache Replikationsgruppe über den AWS-Managementkonsole, AWS Command Line Interface (AWS CLI) oder einen API-Aufruf.
1. ElastiCache generiert EventBridge Ereignisse, wenn die `CreateReplicationGroup ` API aufgerufen wird.
1. Eine EventBridge Regel löst die Lambda-Funktion zur Konformitätsprüfung aus und ruft sie auf.
1. Die Lambda-Funktion verarbeitet das Ereignis und prüft, ob die Verschlüsselung im Ruhezustand auf dem ElastiCache Cluster aktiviert ist.
1. Wenn eine Verschlüsselungsverletzung festgestellt wird, veröffentlicht die Lambda-Funktion eine Benachrichtigung zu einem SNS-Thema.
1. Amazon SNS sendet eine E-Mail-Benachrichtigung an Administratoren über die Verletzung der Verschlüsselungsbestimmungen.
**Automatisierung und Skalierung**
+ Wenn Sie diese Vorlage verwenden AWS Organizations, können Sie [AWS CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)sie verwenden, um sie in mehreren Konten bereitzustellen, die Sie überwachen möchten.
## Tools
**AWS-Services**
+ [Amazon ElastiCache](https://docs.aws.amazon.com/elasticache/) macht es einfach, verteilte In-Memory-Cache-Umgebungen in der einzurichten, zu verwalten und zu skalieren. AWS Cloud Es bietet einen leistungsstarken, in der Größe anpassbaren und kostengünstigen In-Memory-Cache und verringert gleichzeitig die Komplexität, die mit der Bereitstellung und Verwaltung einer verteilten Cache-Umgebung verbunden ist. ElastiCache funktioniert sowohl mit der Redis- als auch mit der Memcached-Engine.
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)hilft Ihnen dabei, Ihre AWS Ressourcen zu modellieren und einzurichten, sie schnell und konsistent bereitzustellen und sie während ihres gesamten Lebenszyklus zu verwalten. Sie können eine Vorlage verwenden, um Ihre Ressourcen und ihre Abhängigkeiten zu beschreiben und sie zusammen als Stapel zu starten und zu konfigurieren, anstatt Ressourcen einzeln zu verwalten. Sie können Stacks über mehrere und hinweg verwalten AWS-Konten und AWS-Regionen bereitstellen.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/) liefert nahezu in Echtzeit einen Stream von Systemereignissen, die Änderungen an AWS Ressourcen beschreiben. EventBridge wird sofort auf betriebliche Änderungen aufmerksam und ergreift bei Bedarf Korrekturmaßnahmen, indem Nachrichten gesendet werden, um auf die Umgebung zu reagieren, Funktionen aktiviert, Änderungen vorgenommen und Statusinformationen erfasst werden.
+ [AWS Lambda](https://aws.amazon.com/lambda/)ist ein Rechendienst, der die Ausführung von Code unterstützt, ohne Server bereitzustellen oder zu verwalten. Lambda führt Ihren Code nur bei Bedarf aus und skaliert automatisch von wenigen Anfragen pro Tag auf Tausende pro Sekunde. Sie bezahlen nur für die Datenverarbeitungszeit, die Sie wirklich nutzen und es werden keine Gebühren in Rechnung gestellt, wenn Ihr Code nicht ausgeführt wird.
+ [Amazon SNS](https://aws.amazon.com/sns/) koordiniert und verwaltet den Versand von Nachrichten zwischen Herausgebern und Kunden, einschließlich Webservern und E-Mail-Adressen. Abonnenten erhalten die veröffentlichten Mitteilungen zu den Themen, die sie abonniert haben. Alle Abonnenten eines Themas erhalten dieselben Mitteilungen.
**Code**
Der Code für dieses Muster ist im Repository GitHub [Monitor Amazon ElastiCache Clusters for at Rest Encryption](https://github.com/aws-samples/sample-Monitor_Amazon_ElastiCache_clusters_for_at-rest_encryption) verfügbar. Informationen zur Verwendung der Dateien im Repository finden Sie im [Abschnitt Epics](#monitor-amazon-elasticache-clusters-for-at-rest-encryption-epics).
## Best Practices
**Bereitstellung**
+ Stellen Sie sicher, AWS CloudTrail dass ElastiCache API-Aufrufe protokolliert werden, bevor Sie dieses Steuerelement bereitstellen.
+ Es handelt sich um ein regionales Steuerelement. Stellen Sie das Steuerelement an jedem Standort bereit AWS-Region , an dem Sie es verwenden ElastiCache.
+ Überprüfen Sie die Lösung in dev/test Umgebungen, bevor Sie sie in der Produktion einsetzen.
**Sicherheit**
+ Verwenden Sie vom Kunden verwaltete KMS-Schlüssel, um die Kontrolle über Verschlüsselungsschlüssel zu verbessern.
+ Überprüfen Sie die AWS Identity and Access Management (IAM) -Berechtigungen, um sicherzustellen, dass die Lambda-Ausführungsrolle die geringsten Zugriffsrechte hat.
+ Richten Sie Benachrichtigungen für Nachrichten in der Warteschlange für unzustellbare Nachrichten ein.
**Operationen**
+ Richten Sie eine angemessene Aufbewahrung der Protokolle ein, um die Einhaltung von Vorschriften und Kosten in Einklang zu bringen.
+ Passen Sie die reservierte Parallelität von Lambda an Ihre ElastiCache Erstellungshäufigkeit an.
+ Abonnieren Sie mehrere E-Mail-Adressen für Amazon SNS für Teambenachrichtigungen.
**Überwachung**
+ Überprüfen Sie die CloudWatch Amazon-Alarme, um sicherzustellen, dass die Alarmschwellenwerte Ihren betrieblichen Anforderungen entsprechen.
+ Überwachen Sie regelmäßig die Ausführungsdauer und die Fehlerraten der Lambda-Metriken.
+ Überprüfen Sie Verstöße regelmäßig, um Benachrichtigungen zur Einhaltung der Verschlüsselungsvorschriften zu überprüfen.
## Epen
### Stellen Sie die Sicherheitskontrolle bereit
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Laden Sie den Code von herunter GitHub. | Klonen Sie das [Code-Repository](https://github.com/aws-samples/sample-Monitor_Amazon_ElastiCache_clusters_for_at-rest_encryption) von oder laden Sie es herunter GitHub. Das Repository enthält die Dateien `index.py` und`elasticache_encryption_at_rest.yml`. | Cloud-Architekt |
| Erstellen Sie Lambda-Bereitstellungspakete. | Erstellen Sie zwei .zip-Dateien aus dem Python-Code:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-amazon-elasticache-clusters-for-at-rest-encryption.html) | Cloud-Architekt |
| Laden Sie den Code in einen S3-Bucket hoch. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-amazon-elasticache-clusters-for-at-rest-encryption.html) | Cloud-Architekt |
| Stellen Sie die CloudFormation Vorlage bereit. | Öffnen Sie die [CloudFormation Konsole](https://console.aws.amazon.com/cloudformation/) genauso AWS-Region wie der S3-Bucket und stellen Sie die `elasticache_encryption_at_rest.yml` Datei bereit, die im Code-Repository bereitgestellt wird. Geben Sie im nächsten Epos Werte für die Vorlagenparameter an. | Cloud-Architekt |
### Vervollständigen Sie die Parameter in der CloudFormation Vorlage
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Geben Sie den S3-Bucket-Namen an. | Geben Sie den Namen des S3-Buckets ein, den Sie im ersten Epic erstellt oder ausgewählt haben. Dieser S3-Bucket enthält die ZIP-Datei für den Lambda-Code und muss sich in derselben Datei AWS-Region wie die CloudFormation Vorlage und die Ressource befinden, die ausgewertet werden. | Cloud-Architekt |
| Geben Sie den S3-Schlüssel an. | Geben Sie den Speicherort der Lambda-Code-ZIP-Datei in Ihrem S3-Bucket an, ohne vorangestellte Schrägstriche (z. B. `ElasticCache-EncryptionAtRest.zip` oder). `controls/ElasticCache-EncryptionAtRest.zip` | Cloud-Architekt |
| Geben Sie eine E-Mail-Adresse an. | Geben Sie eine aktive E-Mail-Adresse an, unter der Sie Benachrichtigungen über Verstöße erhalten möchten. | Cloud-Architekt |
| Geben Sie eine Protokollierungsebene an. | Geben Sie die Protokollierungsebene und die Ausführlichkeit an. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-amazon-elasticache-clusters-for-at-rest-encryption.html) | Cloud-Architekt |
### Bestätigen Sie das Abonnement
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Bestätigen Sie das E-Mail-Abonnement. | Wenn die CloudFormation Vorlage erfolgreich bereitgestellt wurde, sendet sie eine Abonnementnachricht an die von Ihnen angegebene E-Mail-Adresse. Um Benachrichtigungen zu erhalten, müssen Sie dieses E-Mail-Abonnement bestätigen. | Cloud-Architekt |
## Fehlerbehebung
| Problem | Lösung |
| --- | --- |
| ****Lambda-Funktion wurde nicht ausgelöst | **Symptom**: Keine Anmeldung, CloudWatch nachdem Sie ElastiCache Cluster erstellt oder geändert haben.**Lösungen:**[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-amazon-elasticache-clusters-for-at-rest-encryption.html) |
| Keine E-Mail-Benachrichtigungen | **Symptom**: Die Lambda-Funktion wird erfolgreich ausgeführt, Sie erhalten jedoch keine E-Mail-Benachrichtigungen.**Lösungen:**[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-amazon-elasticache-clusters-for-at-rest-encryption.html) |
| Probleme mit Berechtigungen | **Symptom**: Fehler „*Zugriff verweigert*“ in CloudWatch Lambda-Funktionsprotokollen.**Lösungen:**[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-amazon-elasticache-clusters-for-at-rest-encryption.html) |
## Zugehörige Ressourcen
+ [Erstellen Sie einen Stack von der CloudFormation Konsole aus (Dokumentation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html))CloudFormation
+ [Verschlüsselung im Ruhezustand in ElastiCache (Redis OSS) (ElastiCache Dokumentation)](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/at-rest-encryption.html)