Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crittografia At-Rest in ElastiCache
Per proteggere i dati, Amazon ElastiCache e Amazon S3 offrono diversi modi per limitare l'accesso ai dati nella cache. Per ulteriori informazioni, consultare Amazon VPCs e la ElastiCache sicurezza e Identity and Access Management per Amazon ElastiCache.
ElastiCache la crittografia at-rest è una funzionalità che aumenta la sicurezza dei dati crittografando i dati su disco. È sempre abilitata su una cache serverless. Quando è abilitata, esegue la crittografia degli elementi seguenti:
-
Il disco durante la sincronizzazione, operazioni di backup e di swap.
-
I backup archiviati in Amazon S3
I dati archiviati su SSDs (unità a stato solido) in cluster abilitati al tiering dei dati sono sempre crittografati.
ElastiCache offre la crittografia predefinita (gestita dal servizio) a riposo, oltre alla possibilità di utilizzare le proprie chiavi KMS simmetriche gestite dal cliente in AWS Key Management Service AWS (KMS). Quando viene eseguito il backup della cache, nelle opzioni di crittografia scegli se utilizzare la chiave di crittografia predefinita o una chiave gestita dal cliente. Per ulteriori informazioni, consulta Abilitazione della crittografia dei dati inattivi.
Importante
L'attivazione di At-Rest Encryption su un cluster Valkey o Redis OSS esistente progettato autonomamente comporta l'eliminazione del gruppo di replica esistente, dopo aver eseguito il backup e il ripristino sul gruppo di replica.
La crittografia dei dati a riposo può essere abilitata su una cache solo quando viene creata. Poiché la crittografia e la decrittografia dei dati richiede l'elaborazione, l'abilitazione della crittografia dei dati inattivi può in parte influire sulle prestazioni durante queste operazioni. È opportuno creare un riferimento per i dati con o senza crittografia dei dati inattivi per determinare l'impatto sulle prestazioni per i propri casi d'uso.
Argomenti
Condizioni di crittografia dei dati inattivi
I seguenti vincoli sulla crittografia a ElastiCache riposo devono essere tenuti presenti quando pianifichi l'implementazione della crittografia a riposo: ElastiCache
-
La crittografia a riposo è supportata nei gruppi di replica che eseguono Valkey 7.2 e versioni successive e nelle versioni Redis OSS (3.2.6 pianificata per EOL, consulta la pianificazione di fine del ciclo di vita delle versioni Redis OSS), 4.0.10 o successive.
-
La crittografia dei dati inattivi è supportata solo per gruppi di replica in esecuzione in un Amazon VPC.
-
La crittografia dei dati inattivi è supportata solo per i gruppi di replica in esecuzione sui seguenti tipi di nodi.
-
R7g, R6gd, R6g, R5, R4, R3
-
M7g, 6g, M5, M4, M3
-
T4g, T3, T2
-
C7gn
Per ulteriori informazioni, consulta Tipi di nodi supportati
-
-
La crittografia dei dati inattivi è abilitata impostando in maniera esplicita impostando il parametro
AtRestEncryptionEnabledsutrue. -
Puoi abilitare la crittografia dei dati inattivi su un gruppo di replica solo durante la creazione del gruppo di replica. Non puoi attivare/disattivare la crittografia dei dati inattivi modificando un gruppo di replica. Per informazioni sull'implementazione della crittografia dei dati inattivi su un gruppo di replica esistente, consulta Abilitazione della crittografia dei dati inattivi.
Se un cluster utilizza un tipo di nodo della famiglia r6gd, i dati archiviati su SSD vengono crittografati indipendentemente dal fatto che la crittografia a riposo sia abilitata o meno.
L'opzione di utilizzare la chiave gestita dal cliente per la crittografia a riposo non è disponibile nelle AWS GovCloud regioni (-1 e -1). us-gov-east us-gov-west
Se un cluster utilizza un tipo di nodo della famiglia r6gd, i dati archiviati su SSD vengono crittografati con la chiave AWS KMS gestita dal cliente selezionata (o la crittografia gestita dal servizio nelle regioni). AWS GovCloud
Con Memcached, la crittografia a riposo è supportata solo sulle cache serverless.
Quando si utilizza Memcached, l'opzione di utilizzare la chiave gestita dal cliente per la crittografia a riposo non è disponibile nelle AWS GovCloud regioni (-1 e -1). us-gov-east us-gov-west
L'implementazione della crittografia dei dati inattivi può ridurre le prestazioni durante le operazioni di backup e sincronizzazione. Raffronta la crittografia dei dati inattivi con l'assenza di crittografia sui dati per determinare il suo impatto sulle prestazioni per l'implementazione.
Utilizzo delle chiavi gestite dal cliente di KMS AWS
ElastiCache supporta chiavi KMS simmetriche gestite dal cliente (chiave AWS KMS) per la crittografia a riposo. Le chiavi KMS gestite dal cliente sono chiavi di crittografia che crei, possiedi e gestisci nel tuo account. AWS Per ulteriori informazioni, consulta AWS Chiavi KMS nella AWS Key Management Service Developer Guide (Guida Sviluppatore del Servizio di Gestione Chiave. Le chiavi devono essere create in AWS KMS prima di poter essere utilizzate con. ElastiCache
Per informazioni su come creare le chiavi principali di AWS KMS, consulta Creating Keys nella AWS Key Management Service Developer Guide.
ElastiCache consente l'integrazione con AWS KMS. Per ulteriori informazioni, consulta Utilizzo di concessioni nella AWS Guida per gli sviluppatori Key Management Service. Non è necessaria alcuna azione da parte del cliente per abilitare ElastiCache l'integrazione di Amazon con AWS KMS.
La chiave kms:ViaService condizionale limita l'uso di una chiave AWS KMS (chiave KMS) alle richieste provenienti da servizi specifici. AWS Da utilizzare kms:ViaService con ElastiCache, includi entrambi i ViaService nomi nel valore della chiave di condizione: elasticache.AWS_region.amazonaws.com e. dax.AWS_region.amazonaws.com Per ulteriori informazioni, vedere kms: ViaService.
Puoi utilizzarlo AWS CloudTrailper tenere traccia delle richieste a cui Amazon ElastiCache invia per tuo AWS Key Management Service conto. Tutte le chiamate API AWS Key Management Service relative alle chiavi gestite dal cliente hanno CloudTrail i log corrispondenti. Puoi anche vedere le sovvenzioni generate chiamando ElastiCache la chiamata all'API ListGrantsKMS.
Dopo che un gruppo di replica viene crittografato mediante le chiavi gestite dal cliente, tutti i backup del gruppo di replica sono crittografati nel modo seguente:
I backup automatici giornalieri vengono crittografati utilizzando la chiave gestita dal cliente associata al cluster.
Anche il backup finale creato al momento dell'eliminazione del gruppo di replica viene crittografato utilizzando la chiave gestita da cliente associata a gruppo di replica.
I backup creati manualmente vengono crittografati per impostazione predefinita per utilizzare la chiave KMS associata al gruppo di replica. Puoi sostituirla scegliendo un'altra chiave gestita dal cliente.
La copia di un backup viene impostata in modo di default sull'uso della chiave gestita dal cliente associata a backup fonte. Puoi sostituirla scegliendo un'altra CMK gestita dal cliente.
Nota
-
Le chiavi gestite dal cliente non possono essere utilizzate durante l'esportazione dei backup sul bucket Amazon S3 selezionato. Tuttavia, tutti i backup esportati in Amazon S3 vengono crittografati utilizzando la crittografia lato server. Puoi scegliere di copiare i file di backup su un nuovo oggetto S3 e crittografarli utilizzando una chiave gestita dal cliente, copiare i file in un altro bucket S3 configurato con la crittografia predefinita mediante una chiave KMS o modificare l'opzione di crittografia nel file stesso.
-
Puoi anche utilizzare le chiavi gestite dal cliente per crittografare i backup creati manualmente per i gruppi di replica che, per la crittografia, non utilizzano chiave gestite dal cliente. Con questa opzione, il file di backup archiviato in Amazon S3 viene crittografato utilizzando una chiave KMS, anche se i dati non sono crittografati sul gruppo di replica di fonte.
Il ripristino da un backup consente di scegliere tra le opzioni di crittografia disponibili, come si fa con le opzioni di crittografia disponibili quando si crea un nuovo gruppo di replica.
Se elimini o disabiliti la chiave e revochi le assegnazioni della chiave utilizzata per crittografare un gruppo di replica, la cache diventa irrecuperabile. In altre parole, non può essere modificato o ripristinato dopo un guasto hardware. AWS KMS elimina le chiavi principali solo dopo un periodo di attesa di almeno sette giorni. Una volta eliminata la chiave, puoi utilizzare una chiave gestita dal cliente differente per creare un backup per scopi di archiviazione.
La rotazione automatica delle chiavi preserva le proprietà delle chiavi principali del AWS KMS, quindi la rotazione non ha alcun effetto sulla capacità di accedere ai dati. ElastiCache ElastiCache Le cache Amazon crittografate non supportano la rotazione manuale delle chiavi, che comporta la creazione di una nuova chiave principale e l'aggiornamento di eventuali riferimenti alla vecchia chiave. Per ulteriori informazioni, consulta Rotating AWS KMS keys nella AWS Key Management Service Developer Guide.
La crittografia di una ElastiCache cache utilizzando la chiave KMS richiede una concessione per cache. Questa assegnazione viene utilizzata per tutta la durata della cache. Inoltre, durante la creazione del backup viene utilizzata una singola assegnazione per ogni backup. Questa assegnazione viene ritirata una volta creato il backup.
Per ulteriori informazioni su concessioni e limiti AWS KMS, consulta Limiti nella AWS Key Management Service Developer Guide.
Abilitazione della crittografia dei dati inattivi
Tutte le cache serverless dispongono della crittografia dei dati a riposo abilitata.
Quando si crea un cluster progettato autonomamente, è possibile abilitare la crittografia dei dati a riposo impostando il parametro AtRestEncryptionEnabled su true. Non puoi abilitare la crittografia dei dati inattivi su gruppi di replica esistenti.
È possibile abilitare la crittografia a riposo quando si crea una ElastiCache cache. È possibile farlo utilizzando l' AWS Management Console AWS CLI, il o l' ElastiCache API.
Durante la creazione di una cache, puoi scegliere una delle opzioni seguenti:
-
Predefinita – Questa opzione utilizza la crittografia dei dati inattivi gestita dal servizio.
-
Chiave gestita dal cliente: questa opzione consente di fornire l'ID/ARN della chiave di AWS KMS per la crittografia a riposo.
Per informazioni su come creare chiavi root AWS KMS, consulta Create Keys nella Key Management Service Developer Guide AWS
Indice
È possibile abilitare la crittografia at-rest solo quando si crea un gruppo di replica Valkey o Redis OSS. Se disponi di un gruppo di replica esistente su cui desideri abilitare la crittografia dei dati inattivi, procedi nel modo seguente.
Per abilitare la crittografia dei dati inattivi su un gruppo di replica esistente
-
Creare un backup manuale del gruppo di replica esistente. Per ulteriori informazioni, consulta Esecuzione di backup manuali.
-
Creare un nuovo gruppo di replica eseguendo il ripristino dal backup. Sul nuovo gruppo di replica, abilitare la crittografia dei dati inattivi. Per ulteriori informazioni, consulta Ripristino da un backup in una nuova cache.
-
Aggiornare gli endpoint nell'applicazione affinché facciano riferimento al nuovo gruppo di replica.
-
Eliminare il vecchio gruppo di replica. Per ulteriori informazioni, consulta Eliminazione di un cluster in ElastiCache o Eliminazione di un gruppo di replica.
Abilitazione della crittografia At-Rest utilizzando il AWS Management Console
Tutte le cache serverless dispongono della crittografia dei dati a riposo abilitata. Per impostazione predefinita, viene utilizzata una chiave KMS AWS di proprietà per crittografare i dati. Per scegliere la tua AWS KMS chiave, effettua le seguenti selezioni:
Espandi la sezione Impostazioni predefinite.
Scegli Personalizza le impostazioni predefinite nella sezione Impostazioni predefinite.
Scegli Personalizza le impostazioni di sicurezza nella sezione Sicurezza.
Scegli CMK gestita dal cliente per l'impostazione Chiave di crittografia.
Seleziona una chiave nell'impostazione Chiave AWS KMS .
Quando si progetta la propria cache, le configurazioni "Sviluppo/Test" e "Produzione" con il metodo "Crea semplice" hanno la crittografia dei dati a riposo abilitata con la chiave predefinita. Quando scegli la configurazione, procedi come segue:
-
Scegliere la versione 3.2.6, 4.0.10 o successive come versione motore.
-
Fai clic sulla casella di controllo Abilita accanto all'opzione Crittografia dei dati a riposo.
-
Scegli una chiave predefinita o una CMK gestita dal cliente.
Per la step-by-step procedura, vedere quanto segue:
Abilitazione della crittografia At-Rest utilizzando il AWS CLI
Per abilitare la crittografia a riposo durante la creazione di un cluster Valkey o Redis OSS utilizzando il AWS CLI, utilizzare il parametro -- at-rest-encryption-enabled durante la creazione di un gruppo di replica.
L'operazione seguente crea il gruppo di replica Valkey o Redis OSS (modalità cluster disabilitata) my-classic-rg con tre nodi (-- num-cache-clusters), una replica primaria e due di lettura. La crittografia a riposo è abilitata per questo gruppo di replica (--). at-rest-encryption-enabled
I seguenti parametri e i relativi valori sono necessari per abilitare la crittografia su questo gruppo di replica:
Parametri chiave
-
--engine—Deve essere o.valkeyredis -
--engine-version—Se il motore è Redis OSS, deve essere 3.2.6, 4.0.10 o successivo. -
--at-rest-encryption-enabled- Richiesto per abilitare la crittografia inattiva.
Esempio 1: Cluster Valkey o Redis OSS (modalità cluster disabilitata) con repliche
Per Linux, macOS o Unix:
aws elasticache create-replication-group \ --replication-group-idmy-classic-rg\ --replication-group-description"3 node replication group"\ --cache-node-typecache.m4.large\--engine\redis--at-rest-encryption-enabled\ --num-cache-clusters3
Per Windows:
aws elasticache create-replication-group ^ --replication-group-idmy-classic-rg^ --replication-group-description"3 node replication group"^ --cache-node-typecache.m4.large^--engine^redis--at-rest-encryption-enabled^ --num-cache-clusters3^
Per ulteriori informazioni, consulta la seguente documentazione:
L'operazione seguente crea il gruppo di replica Valkey o Redis OSS (modalità cluster abilitata) my-clustered-rg con tre gruppi di nodi o shard (--). num-node-groups Ciascuno ha tre nodi, una replica principale e due repliche di lettura (--). replicas-per-node-group La crittografia a riposo è abilitata per questo gruppo di replica (--). at-rest-encryption-enabled
I seguenti parametri e i relativi valori sono necessari per abilitare la crittografia su questo gruppo di replica:
Parametri chiave
-
--engine—Deve essere o.valkeyredis -
--engine-version—Se il motore è Redis OSS, deve essere 4.0.10 o successivo. -
--at-rest-encryption-enabled- Richiesto per abilitare la crittografia inattiva. -
--cache-parameter-group: deve esseredefault-redis4.0.cluster.ono uno derivato da esso per rendere questo un gruppo di replica abilitato in modalità cluster.
Esempio 2: Un cluster Valkey o Redis OSS (Cluster Mode Enabled)
Per Linux, macOS o Unix:
aws elasticache create-replication-group \ --replication-group-idmy-clustered-rg\ --replication-group-description"redis clustered cluster"\ --cache-node-typecache.m3.large\ --num-node-groups3\ --replicas-per-node-group2\--engine\redis--engine-version\6.2--at-rest-encryption-enabled\--cache-parameter-groupdefault.redis6.x.cluster.on
Per Windows:
aws elasticache create-replication-group ^ --replication-group-idmy-clustered-rg^ --replication-group-description"redis clustered cluster"^ --cache-node-typecache.m3.large^ --num-node-groups3^ --replicas-per-node-group2^--engine^redis--engine-version^6.2--at-rest-encryption-enabled^--cache-parameter-groupdefault.redis6.x.cluster.on
Per ulteriori informazioni, consulta la seguente documentazione:
Vedi anche
