本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

ElastiCache 傳輸中加密 (TLS)

為了協助保護您的資料安全，Amazon ElastiCache 和 Amazon EC2 提供保護您伺服器上的資料不受未授權存取的機制。ElastiCache 透過提供傳輸中加密功能，在您的資料於不同地點間移動時，讓您有工具可以協助保護資料。

所有 Valkey 或 Redis OSS 無伺服器快取都已啟用傳輸中加密。對於自行設計的叢集，您可以透過在建立複寫群組時，將參數 TransitEncryptionEnabled 設定為 true (CLI：--transit-encryption-enabled)，以在複寫群組上啟用傳輸中加密。無論您是使用 AWS Management Console、 或 ElastiCache API 建立複寫群組 AWS CLI，都可以執行此操作。

所有無伺服器快取都會啟用傳輸中加密。對於自行設計的叢集，您可以在使用 CreateCacheCluster (CLI：create-cache-cluster) 操作建立快取叢集時，將參數 TransitEncryptionEnabled 設定為 true (CLI：--transit-encryption-enabled)，以在快取叢集上啟用傳輸中加密。

傳輸中加密概觀

Amazon ElastiCache 傳輸中加密功能可讓您在資料於兩地之間傳輸時，在資料最易遭受攻擊的點提高資料的安全性。因為要加密和解密端點的資料需要一些處理，啟用傳輸中加密可能會有一些效能影響。您應該對您具有和不具有傳輸中加密的資料進行基準分析，以判斷對您的使用案例的影響。

ElastiCache 傳輸中加密會實作下列功能：

傳輸中加密條件 (Valkey 和 Redis OSS)

規劃自行設計的叢集實作時，應謹記下列有關 Amazon ElastiCache 傳輸中加密的限制條件：

傳輸中加密條件 (Memcached)

規劃自行設計的叢集實作時，應謹記下列有關 Amazon ElastiCache 傳輸中加密的限制條件：

傳輸中加密最佳實務

其他 Valkey 和 Redis OSS 選項

如需 Valkey 和 Redis OSS 可用選項的詳細資訊，請參閱下列連結。

啟用 Memcached 的傳輸中加密

若要在使用 AWS 管理主控台建立 Memcached 叢集時，啟用傳輸中加密，請選取以下項目：

如需step-by-step程序，請參閱 為 Valkey 或 Redis OSS 建立叢集。

使用 Openssl (Memcached) 連線至已啟用傳輸中加密的節點

若要從啟用傳輸中加密的 ElastiCache for Memcached 節點存取資料，需使用可與 Secure Sockets Layer (SSL) 搭配的用戶端。您也可以在 Amazo Linux 和 Amazo Linux 2 上使用 Openssl s_client。

在 Amazo Linux 或 Amazo Linux 2 上，使用 Openssl s_client 來連線到啟用傳輸中加密的 Memcached 叢集：

/usr/bin/openssl s_client -connect memcached-node-endpoint:memcached-port

使用 Java 建立 TLS Memcached 用戶端

若要在 TLS 模式下建立用戶端，請執行下列操作，使用適當的 SSLContext 來初始化用戶端：

import java.security.KeyStore;
import javax.net.ssl.SSLContext;
import javax.net.ssl.TrustManagerFactory;
import net.spy.memcached.AddrUtil;
import net.spy.memcached.ConnectionFactoryBuilder;
import net.spy.memcached.MemcachedClient;
public class TLSDemo {
    public static void main(String[] args) throws Exception {
        ConnectionFactoryBuilder connectionFactoryBuilder = new ConnectionFactoryBuilder();
        // Build SSLContext
        TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
        tmf.init((KeyStore) null);
        SSLContext sslContext = SSLContext.getInstance("TLS");
        sslContext.init(null, tmf.getTrustManagers(), null);
        // Create the client in TLS mode
        connectionFactoryBuilder.setSSLContext(sslContext);
        MemcachedClient client = new MemcachedClient(connectionFactoryBuilder.build(), AddrUtil.getAddresses("mycluster.fnjyzo.cfg.use1.cache.amazonaws.com:11211"));

        // Store a data item for an hour.
        client.set("theKey", 3600, "This is the data value");
    }
}

使用 PHP 建立 TLS Memcached 用戶端

若要在 TLS 模式下建立用戶端，請執行下列操作，使用適當的 SSLContext 來初始化用戶端：

<?php

/**
 * Sample PHP code to show how to create a TLS Memcached client. In this example we
 * will use the Amazon ElastiCache Auto Descovery feature, but TLS can also be
 * used with a Static mode client. 
 * See Using the ElastiCache Cluster Client for PHP (https://docs.aws.amazon.com/AmazonElastiCache/latest/dg/AutoDiscovery.Using.ModifyApp.PHP.html) for more information 
 * about Auto Discovery and persistent-id.
 */

/* Configuration endpoint to use to initialize memcached client.
 * this is only an example */
$server_endpoint = "mycluster.fnjyzo.cfg.use1.cache.amazonaws.com";

/* Port for connecting to the cluster. 
 * This is only an example     */
$server_port = 11211;

/* Initialize a persistent Memcached client and configure it with the Dynamic client mode  */
$tls_client =  new Memcached('persistent-id');
$tls_client->setOption(Memcached::OPT_CLIENT_MODE, Memcached::DYNAMIC_CLIENT_MODE);

/* Add the memcached's cluster server/s */
$tls_client->addServer($server_endpoint, $server_port);

/* Configure the client to use TLS */
if(!$tls_client->setOption(Memcached::OPT_USE_TLS, 1)) {
    echo $tls_client->getLastErrorMessage(), "\n";
    exit(1);
}

/* Set your TLS context configurations values.
 * See MemcachedTLSContextConfig in memcached-api.php for all configurations */
$tls_config = new MemcachedTLSContextConfig();
$tls_config->hostname = '*.mycluster.fnjyzo.use1.cache.amazonaws.com';
$tls_config->skip_cert_verify = false;
$tls_config->skip_hostname_verify = false;

/* Use the created TLS context configuration object to create OpenSSL's SSL_CTX and set it to your client.
 * Note:  These TLS context configurations will be applied to all the servers connected to this client. */
$tls_client->createAndSetTLSContext((array)$tls_config);

/* test the TLS connection with set-get scenario: */

 /* store the data for 60 seconds in the cluster.
 * The client will decide which cache host will store this item.
 */
if($tls_client->set('key', 'value', 60)) {
    print "Successfully stored key\n";
} else {
    echo "Failed to set key: ", $tls_client->getLastErrorMessage(), "\n";
    exit(1);
}

/* retrieve the key */
if ($tls_client->get('key') === 'value') {
    print "Successfully retrieved key\n";
} else {
    echo "Failed to get key: ", $tls_client->getLastErrorMessage(), "\n";
    exit(1);
}

如需使用 PHP 用戶端的詳細資訊，請參閱安裝適用於 PHP 的 ElastiCache 叢集用戶端。