Verschlüsselung im Ruhezustand in ElastiCache

Um Ihre Daten zu schützen, bieten Amazon ElastiCache und Amazon S3 verschiedene Möglichkeiten, den Zugriff auf Daten in Ihrem Cache einzuschränken. Weitere Informationen finden Sie unter Amazon VPCs und ElastiCache Sicherheit und Identity and Access Management für Amazon ElastiCache.

ElastiCache Die Verschlüsselung im Ruhezustand ist eine Funktion zur Erhöhung der Datensicherheit durch Verschlüsselung von Daten auf der Festplatte. In einem Serverless-Cache ist sie immer aktiviert. Wenn die Funktion aktiviert ist, werden folgenden Aspekte verschlüsselt:

• Festplatte bei Synchronisierung, Backup und Austausch

• In Amazon S3 gespeicherte Backups

Daten, die auf SSDs (Solid-State-Laufwerke) in Data-Tiering-fähigen Clustern gespeichert sind, werden immer verschlüsselt.

ElastiCache bietet standardmäßige (vom Service verwaltete) Verschlüsselung im Ruhezustand sowie die Möglichkeit, Ihre eigenen symmetrischen, vom Kunden verwalteten AWS KMS-Schlüssel im AWS Key Management Service (KMS) zu verwenden. Wählen Sie bei der Sicherung des Caches unter Verschlüsselungsoptionen aus, ob Sie den Standardverschlüsselungsschlüssel oder einen vom Kunden verwalteten Schlüssel verwenden möchten. Weitere Informationen finden Sie unter Aktivieren der Verschlüsselung im Ruhezustand.

Anmerkung

Die Standardverschlüsselung (vom Service verwaltet) ist die einzige Option, die in den Regionen GovCloud (USA) verfügbar ist.

Wichtig

Wenn Sie die Verschlüsselung im Ruhezustand auf einem vorhandenen, selbst entworfenen Redis OSS-Cluster aktivieren, müssen Sie Ihre bestehende Replikationsgruppe löschen, nachdem Sie die Sicherung und Wiederherstellung für die Replikationsgruppe ausgeführt haben.

Die Verschlüsselung im Ruhezustand kann nur für einen Cache aktiviert werden, wenn dieser erstellt wird. Da zum Verschlüsseln und Entschlüsseln der Daten ein gewisses Maß an Verarbeitung erforderlich ist, kann die Aktivierung der Verschlüsselung der Daten im Ruhezustand bei diesen Vorgängen zu Leistungseinbußen führen. Sie sollten Ihre Daten mit und ohne Verschlüsselung im Ruhezustand vergleichen, um die Auswirkungen auf die Leistung für Ihre Anwendungsfälle zu ermitteln.

Bedingungen für die Verschlüsselung im Ruhezustand

Bei der Planung der Implementierung ElastiCache der Verschlüsselung im Ruhezustand sollten Sie die folgenden Einschränkungen bei der ElastiCache Verschlüsselung im Ruhezustand berücksichtigen:

• Die Verschlüsselung im Ruhezustand wird auf Replikationsgruppen unterstützt, auf denen Redis OSS-Versionen (3.2.6 ist für EOL geplant, siehe Zeitplan für das Ende des Lebenszyklus der Redis OSS-Versionen), 4.0.10 oder höher, ausgeführt werden.

• Die Verschlüsselung der Daten im Ruhezustand wird nur für Replikationsgruppen unterstützt, die in einer Amazon VPC. ausgeführt werden.

• Die Verschlüsselung im Ruhezustand wird nur für Replikationsgruppen unterstützt, die die folgenden Knotentypen ausführen.

  • R6gd, R6g, R5, R4, R3

  • M6g, M5, M4, M3

  • T4g, T3, T2

  Weitere Informationen finden Sie unter Unterstützte Knotentypen.

• Die Verschlüsselung im Ruhezustand wird durch die explizite Festlegung des AtRestEncryptionEnabled-Parameters auf true aktiviert.

• Sie können die Verschlüsselung im Ruhezustand nur für eine Replikationsgruppe aktivieren, wenn Sie die Replikationsgruppe erstellen. Sie können die Verschlüsselung während der Übertragung nicht aktivieren und deaktivieren, indem Sie eine Replikationsgruppe ändern. Informationen zur Implementierung der Verschlüsselung im Ruhezustand bei vorhandenen Replikationsgruppen finden Sie unter Aktivieren der Verschlüsselung im Ruhezustand.

• Wenn ein Cluster einen Knotentyp aus der R6gd-Familie verwendet, werden auf SSDs gespeicherte Daten unabhängig davon verschlüsselt, ob die Verschlüsselung im Ruhezustand aktiviert ist oder nicht.

• Die Option, vom Kunden verwaltete Schlüssel für die Verschlüsselung im Ruhezustand zu verwenden, ist in AWS GovCloud den Regionen (-1 und -1) nicht verfügbar. us-gov-east us-gov-west

• Wenn ein Cluster einen Knotentyp aus der R6GD-Familie verwendet, werden die auf der SSD gespeicherten Daten mit dem ausgewählten, vom Kunden verwalteten AWS KMS-Schlüssel (oder der vom Service verwalteten Verschlüsselung in AWS GovCloud Regionen) verschlüsselt.

Durch die Implementierung der Verschlüsselung der Daten im Ruhezustand kann die Leistung während der Sicherungs- und Knoten-Synchronisierungsvorgänge reduziert sein. Vergleichen Sie die Verschlüsselung der Daten im Ruhezustand mit Ihren eigenen unverschlüsselten Daten, um die Auswirkungen auf die Leistung Ihrer Implementierung zu ermitteln.

Verwendung von vom Kunden verwalteten Schlüsseln von AWS KMS

ElastiCache unterstützt symmetrische, vom Kunden verwaltete AWS KMS-Schlüssel (KMS-Schlüssel) für die Verschlüsselung im Ruhezustand. Kundenverwaltete KMS-Schlüssel sind Verschlüsselungsschlüssel, die Sie in Ihrem AWS Konto erstellen, besitzen und verwalten. Weitere Informationen finden Sie unter AWS -KMS-Schlüssel im Entwicklerhandbuch zum AWS -Schlüsselverwaltungsdienst. Die Schlüssel müssen in AWS KMS erstellt werden, bevor sie mit ElastiCache verwendet werden können.

Informationen zum Erstellen von AWS KMS-Stammschlüsseln finden Sie unter Creating Keys im AWS Key Management Service Developer Guide.

ElastiCache ermöglicht Ihnen die Integration mit AWS KMS. Weitere Informationen finden Sie unter Verwendung von Berechtigungen im Entwicklerhandbuch zum AWS -Schlüsselverwaltungsdienst. Es sind keine Kundenaktionen erforderlich, um die ElastiCache Amazon-Integration mit AWS KMS zu aktivieren.

Der kms:ViaService Bedingungsschlüssel beschränkt die Verwendung eines AWS KMS-Schlüssels (KMS-Schlüssel) auf Anfragen von bestimmten AWS Diensten. Um kms:ViaService mit zu verwenden ElastiCache, schließen Sie beide ViaService Namen in den Wert des Bedingungsschlüssels ein: elasticache.AWS_region.amazonaws.com unddax.AWS_region.amazonaws.com. Weitere Informationen finden Sie unter kms: ViaService.

Sie können AWS CloudTraildamit die Anfragen verfolgen, an die Amazon in AWS Key Management Service Ihrem Namen ElastiCache sendet. Alle API-Aufrufe, die sich auf vom Kunden verwaltete Schlüssel AWS Key Management Service beziehen, haben entsprechende CloudTrail Protokolle. Sie können sich auch die Zuschüsse ansehen, die ElastiCache generiert werden, wenn Sie den ListGrantsKMS-API-Aufruf aufrufen.

Ist eine Replikationsgruppe mit einem vom Kunden verwalteten Schlüssel verschlüsselt, werden alle Backups für die Replikationsgruppe wie folgt verschlüsselt:

• Tägliche automatische Backups werden mit dem vom Kunden verwalteten Schlüssel verschlüsselt, der dem Cluster zugeordnet ist.

• Die letzte Sicherung, die beim Löschen der Replikationsgruppe erstellt wird, wird ebenfalls mit dem kundenverwalteten Schlüssel verschlüsselt, der der Replikationsgruppe zugeordnet ist.

• Standardmäßig werden manuell erstellte Sicherungen mit dem der Replikationsgruppe zugeordneten KMS-Schlüssel verschlüsselt. Mit einem anderen kundenverwalteten Schlüssel können Sie dies außer Kraft setzen.

• Als Standardeinstellung wird beim Kopieren einer Sicherung ein vom Kunden verwalteter Schlüssel verwendet, der mit der Quellsicherung verknüpft ist. Mit einem anderen kundenverwalteten Schlüssel können Sie dies außer Kraft setzen.

Anmerkung

• Kundenverwaltete Schlüssel können beim Exportieren von Sicherungen in den von Ihnen ausgewählten Amazon S3-Bucket nicht verwendet werden. Alle in Amazon S3 exportierten Sicherungen werden jedoch mit serverseitiger Verschlüsselung verschlüsselt. Sie können wahlweise die Sicherungsdatei in ein neues S3-Objekt kopieren und mit einem vom Kunden verwalteten KMS-Schlüssel verschlüsseln, die Datei in einen anderen S3-Bucket kopieren, der mit Standardverschlüsselung unter Verwendung eines KMS-Schlüssels eingerichtet ist, oder eine Verschlüsselungsoption in der Datei selbst ändern.

• Außerdem können Sie vom Kunden verwaltete Schlüssel verwenden, um manuell erstellte Backups für Replikationsgruppen zu verschlüsseln, die keine vom Kunden verwalteten Schlüssel für die Verschlüsselung verwenden. Durch diese Option wird die in Amazon S3 gespeicherte Sicherungsdatei mit einem KMS-Schlüssel verschlüsselt, auch wenn die Daten in der ursprünglichen Replikationsgruppe nicht verschlüsselt sind.

Bei der Wiederherstellung von einer Sicherung können Sie aus verschiedenen Verschlüsselungsoptionen wählen, ähnlich den verfügbaren Verschlüsselungsoptionen beim Erstellen einer neuen Replikationsgruppe.

• Wenn Sie den Schlüssel löschen oder deaktivieren und für den Schlüssel, den Sie zur Verschlüsselung eines Caches verwendet haben, Genehmigungen zurückziehen, kann der Cache nicht wiederhergestellt werden. Mit anderen Worten, es kann nach einem Hardwarefehler nicht geändert oder wiederhergestellt werden. AWS KMS löscht Root-Schlüssel erst nach einer Wartezeit von mindestens sieben Tagen. Nach dem Löschen des Schlüssels können Sie einen anderen vom Kunden verwalteten Schlüssel verwenden, um eine Sicherungskopie für Archivierungszwecke zu erstellen.

• Bei der automatischen Schlüsselrotation bleiben die Eigenschaften Ihrer AWS KMS-Root-Schlüssel erhalten, sodass die Rotation keine Auswirkungen auf Ihre Fähigkeit hat, auf Ihre Daten zuzugreifen. ElastiCache Verschlüsselte ElastiCache Amazon-Caches unterstützen keine manuelle Schlüsselrotation, bei der ein neuer Root-Schlüssel erstellt und alle Verweise auf den alten Schlüssel aktualisiert werden. Weitere Informationen finden Sie unter Rotation von AWS KMS-Schlüsseln im AWS Key Management Service Developer Guide.

• Für die Verschlüsselung eines ElastiCache Caches mithilfe eines KMS-Schlüssels ist ein Grant pro Cache erforderlich. Diese Genehmigung gilt für die Lebensdauer des Caches. Zusätzlich wird eine Genehmigung pro Backup bei der Backup-Erstellung verwendet. Diese Genehmigung wird zurückgezogen, sobald das Backup erstellt wurde.

• Weitere Informationen zu AWS KMS-Zuschüssen und -Limits finden Sie unter Limits im AWS Key Management Service Developer Guide.

Aktivieren der Verschlüsselung im Ruhezustand

Für alle Serverless-Caches ist die Verschlüsselung im Ruhezustand aktiviert.

Wenn Sie einen selbst entworfenen Cluster erstellen, können Sie die Verschlüsselung im Ruhezustand aktivieren, indem Sie den Parameter AtRestEncryptionEnabled auf true festlegen. Sie können die Verschlüsselung der Daten im Ruhezustand für vorhandene Replikationsgruppen nicht aktivieren.

Sie können die Verschlüsselung im Ruhezustand aktivieren, wenn Sie einen ElastiCache Cache erstellen. Sie können dies mit der AWS Management Console AWS CLI, oder der ElastiCache API tun.

Beim Erstellen eines Caches können Sie eine der folgenden Optionen auswählen:

• Standard – Diese Option verwendet serviceverwaltete Verschlüsselung im Ruhezustand.

• Vom Kunden verwalteter Schlüssel — Mit dieser Option können Sie die Schlüssel-ID/den ARN von AWS KMS für die Verschlüsselung im Ruhezustand angeben.

Informationen zum Erstellen von AWS KMS-Root-Schlüsseln finden Sie unter Create Keys im AWS Key Management Service Developer Guide

Inhalt

• Aktivierung der Verschlüsselung im Ruhezustand mithilfe der AWS Management Console
• Aktivierung der Verschlüsselung im Ruhezustand mithilfe der AWS CLI

Aktivierung der Verschlüsselung im Ruhezustand auf einem vorhandenen, selbst entworfenen Redis OSS-Cluster

Sie können die Verschlüsselung im Ruhezustand nur aktivieren, wenn Sie eine Redis OSS-Replikationsgruppe erstellen. Gehen Sie folgendermaßen vor, wenn Sie über eine vorhandene Replikationsgruppe verfügen, für die Sie die Verschlüsselung der Daten im Ruhezustand aktivieren möchten.

Aktivieren der Verschlüsselung der Daten im Ruhezustand für eine vorhandene Replikationsgruppe

1. Erstellen Sie eine manuelle Sicherung Ihrer vorhandenen Replikationsgruppe. Weitere Informationen finden Sie unter Erstellen manueller Backups.

2. Erstellen Sie eine neue Replikationsgruppe, indem Sie sie aus der Sicherung wiederherstellen. Aktivieren Sie in der neuen Replikationsgruppe die Verschlüsselung der Daten im Ruhezustand. Weitere Informationen finden Sie unter Wiederherstellen aus einem Backup in einen neuen Cache.

3. Aktualisieren Sie die Endpunkte in Ihrer Anwendung so, dass sie auf die neue Replikationsgruppe verweisen.

4. Löschen Sie die alte Replikationsgruppe. Weitere Informationen finden Sie unter Löschen eines Clusters oder Löschen einer Replikationsgruppe.

Aktivierung der Verschlüsselung im Ruhezustand mithilfe der AWS Management Console

Aktivieren der Verschlüsselung im Ruhezustand für einen Serverless-Cache (Konsole)

Für alle Serverless-Caches ist die Verschlüsselung im Ruhezustand aktiviert. Standardmäßig wird ein KMS-Schlüssel, der AWS-Eigentümer ist, zum Verschlüsseln von Daten verwendet. Um Ihren eigenen AWS KMS Schlüssel auszuwählen, treffen Sie die folgenden Auswahlen:

• Erweitern Sie den Abschnitt Standardeinstellungen.

• Wählen Sie im Abschnitt Standardeinstellungen die Option Standardeinstellungen anpassen aus.

• Wählen Sie im Abschnitt Sicherheit die Option Sicherheitseinstellungen anpassen aus.

• Wählen Sie unter der Einstellung Verschlüsselungsschlüssels die Option Kundenverwalteter CMK aus.

• Wählen Sie unter der Einstellung AWS KMS -Schlüssel einen Schlüssel aus.

Aktivieren der Verschlüsselung im Ruhezustand für einen selbst entworfenen Cluster (Konsole)

Wenn Sie einen eigenen Cache entwerfen, ist bei den Konfigurationen „Dev/Test“ und „Production“ mit der Methode „Easy Create“ die Verschlüsselung im Ruhezustand mithilfe des Schlüssels Standard aktiviert. Legen Sie die folgenden Einstellungen fest, wenn Sie die Konfiguration selbst auswählen:

• Wählen Sie Version 3.2.6, 4.0.10 oder höher als Ihre Engine-Version.

• Aktivieren Sie für die Option Verschlüsselung im Ruhezustand das Kontrollkästchen neben Aktivieren.

• Wählen Sie entweder die Option Standardschlüssel oder Kundenverwalteter CMK.

Das step-by-step Verfahren finden Sie im Folgenden:

• Erstellen eines Redis OSS-Clusters (Cluster-Modus deaktiviert) (Konsole)

• Erstellen eines Redis OSS-Clusters (Clustermodus aktiviert) (Konsole)

Aktivierung der Verschlüsselung im Ruhezustand mithilfe der AWS CLI

Um die Verschlüsselung im Ruhezustand bei der Erstellung eines Redis OSS-Clusters mithilfe von zu aktivieren AWS CLI, verwenden Sie beim Erstellen einer Replikationsgruppe den at-rest-encryption-enabled Parameter --.

Aktivierung der Verschlüsselung im Ruhezustand auf einem Redis OSS-Cluster (Cluster-Modus deaktiviert) (CLI)

Der folgende Vorgang erstellt die Redis OSS-Replikationsgruppe (Clustermodus deaktiviert) my-classic-rg mit drei Knoten (-- num-cache-clusters), einem primären und zwei Read Replicas. Die Verschlüsselung im Ruhezustand ist für diese Replikationsgruppe aktiviert (- -). at-rest-encryption-enabled

Die folgenden Parameter und ihre Werte sind erforderlich, um die Verschlüsselung für diese Replikationsgruppe zu aktivieren:

Hauptparameter

• --engine—Der Wert muss redis sein.

• --engine-version—Muss 3.2.6, 4.0.10 oder höher sein.

• --at-rest-encryption-enabled—Erforderlich, um die Verschlüsselung von Daten im Ruheszustand zu aktivieren.

Beispiel 1: Redis OSS-Cluster (Clustermodus deaktiviert) mit Replikaten

Für Linux, macOS oder Unix:

aws elasticache create-replication-group \
    --replication-group-id my-classic-rg \
    --replication-group-description "3 node replication group" \
    --cache-node-type cache.m4.large \
    --engine redis \    
    --at-rest-encryption-enabled \  
    --num-cache-clusters 3 

Für Windows:

aws elasticache create-replication-group ^
    --replication-group-id my-classic-rg ^
    --replication-group-description "3 node replication group" ^
    --cache-node-type cache.m4.large ^
    --engine redis ^    
    --at-rest-encryption-enabled ^  
    --num-cache-clusters 3 ^

Weitere Informationen finden Sie unter:

• Eine Redis OSS-Replikationsgruppe (Clustermodus deaktiviert) von Grund auf neu erstellen ()AWS CLI

• create-replication-group

 

Aktivierung der At-Rest-Verschlüsselung auf einem Cluster für Redis OSS (Cluster-Modus aktiviert) (CLI)

Der folgende Vorgang erstellt die Redis OSS-Replikationsgruppe (Clustermodus aktiviert) my-clustered-rg mit drei Knotengruppen oder Shards (--). num-node-groups Jeder hat drei Knoten, einen primären und zwei Read Replicas (- -). replicas-per-node-group Die Verschlüsselung im Ruhezustand ist für diese Replikationsgruppe aktiviert (-- at-rest-encryption-enabled).

Die folgenden Parameter und ihre Werte sind erforderlich, um die Verschlüsselung für diese Replikationsgruppe zu aktivieren:

Hauptparameter

• --engine—Der Wert muss redis sein.

• --engine-version—Muss 4.0.10 oder höher sein.

• --at-rest-encryption-enabled—Erforderlich, um die Verschlüsselung von Daten im Ruheszustand zu aktivieren.

• --cache-parameter-group—Muss default-redis4.0.cluster.on oder eine davon abgeleitete sein, um diese zu einer Cluster-Modus-fähigen Replikationsgruppe zu machen.

Beispiel 2: Ein Redis OSS-Cluster (Clustermodus aktiviert)

Für Linux, macOS oder Unix:

aws elasticache create-replication-group \
   --replication-group-id my-clustered-rg \
   --replication-group-description "redis clustered cluster" \
   --cache-node-type cache.m3.large \
   --num-node-groups 3 \
   --replicas-per-node-group 2 \
   --engine redis \
   --engine-version 6.2 \
   --at-rest-encryption-enabled \
   --cache-parameter-group default.redis6.x.cluster.on

Für Windows:

aws elasticache create-replication-group ^
   --replication-group-id my-clustered-rg ^
   --replication-group-description "redis clustered cluster" ^
   --cache-node-type cache.m3.large ^
   --num-node-groups 3 ^
   --replicas-per-node-group 2 ^
   --engine redis ^
   --engine-version 6.2 ^
   --at-rest-encryption-enabled ^
   --cache-parameter-group default.redis6.x.cluster.on

Weitere Informationen finden Sie unter:

• Eine Redis OSS-Replikationsgruppe (Cluster Mode Enabled) von Grund auf neu erstellen ()AWS CLI

• create-replication-group

Weitere Informationen finden Sie unter:

• Amazon VPCs und ElastiCache Sicherheit

• Identity and Access Management für Amazon ElastiCache