Cifrado en reposo en ElastiCache - Amazon ElastiCache

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado en reposo en ElastiCache

Para ayudar a proteger sus datos, Amazon ElastiCache y Amazon S3 ofrecen diferentes formas de restringir el acceso a los datos de la memoria caché. Para obtener más información, consulte Seguridad de ElastiCache y Amazon VPC y Identity and Access Management para Amazon ElastiCache.

  • El disco durante las operaciones de sincronización o intercambio

ElastiCache ofrece un cifrado predeterminado (gestionado por el servicio) en reposo, así como la posibilidad de utilizar sus propias claves KMS simétricas gestionadas por el cliente en AWS el Servicio de administración de claves ( AWS KMS). Cuando se haga una copia de seguridad de la caché, elija, en las opciones de cifrado, si desea usar la clave de cifrado predeterminada o una clave administrada por el cliente. Para obtener más información, consulte Activación del cifrado en reposo.

nota

El cifrado predeterminado (gestionado por el servicio) es la única opción disponible en las regiones GovCloud (EE. UU.).

El cifrado en reposo solo se puede habilitar en una caché en el momento de su creación. Como se requiere cierto procesamiento para cifrar y descifrar los datos, habilitar el cifrado en reposo durante estas operaciones puede afectar al rendimiento. Debe comparar los datos con y sin cifrado en reposo para determinar el impacto en el rendimiento de los casos de uso.

Condiciones del cifrado en reposo

Al planificar la implementación del cifrado en ElastiCache reposo, se deben tener en cuenta las siguientes restricciones en relación con el ElastiCache cifrado en reposo:

  • El cifrado en reposo solo es compatible con las cachés sin servidor.

  • La opción de utilizar una clave gestionada por el cliente para el cifrado en reposo no está disponible en las regiones AWS GovCloud (us-gov-east-1 y -1). us-gov-west

Uso de claves administradas por el cliente desde AWS KMS

ElastiCache admite claves AWS KMS simétricas administradas por el cliente (clave KMS) para el cifrado en reposo. Las claves KMS administradas por el cliente son claves de cifrado que usted crea, posee y administra en su cuenta. AWS Para obtener más información, consulte Claves de AWS KMS en la Guía para desarrolladores de AWS Key Management Service. Las claves se deben crear en AWS KMS para poder usarlas con ellas. ElastiCache

Para obtener información sobre cómo crear claves raíz de AWS KMS, consulte Creación de claves en la Guía AWS para desarrolladores del Servicio de administración de claves.

ElastiCache le permite integrarse con AWS KMS. Para obtener más información, consulte Uso de concesiones en la Guía para desarrolladores de AWS Key Management Service. No es necesaria ninguna acción por parte del cliente para habilitar ElastiCache la integración de Amazon con AWS KMS.

La kms:ViaService clave condicional limita el uso de una clave AWS KMS (clave KMS) a las solicitudes de AWS servicios específicos. Para usarla kms:ViaService con ElastiCache, incluye ambos ViaService nombres en el valor de la clave de condición: elasticache.AWS_region.amazonaws.com ydax.AWS_region.amazonaws.com. Para obtener más información, consulte kms: ViaService.

Puedes utilizarla AWS CloudTrailpara hacer un seguimiento de las solicitudes que Amazon ElastiCache envía AWS Key Management Service en tu nombre. Todas las llamadas a la API AWS Key Management Service relacionadas con las claves gestionadas por el cliente tienen CloudTrail los registros correspondientes. También puede ver las concesiones que se ElastiCache crean al llamar a la API de ListGrantsKMS.

  • Si elimina la clave o deshabilita la clave y revoca las concesiones para la clave que utilizó para cifrar una caché, esta se vuelve irrecuperable. En otras palabras, no se puede modificar ni recuperar después de un fallo de hardware. AWS KMS elimina las claves raíz solo después de un período de espera de al menos siete días. Después de eliminar la clave, puede utilizar una clave administrada por el cliente diferente para crear una copia de seguridad con fines de archivo.

  • La rotación automática de claves preserva las propiedades de las claves raíz de AWS KMS, por lo que la rotación no afecta a su capacidad de acceder a sus ElastiCache datos. ElastiCache Las cachés cifradas de Amazon no admiten la rotación manual de claves, lo que implica crear una nueva clave raíz y actualizar cualquier referencia a la clave anterior. Para obtener más información, consulte Rotación de claves AWS KMS en la Guía AWS para desarrolladores del servicio de administración de claves.

  • El cifrado de una ElastiCache caché mediante una clave KMS requiere una concesión por caché. Esa concesión se utiliza durante toda la vida útil de la caché.

  • Para obtener más información sobre las concesiones y los límites de AWS KMS, consulte los límites en la Guía para desarrolladores del servicio de administración de AWS claves.

Activación del cifrado en reposo

Todas las cachés sin servidor tienen activado el cifrado en reposo.

Puede habilitar el cifrado en reposo al crear una ElastiCache memoria caché. Puede hacerlo mediante la AWS Management Console AWS CLI, la o la ElastiCache API.

Cuando cree una caché, puede elegir una de las siguientes opciones:

  • Default (Predeterminado): esta opción utiliza el cifrado administrado por el servicio en reposo.

  • Clave administrada por el cliente: esta opción le permite proporcionar el ID/ARN de clave de AWS KMS para el cifrado en reposo.

Para obtener información sobre cómo crear claves raíz de AWS KMS, consulte Crear claves en la Guía para desarrolladores del Servicio de administración de AWS claves

Habilitar el cifrado en reposo mediante AWS Management Console

Todas las cachés sin servidor tienen activado el cifrado en reposo. De forma predeterminada, se utiliza una AWS clave KMS propia para cifrar los datos. Para elegir su propia AWS KMS clave, realice las siguientes selecciones:

  • Amplíe la sección Configuración predeterminada.

  • Seleccione Personalizar la configuración predeterminada en la sección Configuración predeterminada.

  • Seleccione Personalice su configuración de seguridad en la sección Seguridad.

  • Elija CMK administrada por el cliente en Configuración de clave de cifrado.

  • Seleccione una clave en el ajuste Clave de AWS KMS .

Véase también