Enkripsi At-Rest di ElastiCache - Amazon ElastiCache

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi At-Rest di ElastiCache

Untuk membantu menjaga keamanan data Anda, Amazon ElastiCache dan Amazon S3 menyediakan berbagai cara untuk membatasi akses ke data di cache Anda. Untuk informasi selengkapnya, silakan lihat Amazon VPCs dan ElastiCache keamanan dan Identity and Access Management untuk Amazon ElastiCache.

ElastiCache enkripsi at-rest adalah fitur untuk meningkatkan keamanan data dengan mengenkripsi data on-disk. Fitur ini selalu diaktifkan di cache nirserver. Saat diaktifkan, fitur ini mengenkripsi aspek-aspek berikut:

  • Disk selama operasi sinkronisasi, pencadangan, dan swap

  • Cadangan yang disimpan di Amazon S3

Data yang disimpan pada SSDs (solid-state drive) dalam cluster yang diaktifkan tiering data selalu dienkripsi.

ElastiCache menawarkan enkripsi default (dikelola layanan) saat istirahat, serta kemampuan untuk menggunakan AWS KMS kunci terkelola pelanggan simetris Anda sendiri di AWS Key Management Service (KMS). Saat cache dicadangkan, di bagian opsi enkripsi, pilih apakah akan menggunakan kunci enkripsi default atau kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat Mengaktifkan Enkripsi Diam.

catatan

Enkripsi default (dikelola layanan) adalah satu-satunya opsi yang tersedia di Wilayah GovCloud (AS).

penting

Mengaktifkan Enkripsi AT-rest pada OSS klaster Valkey atau Redis yang dirancang sendiri yang ada melibatkan penghapusan grup replikasi Anda yang ada, setelah menjalankan pencadangan dan pemulihan pada grup replikasi.

Enkripsi diam dapat diaktifkan di cache hanya pada saat pembuatannya. Karena diperlukan beberapa pemrosesan untuk mengenkripsi dan mendekripsi data, mengaktifkan enkripsi diam dapat berdampak pada performa selama operasi ini. Anda harus membandingkan data Anda menggunakan dan tidak menggunakan enkripsi diam untuk menentukan dampaknya terhadap performa untuk kasus penggunaan Anda.

Kondisi Enkripsi Diam

Kendala berikut pada enkripsi ElastiCache saat istirahat harus diingat ketika Anda merencanakan implementasi enkripsi saat istirahat: ElastiCache

  • Enkripsi AT-rest didukung pada grup replikasi yang menjalankan Valkey 7.2 dan yang lebih baru, dan versi Redis (3.2.6 dijadwalkan untuk, lihat jadwal akhir masa pakai OSS versi Redis)EOL, 4.0.10 atau yang OSS lebih baru.

  • Enkripsi AT-rest hanya didukung untuk grup replikasi yang berjalan di Amazon. VPC

  • Enkripsi diam hanya didukung untuk grup replikasi yang menjalankan jenis simpul berikut.

    • R6gd, R6g, R5, R4, R3

    • M6g, M5, M4, M3

    • T4g, T3, T2

    Untuk informasi selengkapnya, lihat Jenis simpul yang didukung

  • Enkripsi diam diaktifkan dengan menetapkan parameter AtRestEncryptionEnabled ke true secara eksplisit.

  • Anda dapat mengaktifkan enkripsi diam pada grup replikasi hanya saat membuat grup replikasi. Anda tidak dapat mengaktifkan dan menonaktifkan enkripsi diam dengan mengubah grup replikasi. Untuk informasi tentang cara menerapkan enkripsi diam pada grup replikasi yang sudah ada, lihat Mengaktifkan Enkripsi Diam.

  • Jika cluster menggunakan tipe node dari keluarga r6gd, data yang disimpan dienkripsi SSD apakah enkripsi di-rest diaktifkan atau tidak.

  • Opsi untuk menggunakan kunci terkelola pelanggan untuk enkripsi saat istirahat tidak tersedia di AWS GovCloud (us-gov-east-1 dan us-gov-west -1) wilayah.

  • Jika klaster menggunakan tipe node dari keluarga r6gd, data yang disimpan akan dienkripsi dengan AWS KMS kunci SSD terkelola pelanggan yang dipilih (atau enkripsi yang dikelola layanan di Wilayah). AWS GovCloud

  • Dengan Memcached, enkripsi saat istirahat hanya didukung pada cache tanpa server.

  • Saat menggunakan Memcached, opsi untuk menggunakan kunci terkelola pelanggan untuk enkripsi saat istirahat tidak tersedia di AWS GovCloud (us-gov-east-1 dan us-gov-west -1) wilayah.

Menerapkan enkripsi diam dapat menurunkan performa selama operasi pencadangan dan sinkronisasi simpul. Lakukan tolok ukur enkripsi diam dibandingkan dengan tanpa enkripsi pada data Anda sendiri untuk menentukan dampaknya terhadap performa untuk implementasi Anda.

Menggunakan kunci yang dikelola pelanggan dari AWS KMS

ElastiCache mendukung AWS KMS kunci (KMSkunci) yang dikelola pelanggan simetris untuk enkripsi saat istirahat. Kunci yang dikelola pelanggan adalah KMS kunci enkripsi yang Anda buat, miliki, dan kelola di akun Anda AWS . Untuk informasi selengkapnya, lihat AWS KMS AWS kunci di Panduan Pengembang Layanan Manajemen Kunci. Kunci harus dibuat AWS KMS sebelum dapat digunakan ElastiCache.

Untuk mempelajari cara membuat kunci AWS KMS root, lihat Membuat Kunci di Panduan Pengembang Layanan Manajemen AWS Kunci.

ElastiCache memungkinkan Anda untuk berintegrasi dengan AWS KMS. Untuk informasi selengkapnya, lihat Menggunakan Grant dalam Panduan Developer AWS Key Management Service. Tidak ada tindakan pelanggan yang diperlukan untuk mengaktifkan ElastiCache integrasi Amazon dengan AWS KMS.

Kunci kms:ViaService kondisi membatasi penggunaan AWS KMS kunci (KMSkunci) untuk permintaan dari AWS layanan tertentu. Untuk digunakan kms:ViaService dengan ElastiCache, sertakan kedua ViaService nama dalam nilai kunci kondisi: elasticache.AWS_region.amazonaws.com dandax.AWS_region.amazonaws.com. Untuk informasi lebih lanjut, lihat kms: ViaService.

Anda dapat menggunakan AWS CloudTrailuntuk melacak permintaan yang ElastiCache dikirimkan AWS Key Management Service Amazon atas nama Anda. Semua API panggilan yang AWS Key Management Service terkait dengan kunci yang dikelola pelanggan memiliki CloudTrail log yang sesuai. Anda juga dapat melihat hibah yang ElastiCache dibuat dengan memanggil ListGrantsKMSAPIpanggilan.

Setelah grup replikasi dienkripsi menggunakan kunci yang dikelola pelanggan, semua cadangan untuk grup replikasi akan dienkripsi sebagai berikut:

  • Cadangan harian otomatis dienkripsi menggunakan kunci yang dikelola pelanggan yang terkait dengan klaster.

  • Cadangan akhir yang dibuat saat grup replikasi dihapus, juga dienkripsi menggunakan kunci yang dikelola pelanggan yang terkait dengan grup replikasi.

  • Cadangan yang dibuat secara manual dienkripsi secara default untuk menggunakan KMS kunci yang terkait dengan grup replikasi. Anda dapat menggantinya dengan memilih kunci dikelola pelanggan yang lain.

  • Jika cadangan disalin, kunci yang dikelola pelanggan yang terkait dengan cadangan sumber akan secara default digunakan. Anda dapat menggantinya dengan memilih kunci dikelola pelanggan yang lain.

catatan
  • Kunci yang dikelola pelanggan tidak dapat digunakan saat mengekspor cadangan ke bucket Amazon S3 pilihan Anda. Namun, semua cadangan yang diekspor ke Amazon S3 akan dienkripsi menggunakan Enkripsi sisi server. Anda dapat memilih untuk menyalin file cadangan ke objek S3 baru dan mengenkripsi menggunakan KMS kunci yang dikelola pelanggan, menyalin file ke bucket S3 lain yang diatur dengan enkripsi default menggunakan KMS kunci atau mengubah opsi enkripsi dalam file itu sendiri.

  • Anda juga dapat menggunakan kunci yang dikelola pelanggan untuk mengenkripsi cadangan yang dibuat secara manual untuk grup replikasi yang tidak menggunakan kunci yang dikelola pelanggan untuk enkripsi. Dengan opsi ini, file cadangan yang disimpan di Amazon S3 dienkripsi menggunakan KMS kunci, meskipun data tidak dienkripsi pada grup replikasi asli.

Memulihkan dari cadangan memungkinkan Anda memilih opsi enkripsi yang tersedia, mirip dengan pilihan enkripsi yang tersedia saat membuat grup replikasi baru.

  • Jika Anda menghapus kunci atau menonaktifkan kunci dan mencabut grant untuk kunci yang digunakan untuk mengenkripsi cache, cache menjadi tidak dapat dipulihkan. Dengan kata lain, itu tidak dapat dimodifikasi atau dipulihkan setelah kegagalan perangkat keras. AWS KMSmenghapus kunci root hanya setelah masa tunggu setidaknya tujuh hari. Setelah kunci dihapus, Anda dapat menggunakan kunci yang dikelola pelanggan yang berbeda untuk membuat cadangan untuk tujuan pengarsipan.

  • Rotasi kunci otomatis mempertahankan properti kunci AWS KMS root Anda, sehingga rotasi tidak berpengaruh pada kemampuan Anda untuk mengakses ElastiCache data Anda. ElastiCache Cache Amazon terenkripsi tidak mendukung rotasi kunci manual, yang melibatkan pembuatan kunci root baru dan memperbarui referensi apa pun ke kunci lama. Untuk mempelajari selengkapnya, lihat Memutar AWS KMS kunci di Panduan Pengembang Layanan Manajemen AWS Kunci.

  • Mengenkripsi ElastiCache cache menggunakan KMS kunci memerlukan satu hibah per cache. Grant ini digunakan sepanjang masa pakai cache. Selain itu, satu grant per cadangan digunakan selama pembuatan cadangan. Grant ini dipensiunkan setelah cadangan dibuat.

  • Untuk informasi selengkapnya tentang AWS KMS hibah dan batasan, lihat Batas dalam Panduan Pengembang Layanan Manajemen AWS Utama.

Mengaktifkan Enkripsi Diam

Semua cache nirserver memiliki enkripsi diam yang aktif.

Saat membuat klaster yang dirancang sendiri, Anda dapat mengaktifkan enkripsi diam dengan mengatur parameter AtRestEncryptionEnabled ke true. Anda tidak dapat mengaktifkan enkripsi diam di grup replikasi yang ada.

Anda dapat mengaktifkan enkripsi saat Anda membuat ElastiCache cache. Anda dapat melakukannya dengan menggunakan AWS Management Console, the AWS CLI, atau ElastiCache API.

Saat membuat cache, Anda dapat memilih salah satu opsi berikut:

  • Default – Opsi ini menggunakan enkripsi diam yang dikelola layanan.

  • Kunci terkelola pelanggan - Opsi ini memungkinkan Anda untuk memberikan ID ARN Kunci/dari AWS KMS untuk enkripsi saat istirahat.

Untuk mempelajari cara membuat kunci AWS KMS root, lihat Membuat Kunci di Panduan Pengembang Layanan Manajemen AWS Kunci

Anda hanya dapat mengaktifkan enkripsi saat Anda membuat grup replikasi Valkey atau RedisOSS. Jika Anda memiliki grup replikasi yang ada tempat Anda ingin mengaktifkan enkripsi diam, lakukan hal berikut.

Untuk mengaktifkan enkripsi diam pada grup replikasi yang ada
  1. Buat cadangan manual dari grup replikasi yang ada. Untuk informasi selengkapnya, lihat Membuat cadangan manual.

  2. Buat grup replikasi baru dengan memulihkan dari cadangan. Pada grup replikasi baru, aktifkan enkripsi diam. Untuk informasi selengkapnya, lihat Melakukan pemulihan dari cadangan ke dalam cache baru.

  3. Perbarui titik akhir dalam aplikasi Anda untuk mengarah ke grup replikasi baru.

  4. Hapus grup replikasi lama. Untuk informasi lain, lihat Menghapus cluster di ElastiCache atau Menghapus grup replikasi.

Mengaktifkan Enkripsi At-Rest Menggunakan AWS Management Console

Semua cache nirserver memiliki enkripsi diam yang aktif. Secara default, KMS kunci yang AWS dimiliki digunakan untuk mengenkripsi data. Untuk memilih AWS KMS kunci Anda sendiri, buat pilihan berikut:

  • Perluas bagian Pengaturan default.

  • Pilih Sesuaikan pengaturan default di bagian Pengaturan default.

  • Pilih Sesuaikan pengaturan keamanan Anda di bagian Keamanan.

  • Pilih Pelanggan yang dikelola CMK di bawah Pengaturan kunci enkripsi.

  • Pilih kunci di bagian pengaturan Kunci AWS KMS .

Saat merancang cache Anda sendiri, konfigurasi 'Dev/Test' dan 'Produksi' dengan metode 'Mudah dibuat' akan menjadikan enkripsi diam aktif menggunakan kunci Default. Saat memilih konfigurasi sendiri, buat pilihan berikut:

  • Pilih versi 3.2.6, 4.0.10 atau yang lebih baru sebagai versi mesin Anda.

  • Klik kotak centang di sebelah Aktifkan untuk opsi Enkripsi diam.

  • Pilih salah satu kunci Default atau Customer managed CMK.

Untuk step-by-step prosedurnya, lihat yang berikut ini:

Mengaktifkan Enkripsi At-Rest Menggunakan AWS CLI

Untuk mengaktifkan enkripsi saat membuat OSS klaster Valkey atau Redis menggunakan AWS CLI, gunakan at-rest-encryption-enabled parameter -- saat membuat grup replikasi.

Operasi berikut membuat grup replikasi Valkey atau Redis OSS (mode cluster dinonaktifkan) my-classic-rg dengan tiga node (-- num-cache-clusters), replika utama dan dua baca. Enkripsi AT-rest diaktifkan untuk grup replikasi ini (-- at-rest-encryption-enabled).

Parameter berikut dan nilainya diperlukan untuk mengaktifkan enkripsi pada grup replikasi ini:

Parameter Kunci
  • --engine—Harus valkey atauredis.

  • --engine-version—Jika mesin RedisOSS, harus 3.2.6, 4.0.10 atau yang lebih baru.

  • --at-rest-encryption-enabled—Wajib untuk mengaktifkan enkripsi diam.

contoh 1: Valkey atau Redis OSS (Mode Cluster Dinonaktifkan) Cluster dengan Replika

Untuk Linux, macOS, atau Unix:

aws elasticache create-replication-group \ --replication-group-id my-classic-rg \ --replication-group-description "3 node replication group" \ --cache-node-type cache.m4.large \ --engine redis \ --at-rest-encryption-enabled \ --num-cache-clusters 3

Untuk Windows:

aws elasticache create-replication-group ^ --replication-group-id my-classic-rg ^ --replication-group-description "3 node replication group" ^ --cache-node-type cache.m4.large ^ --engine redis ^ --at-rest-encryption-enabled ^ --num-cache-clusters 3 ^

Untuk informasi tambahan, lihat hal berikut:

 

Operasi berikut membuat grup replikasi Valkey atau Redis OSS (mode cluster diaktifkan) my-clustered-rg dengan tiga grup node atau pecahan (--). num-node-groups Masing-masing memiliki tiga node, primer dan dua replika baca (-- replicas-per-node-group). Enkripsi AT-rest diaktifkan untuk grup replikasi ini (-- at-rest-encryption-enabled).

Parameter berikut dan nilainya diperlukan untuk mengaktifkan enkripsi pada grup replikasi ini:

Parameter Kunci
  • --engine—Harus valkey atauredis.

  • --engine-version—Jika mesin RedisOSS, harus 4.0.10 atau lebih baru.

  • --at-rest-encryption-enabled—Wajib untuk mengaktifkan enkripsi diam.

  • --cache-parameter-group—Harus default-redis4.0.cluster.on atau turunannya untuk membuat grup replikasi dengan mode klaster diaktifkan.

contoh 2: Cluster Valkey atau Redis OSS (Mode Cluster Diaktifkan)

Untuk Linux, macOS, atau Unix:

aws elasticache create-replication-group \ --replication-group-id my-clustered-rg \ --replication-group-description "redis clustered cluster" \ --cache-node-type cache.m3.large \ --num-node-groups 3 \ --replicas-per-node-group 2 \ --engine redis \ --engine-version 6.2 \ --at-rest-encryption-enabled \ --cache-parameter-group default.redis6.x.cluster.on

Untuk Windows:

aws elasticache create-replication-group ^ --replication-group-id my-clustered-rg ^ --replication-group-description "redis clustered cluster" ^ --cache-node-type cache.m3.large ^ --num-node-groups 3 ^ --replicas-per-node-group 2 ^ --engine redis ^ --engine-version 6.2 ^ --at-rest-encryption-enabled ^ --cache-parameter-group default.redis6.x.cluster.on

Untuk informasi tambahan, lihat hal berikut:

Lihat Juga