Enkripsi At-Rest di ElastiCache

Untuk membantu menjaga keamanan data Anda, Amazon ElastiCache dan Amazon S3 menyediakan berbagai cara untuk membatasi akses ke data di cache Anda. Untuk informasi selengkapnya, lihat Amazon VPC dan keamanan ElastiCache dan Identity and Access Management untuk Amazon ElastiCache.

ElastiCache enkripsi at-rest adalah fitur untuk meningkatkan keamanan data dengan mengenkripsi data on-disk. Fitur ini selalu diaktifkan di cache nirserver. Saat diaktifkan, fitur ini mengenkripsi aspek-aspek berikut:

• Disk selama operasi sinkronisasi, pencadangan, dan swap

• Cadangan yang disimpan di Amazon S3

Data yang disimpan di SSD (solid-state drive) dalam klaster yang mengaktifkan tingkatan data selalu dienkripsi.

ElastiCache menawarkan enkripsi default (dikelola layanan) saat istirahat, serta kemampuan untuk menggunakan kunci KMS yang dikelola pelanggan simetris Anda sendiri di Layanan Manajemen AWS Kunci ( AWS KMS). Saat cache dicadangkan, di bagian opsi enkripsi, pilih apakah akan menggunakan kunci enkripsi default atau kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat Mengaktifkan Enkripsi Diam.

catatan

Enkripsi default (dikelola layanan) adalah satu-satunya opsi yang tersedia di Wilayah GovCloud (AS).

penting

Mengaktifkan Enkripsi AT-rest pada kluster Redis OSS yang dirancang sendiri yang ada melibatkan penghapusan grup replikasi Anda yang ada, setelah menjalankan pencadangan dan pemulihan pada grup replikasi.

Enkripsi diam dapat diaktifkan di cache hanya pada saat pembuatannya. Karena diperlukan beberapa pemrosesan untuk mengenkripsi dan mendekripsi data, mengaktifkan enkripsi diam dapat berdampak pada performa selama operasi ini. Anda harus membandingkan data Anda menggunakan dan tidak menggunakan enkripsi diam untuk menentukan dampaknya terhadap performa untuk kasus penggunaan Anda.

Kondisi Enkripsi Diam

Kendala berikut pada enkripsi ElastiCache saat istirahat harus diingat ketika Anda merencanakan implementasi enkripsi saat istirahat: ElastiCache

• Enkripsi AT-rest didukung pada grup replikasi yang menjalankan versi Redis OSS (3.2.6 dijadwalkan untuk EOL, lihat jadwal akhir masa pakai versi Redis OSS), 4.0.10 atau yang lebih baru.

• Enkripsi diam didukung hanya untuk grup replikasi yang berjalan di Amazon VPC.

• Enkripsi diam hanya didukung untuk grup replikasi yang menjalankan jenis simpul berikut.

  • R6gd, R6g, R5, R4, R3

  • M6g, M5, M4, M3

  • T4g, T3, T2

  Untuk informasi selengkapnya, lihat Jenis simpul yang didukung

• Enkripsi diam diaktifkan dengan menetapkan parameter AtRestEncryptionEnabled ke true secara eksplisit.

• Anda dapat mengaktifkan enkripsi diam pada grup replikasi hanya saat membuat grup replikasi. Anda tidak dapat mengaktifkan dan menonaktifkan enkripsi diam dengan mengubah grup replikasi. Untuk informasi tentang cara menerapkan enkripsi diam pada grup replikasi yang sudah ada, lihat Mengaktifkan Enkripsi Diam.

• Jika klaster menggunakan jenis simpul dari keluarga r6gd, data yang disimpan di SSD dienkripsi baik apakah enkripsi diam diaktifkan atau tidak.

• Opsi untuk menggunakan kunci terkelola pelanggan untuk enkripsi saat istirahat tidak tersedia di AWS GovCloud (us-gov-east-1 dan us-gov-west -1) wilayah.

• Jika cluster menggunakan tipe node dari keluarga r6gd, data yang disimpan di SSD dienkripsi dengan kunci AWS KMS terkelola pelanggan yang dipilih (atau enkripsi yang dikelola layanan di Wilayah). AWS GovCloud

Menerapkan enkripsi diam dapat menurunkan performa selama operasi pencadangan dan sinkronisasi simpul. Lakukan tolok ukur enkripsi diam dibandingkan dengan tanpa enkripsi pada data Anda sendiri untuk menentukan dampaknya terhadap performa untuk implementasi Anda.

Menggunakan kunci yang dikelola pelanggan dari AWS KMS

ElastiCache mendukung kunci AWS KMS yang dikelola pelanggan simetris (kunci KMS) untuk enkripsi saat istirahat. Kunci KMS yang dikelola pelanggan adalah kunci enkripsi yang Anda buat, miliki, dan kelola di akun Anda. AWS Untuk informasi selengkapnya, lihat Kunci AWS KMS dalam Panduan Developer untuk AWS Key Management Service. Kunci harus dibuat di AWS KMS sebelum dapat digunakan. ElastiCache

Untuk mempelajari cara membuat kunci root AWS KMS, lihat Membuat Kunci di Panduan Pengembang Layanan Manajemen AWS Kunci.

ElastiCache memungkinkan Anda untuk berintegrasi dengan AWS KMS. Untuk informasi selengkapnya, lihat Menggunakan Grant dalam Panduan Developer AWS Key Management Service. Tidak diperlukan tindakan pelanggan untuk mengaktifkan ElastiCache integrasi Amazon dengan AWS KMS.

Kunci kms:ViaService kondisi membatasi penggunaan kunci AWS KMS (kunci KMS) untuk permintaan dari layanan tertentu AWS . Untuk digunakan kms:ViaService dengan ElastiCache, sertakan kedua ViaService nama dalam nilai kunci kondisi: elasticache.AWS_region.amazonaws.com dandax.AWS_region.amazonaws.com. Untuk informasi lebih lanjut, lihat kms: ViaService.

Anda dapat menggunakan AWS CloudTrailuntuk melacak permintaan yang ElastiCache dikirimkan AWS Key Management Service Amazon atas nama Anda. Semua panggilan API yang AWS Key Management Service terkait dengan kunci yang dikelola pelanggan memiliki CloudTrail log yang sesuai. Anda juga dapat melihat hibah yang ElastiCache dibuat dengan memanggil panggilan API ListGrantsKMS.

Setelah grup replikasi dienkripsi menggunakan kunci yang dikelola pelanggan, semua cadangan untuk grup replikasi akan dienkripsi sebagai berikut:

• Cadangan harian otomatis dienkripsi menggunakan kunci yang dikelola pelanggan yang terkait dengan klaster.

• Cadangan akhir yang dibuat saat grup replikasi dihapus, juga dienkripsi menggunakan kunci yang dikelola pelanggan yang terkait dengan grup replikasi.

• Cadangan yang dibuat secara manual dienkripsi secara default untuk menggunakan kunci KMS yang terkait dengan grup replikasi. Anda dapat menggantinya dengan memilih kunci dikelola pelanggan yang lain.

• Jika cadangan disalin, kunci yang dikelola pelanggan yang terkait dengan cadangan sumber akan secara default digunakan. Anda dapat menggantinya dengan memilih kunci dikelola pelanggan yang lain.

catatan

• Kunci yang dikelola pelanggan tidak dapat digunakan saat mengekspor cadangan ke bucket Amazon S3 pilihan Anda. Namun, semua cadangan yang diekspor ke Amazon S3 akan dienkripsi menggunakan Enkripsi sisi server. Anda dapat memilih untuk menyalin file cadangan ke objek S3 baru dan mengenkripsi menggunakan kunci KMS yang dikelola pelanggan, menyalin file ke bucket S3 lain yang diatur dengan enkripsi default menggunakan kunci KMS atau mengubah opsi enkripsi dalam file itu sendiri.

• Anda juga dapat menggunakan kunci yang dikelola pelanggan untuk mengenkripsi cadangan yang dibuat secara manual untuk grup replikasi yang tidak menggunakan kunci yang dikelola pelanggan untuk enkripsi. Dengan opsi ini, file cadangan yang disimpan di Amazon S3 akan dienkripsi menggunakan kunci KMS, meskipun data tersebut tidak dienkripsi pada grup replikasi yang asli.

Memulihkan dari cadangan memungkinkan Anda memilih opsi enkripsi yang tersedia, mirip dengan pilihan enkripsi yang tersedia saat membuat grup replikasi baru.

• Jika Anda menghapus kunci atau menonaktifkan kunci dan mencabut grant untuk kunci yang digunakan untuk mengenkripsi cache, cache menjadi tidak dapat dipulihkan. Dengan kata lain, itu tidak dapat dimodifikasi atau dipulihkan setelah kegagalan perangkat keras. AWS KMS menghapus kunci root hanya setelah masa tunggu setidaknya tujuh hari. Setelah kunci dihapus, Anda dapat menggunakan kunci yang dikelola pelanggan yang berbeda untuk membuat cadangan untuk tujuan pengarsipan.

• Rotasi kunci otomatis mempertahankan properti kunci root AWS KMS Anda, sehingga rotasi tidak berpengaruh pada kemampuan Anda untuk mengakses data Anda ElastiCache . ElastiCache Cache Amazon terenkripsi tidak mendukung rotasi kunci manual, yang melibatkan pembuatan kunci root baru dan memperbarui referensi apa pun ke kunci lama. Untuk mempelajari selengkapnya, lihat Memutar kunci AWS KMS di Panduan Pengembang Layanan Manajemen AWS Kunci.

• Mengenkripsi ElastiCache cache menggunakan kunci KMS memerlukan satu hibah per cache. Grant ini digunakan sepanjang masa pakai cache. Selain itu, satu grant per cadangan digunakan selama pembuatan cadangan. Grant ini dipensiunkan setelah cadangan dibuat.

• Untuk informasi selengkapnya tentang AWS hibah dan batasan KMS, lihat Batas dalam Panduan Pengembang Layanan Manajemen AWS Utama.

Mengaktifkan Enkripsi Diam

Semua cache nirserver memiliki enkripsi diam yang aktif.

Saat membuat klaster yang dirancang sendiri, Anda dapat mengaktifkan enkripsi diam dengan mengatur parameter AtRestEncryptionEnabled ke true. Anda tidak dapat mengaktifkan enkripsi diam di grup replikasi yang ada.

Anda dapat mengaktifkan enkripsi saat Anda membuat ElastiCache cache. Anda dapat melakukannya menggunakan AWS Management Console, AWS CLI, atau ElastiCache API.

Saat membuat cache, Anda dapat memilih salah satu opsi berikut:

• Default – Opsi ini menggunakan enkripsi diam yang dikelola layanan.

• Kunci terkelola pelanggan - Opsi ini memungkinkan Anda untuk memberikan ID Kunci/ARN dari AWS KMS untuk enkripsi saat istirahat.

Untuk mempelajari cara membuat kunci root AWS KMS, lihat Membuat Kunci di Panduan Pengembang Layanan Manajemen AWS Kunci

Daftar Isi

• Mengaktifkan Enkripsi At-Rest Menggunakan AWS Management Console
• Mengaktifkan Enkripsi At-Rest Menggunakan AWS CLI

Mengaktifkan Enkripsi At-Rest pada Redis OSS Cluster Dirancang Sendiri yang Ada

Anda hanya dapat mengaktifkan enkripsi saat Anda membuat grup replikasi Redis OSS. Jika Anda memiliki grup replikasi yang ada tempat Anda ingin mengaktifkan enkripsi diam, lakukan hal berikut.

Untuk mengaktifkan enkripsi diam pada grup replikasi yang ada

1. Buat cadangan manual dari grup replikasi yang ada. Untuk informasi selengkapnya, lihat Membuat cadangan manual.

2. Buat grup replikasi baru dengan memulihkan dari cadangan. Pada grup replikasi baru, aktifkan enkripsi diam. Untuk informasi selengkapnya, lihat Melakukan pemulihan dari cadangan ke dalam cache baru.

3. Perbarui titik akhir dalam aplikasi Anda untuk mengarah ke grup replikasi baru.

4. Hapus grup replikasi lama. Untuk informasi selengkapnya, lihat Menghapus klaster atau Menghapus grup replikasi.

Mengaktifkan Enkripsi At-Rest Menggunakan AWS Management Console

Mengaktifkan Enkripsi Diam di Klaster Nirserver (Konsol)

Semua cache nirserver memiliki enkripsi diam yang aktif. Secara default, kunci KMS yang AWS dimiliki digunakan untuk mengenkripsi data. Untuk memilih AWS KMS kunci Anda sendiri, buat pilihan berikut:

• Perluas bagian Pengaturan default.

• Pilih Sesuaikan pengaturan default di bagian Pengaturan default.

• Pilih Sesuaikan pengaturan keamanan Anda di bagian Keamanan.

• Pilih CMK yang dikelola pelanggan di bagian pengaturan Kunci enkripsi.

• Pilih kunci di bagian pengaturan Kunci AWS KMS .

Mengaktifkan Enkripsi Diam di Klaster yang Dirancang Sendiri (Konsol)

Saat merancang cache Anda sendiri, konfigurasi 'Dev/Test' dan 'Produksi' dengan metode 'Mudah dibuat' akan menjadikan enkripsi diam aktif menggunakan kunci Default. Saat memilih konfigurasi sendiri, buat pilihan berikut:

• Pilih versi 3.2.6, 4.0.10 atau yang lebih baru sebagai versi mesin Anda.

• Klik kotak centang di sebelah Aktifkan untuk opsi Enkripsi diam.

• Pilih Kunci default atau CMK yang dikelola pelanggan.

Untuk step-by-step prosedurnya, lihat yang berikut ini:

• Membuat cluster Redis OSS (mode cluster dinonaktifkan) (Konsol)

• Membuat cluster Redis OSS (mode cluster diaktifkan) (Konsol)

Mengaktifkan Enkripsi At-Rest Menggunakan AWS CLI

Untuk mengaktifkan enkripsi saat membuat klaster Redis OSS menggunakan at-rest-encryption-enabled parameter -- saat membuat grup replikasi. AWS CLI

Mengaktifkan Enkripsi At-Rest pada Redis OSS (Mode Cluster Dinonaktifkan) Cluster (CLI)

Operasi berikut membuat grup replikasi Redis OSS (mode cluster dinonaktifkan) my-classic-rg dengan tiga node (-- num-cache-clusters), replika utama dan dua baca. Enkripsi AT-rest diaktifkan untuk grup replikasi ini (-- at-rest-encryption-enabled).

Parameter berikut dan nilainya diperlukan untuk mengaktifkan enkripsi pada grup replikasi ini:

Parameter Kunci

• --engine—Harus berupa redis.

• --engine-version—Harus 3.2.6, 4.0.10 atau yang lebih baru.

• --at-rest-encryption-enabled—Wajib untuk mengaktifkan enkripsi diam.

contoh 1: Redis OSS (Mode Cluster Dinonaktifkan) Cluster dengan Replika

Untuk Linux, macOS, atau Unix:

aws elasticache create-replication-group \
    --replication-group-id my-classic-rg \
    --replication-group-description "3 node replication group" \
    --cache-node-type cache.m4.large \
    --engine redis \    
    --at-rest-encryption-enabled \  
    --num-cache-clusters 3 

Untuk Windows:

aws elasticache create-replication-group ^
    --replication-group-id my-classic-rg ^
    --replication-group-description "3 node replication group" ^
    --cache-node-type cache.m4.large ^
    --engine redis ^    
    --at-rest-encryption-enabled ^  
    --num-cache-clusters 3 ^

Untuk informasi tambahan, lihat hal berikut:

• Membuat grup replikasi Redis OSS (Mode Cluster Dinonaktifkan) dari awal ()AWS CLI

• create-replication-group

 

Mengaktifkan Enkripsi At-Rest pada Cluster untuk Redis OSS (Mode Cluster Diaktifkan) (CLI)

Operasi berikut membuat grup replikasi Redis OSS (mode cluster enabled) my-clustered-rg dengan tiga grup node atau pecahan (--). num-node-groups Masing-masing memiliki tiga node, primer dan dua replika baca (-- replicas-per-node-group). Enkripsi AT-rest diaktifkan untuk grup replikasi ini (-- at-rest-encryption-enabled).

Parameter berikut dan nilainya diperlukan untuk mengaktifkan enkripsi pada grup replikasi ini:

Parameter Kunci

• --engine—Harus berupa redis.

• --engine-version—Harus 4.0.10 atau yang lebih baru.

• --at-rest-encryption-enabled—Wajib untuk mengaktifkan enkripsi diam.

• --cache-parameter-group—Harus default-redis4.0.cluster.on atau turunannya untuk membuat grup replikasi dengan mode klaster diaktifkan.

contoh 2: Cluster Redis OSS (Mode Cluster Diaktifkan)

Untuk Linux, macOS, atau Unix:

aws elasticache create-replication-group \
   --replication-group-id my-clustered-rg \
   --replication-group-description "redis clustered cluster" \
   --cache-node-type cache.m3.large \
   --num-node-groups 3 \
   --replicas-per-node-group 2 \
   --engine redis \
   --engine-version 6.2 \
   --at-rest-encryption-enabled \
   --cache-parameter-group default.redis6.x.cluster.on

Untuk Windows:

aws elasticache create-replication-group ^
   --replication-group-id my-clustered-rg ^
   --replication-group-description "redis clustered cluster" ^
   --cache-node-type cache.m3.large ^
   --num-node-groups 3 ^
   --replicas-per-node-group 2 ^
   --engine redis ^
   --engine-version 6.2 ^
   --at-rest-encryption-enabled ^
   --cache-parameter-group default.redis6.x.cluster.on

Untuk informasi tambahan, lihat hal berikut:

• Membuat grup replikasi Redis OSS (Cluster Mode Enabled) dari awal ()AWS CLI

• create-replication-group

Lihat Juga

• Amazon VPC dan keamanan ElastiCache

• Identity and Access Management untuk Amazon ElastiCache