ElastiCache for Redis での保管時の暗号化 - Amazon ElastiCache for Redis

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ElastiCache for Redis での保管時の暗号化

データを安全に保つために、Amazon ElastiCache と Amazon S3 には、キャッシュ内のデータへのアクセスを制限するさまざまな方法が用意されています。詳細については、「Amazon VPCs およびElastiCacheのセキュリティ」および「Amazon ElastiCache での Identity and Access Management」を参照してください。

ElastiCache for Redis の保存時の暗号化は、ディスク上のデータを暗号化することでデータのセキュリティを強化するオプションの機能です。レプリケーショングループに対して有効にすると、以下の側面が暗号化されます。

  • 同期、バックアップ、およびスワップオペレーション中のディスク

  • Amazon S3 に保存されたバックアップ

ElastiCache for Redis保管時のデフォルト (サービス管理) の暗号化が用意されているだけでなく、お客様独自の対称カスタマー管理のAWSの KMS キーAWSキーマネジメントサービス (KMS)

注記

デフォルト (サービス管理) の暗号化は、GovCloud (US) リージョンで使用できる唯一のオプションです。

保管時の暗号化は、レプリケーショングループに対してその作成時にのみ有効にできます。データの暗号化と復号を行うにはある程度の処理が必要であるため、保管時の暗号化を有効にすると、これらのオペレーションの実行中のパフォーマンスに影響を与える可能性があります。保管時の暗号化の使用時と未使用時でデータのベンチマークを取得して、ユースケースにおけるパフォーマンスの影響を判断する必要があります。

転送時の暗号化については、「ElastiCache for Redis転送時の暗号化 (TLS)」を参照してください。

保管時の暗号化の条件

ElastiCache の保管時の暗号化の実装を計画する際は、ElastiCache の保管時の暗号化の以下の制約事項に留意する必要があります。

  • 保管時の暗号化は、Redis バージョン 3.2.6 または 4.0.10 以降を実行しているレプリケーショングループでサポートされます。

  • 保管時の暗号化は、Amazon VPC で実行されているレプリケーショングループでのみサポートされます。

  • 保管時の暗号化は、以下のノードタイプを実行しているレプリケーショングループでのみサポートされます。

    • R6g、R5、R4、R3

    • M6g、M5、M4、M3

    • T3、T2

    詳細については、「」を参照してください。サポート対象のノードタイプ

  • 保管時の暗号化は、パラメータ AtRestEncryptionEnabled を明示的に true に設定することで有効化されます。

  • 保管時の暗号化は、レプリケーショングループの作成時にのみレプリケーショングループで有効にできます。レプリケーショングループを変更して保管時の暗号化のオンとオフを切り替えることはできません。既存のレプリケーショングループ上への保管時の暗号化の実装の詳細については、「保管時の暗号化を有効にする」を参照してください。

  • 保存時の暗号化に顧客管理キーを使用するオプションは、AWSGovCloud (us-gov-east-1 および us-gov-west-1) リージョンを参照してください。

保管時の暗号化を実装することで、バックアップオペレーションおよびノード同期オペレーションの実行中にパフォーマンスが低下する場合があります。自身のデータで保管時の暗号化使用時のベンチマークを暗号化なしの場合と比較して、実装におけるパフォーマンスの影響を判断してください。

からカスタマー管理キーを使用するAWSKMS

ElastiCache for Redis対称カスタマー管理のサポートAWS保管時の暗号化用の KMS キー (KMS キー)。お客様が管理する KMS キーは、暗号化キーであり、お客様がAWSアカウント. 詳細については、「」を参照してください。AWSKMS キー()AWSキーマネジメントサービス開発者ガイド。キーはで作成する必要がありますAWSKMS は、Elasticache で使用する前に。

作成する方法については、「」を参照してください。AWSKMS ルートキーの詳細については、キーの作成()AWSキーマネジメントサービス開発者ガイド

ElastiCache for Redisでは、と統合できます。AWSKMS. 詳細については、「」を参照してください。許可の使用()AWSキーマネジメントサービス開発者ガイド。Amazon ElastiCache との統合を有効にするために、お客様の作業は必要ありません。AWSKMS.

-kms:ViaService条件キーの制限AWSKMS キー (KMS キー) 指定からの要求に対するAWSのサービス。を使用するにはkms:ViaServiceをElastiCacheでは、条件キーの値に両方のViaService 名を含めます。elasticache.AWS_region.amazonaws.comおよびdax.AWS_region.amazonaws.com。詳細については、「」を参照してください。kms:ViaService

次を使用できます。AWSCloudTrailを使用してリクエストを追跡します。Amazon ElastiCacheに送信先AWS Key Management Serviceはユーザーに代わって実行します。すべての API コールはAWS Key Management Serviceには、対応する CloudTrail ログがあります。ListGrants KMS API コールを行うことで、ElastiCache によって作成される許可を表示することもできます。

レプリケーショングループがカスタマー管理キーを使用して暗号化されると、レプリケーショングループのすべてのバックアップは次のように暗号化されます。

  • 毎日の自動バックアップは、クラスターに関連付けられたカスタマー管理キーを使用して暗号化されます。

  • レプリケーショングループが削除されたときに作成される最終バックアップも、レプリケーショングループに関連付けられたカスタマー管理キーを使用して暗号化されます。

  • 手動で作成されたバックアップは、デフォルトで暗号化され、レプリケーショングループに関連付けられた KMS キーが使用されます。この動作は、別のカスタマー管理キーを選択して上書きできます。

  • バックアップをコピーする場合、デフォルトでは、ソースバックアップに関連付けられたカスタマー管理キーが使用されます。この動作は、別のカスタマー管理キーを選択して上書きできます。

注記
  • お客様が管理するキーは、選択したAmazon S3バケット。ただし、Amazon S3 にエクスポートされたすべてのバックアップは、サーバー側の暗号化を使用して暗号化されます。バックアップファイルを新しい S3 オブジェクトにコピーし、カスタマー管理の KMS キーを使用して暗号化するか、KMS キーを使用して暗号化するか、KMS キーを使用して暗号化するか、KMS キーを使用して暗号化するか、ファイル自体の暗号化オプションを変更できます。

  • また、暗号化にカスタマー管理キーを使用しないレプリケーショングループに対して、手動で作成されたバックアップを暗号化するために、カスタマー管理キーを使用できます。このオプションを使用すると、バックアップファイルはAmazon S3データは、元のレプリケーショングループで暗号化されていなくても、KMS キーを使用して暗号化されます。

バックアップから復元するときは、新しいレプリケーショングループの作成時に使用できるものと同様の暗号化オプションから選択できます。

  • キーを削除するか、キーを無効にして、レプリケーショングループの暗号化に使用したキーの許可を取り消すと、レプリケーショングループは回復不可能になります。つまり、ハードウェア障害の後に変更も回復もできなくなります。AWSKMS は、少なくとも 7 日間の待機期間後にのみ、ルートキーを削除します。キーが削除された後、別のカスタマー管理キーを使用して、アーカイブ目的のバックアップを作成できます。

  • 自動キー回転では、AWSKMS ルートキーを使用するため、ローテーションは ElastiCache データにアクセスできる能力には影響しません。暗号化された Amazon ElastiCache レプリケーショングループは、手動キー更新をサポートしていないため、新しいルートキーの作成や古いキーへの参照の更新などを行うことはできません。詳細については、次を参照してください。ローテーションAWSKMS キー()AWSキーマネジメントサービス開発者ガイド

  • KMS キーを使用して ElastiCache レプリケーショングループを暗号化するには、レプリケーショングループごとに 1 つの この許可はレプリケーショングループの有効期間を通じて使用されます。また、バックアップの作成中、バックアップごとに 1 つの許可が使用されます。この許可はバックアップの作成後に無効になります。

  • の詳細については、「」を参照してください。AWSKMS 許可と制限については、「」を参照してください。制限()AWSキーマネジメントサービス開発者ガイド

保管時の暗号化を有効にする

ElastiCache 保管時の暗号化は、Redis レプリケーショングループの作成時にパラメーター AtRestEncryptionEnabledtrue に設定して有効にできます。既存のレプリケーショングループ上で保管時の暗号化を有効にすることはできません。

ElastiCache for Redis レプリケーショングループを作成するときに、保管時の暗号化を有効にできます。これを行うには、AWS Management Console、AWS CLI、または ElastiCache API を使用します。

レプリケーショングループを作成するときに、以下のオプションのいずれかを選択できます。

  • デフォルト - このオプションでは、サービス管理の保存時の暗号化が使用されます。

  • お客様が管理するキー— このオプションでは、キーID/ARN をAWS保管時の暗号化用の KMS。

作成する方法については、「」を参照してください。AWSKMS ルートキーの詳細については、キーを作成する()AWSキーマネジメントサービス開発者ガイド

既存の Redis クラスター上で保管時の暗号化を有効にする

保管時の暗号化は、Redis レプリケーショングループの作成時にのみ有効化できます。保管時の暗号化を有効化したい既存レプリケーショングループがある場合は、次の操作を行います。

既存のレプリケーショングループ上で保管時の暗号化を有効にするには

  1. 既存のレプリケーショングループの手動バックアップを作成します。詳細については、「手動バックアップの作成」を参照してください。

  2. バックアップから復元して新しいレプリケーショングループを作成します。新しいレプリケーショングループで、保管時の暗号化を有効にします。詳細については、「オプションのクラスタサイズ変更によるバックアップからの復元」を参照してください。

  3. アプリケーションのエンドポイントを、新しいレプリケーショングループのエンドポイントに更新します。

  4. 古いレプリケーショングループを削除します。詳細については、「クラスターの削除」または「レプリケーショングループの削除」を参照してください。

AWS Management Console を使用して保管時の暗号化を有効にする

AWS Management Console を使用してレプリケーショングループの作成時に保管時の暗号化を有効にするには、以下のように選択します。

  • エンジンとして redis を選択します。

  • エンジンのバージョンとしてバージョン 3.2.6、4.0.10 またはそれ以降を選択します。

  • 選択はいからの保管時の暗号化リスト。

詳しい手順については、以下を参照ください。

AWS CLI を使用して保管時の暗号化を有効にする

AWS CLI を使用して Redis クラスターを作成するときに保管時の暗号化を有効にするには、レプリケーショングループの作成時に --at-rest-encryption-enabled パラメーターを使用します。

Redis (クラスターモードが無効) クラスター上で保管時の暗号化を有効にする (CLI)

以下のオペレーションでは、以下のオペレーションでは、Redis (クラスターモードが無効)レプリケーショングループmy-classic-rgを 3 つのノード (--num-cache-clusters)、1 つのプライマリ、2 つのリードレプリカで構成されます。保管時の暗号化は、このレプリケーショングループに対して有効です (--at-rest-encryption-enabled)。

以下のパラメーターとその値は、このレプリケーショングループで暗号化を有効にするために必要です。

主要パラメータ

  • --engineredis を指定してください。

  • --engine-version—3.2.6 または 4.0.10 以降を指定する必要があります。

  • --at-rest-encryption-enabled—保管時の暗号化に必要です。

例 1:Redis (クラスターモードが無効) レプリカのあるクラスター

Linux, macOS, or Unix 用:

aws elasticache create-replication-group \ --replication-group-id my-classic-rg \ --replication-group-description "3 node replication group" \ --cache-node-type cache.m4.large \ --engine redis \ --engine-version 4.0.10 \ --at-rest-encryption-enabled \ --num-cache-clusters 3 \ --cache-parameter-group default.redis4.0

Windows の場合:

aws elasticache create-replication-group ^ --replication-group-id my-classic-rg ^ --replication-group-description "3 node replication group" ^ --cache-node-type cache.m4.large ^ --engine redis ^ --engine-version 4.0.10 ^ --at-rest-encryption-enabled ^ --num-cache-clusters 3 ^ --cache-parameter-group default.redis4.0

詳細については、以下を参照してください。

 

Redis (クラスターモードが有効) クラスター上で保管時の暗号化を有効にする (CLI)

以下のオペレーションでは、以下のオペレーションでは、Redis (クラスターモードが有効)レプリケーショングループmy-clustered-rgと 3 つのノードグループまたはシャード (--num-node-groups). 各レプリケーショングループには、1 つのプライマリ、および 2 つのリードレプリカ (--replicas-per-node-group) があります。保管時の暗号化は、このレプリケーショングループに対して有効です (--at-rest-encryption-enabled)。

以下のパラメーターとその値は、このレプリケーショングループで暗号化を有効にするために必要です。

主要パラメータ

  • --engineredis を指定してください。

  • --engine-version—4.0.10 以降を指定する必要があります。

  • --at-rest-encryption-enabled—保管時の暗号化に必要です。

  • --cache-parameter-group—このクラスターをモード有効レプリケーショングループにするには、default-redis4.0.cluster.on またはそれから派生したいずれかに指定します。

例 2: ARedis (クラスターモードが有効)クラスター

Linux, macOS, or Unix 用:

aws elasticache create-replication-group \ --replication-group-id my-clustered-rg \ --replication-group-description "redis clustered cluster" \ --cache-node-type cache.m3.large \ --num-node-groups 3 \ --replicas-per-node-group 2 \ --engine redis \ --engine-version 4.0.10 \ --at-rest-encryption-enabled \ --cache-parameter-group default.redis4.0.cluster.on

Windows の場合:

aws elasticache create-replication-group ^ --replication-group-id my-clustered-rg ^ --replication-group-description "redis clustered cluster" ^ --cache-node-type cache.m3.large ^ --num-node-groups 3 ^ --replicas-per-node-group 2 ^ --engine redis ^ --engine-version 4.0.10 ^ --at-rest-encryption-enabled ^ --cache-parameter-group default.redis4.0.cluster.on

詳細については、以下を参照してください。

ElastiCache API を使用して保管時の暗号化を有効にする

ElastiCache API を使用して Redis レプリケーショングループの作成時に保管時の暗号化を有効にするには、パラメーター AtRestEncryptionEnabledtrueCreateReplicationGroup に設定します。

Redis (クラスターモードが無効) クラスター上で保管時の暗号化を有効にする (API)

以下のオペレーションでは、以下のオペレーションでは、Redis (クラスターモードが無効)レプリケーショングループmy-classic-rgを 3 つのノード (NumCacheClusters)、1 つのプライマリ、2 つのリードレプリカで構成されます。保管時の暗号化は、このレプリケーショングループに対して有効です (AtRestEncryptionEnabled=true)。

以下のパラメーターとその値は、このレプリケーショングループで暗号化を有効にするために必要です。

  • Engineredis を指定してください。

  • EngineVersion—3.2.6 または 4.0.10 以降を指定する必要があります。

  • AtRestEncryptionEnabled—保管時の true の暗号化に必要です。

例 3: ARedis (クラスターモードが無効)レプリカのあるクラスター

読みやすくするために改行が追加されます。

https://elasticache.us-west-2.amazonaws.com/ ?Action=CreateReplicationGroup &AtRestEncryptionEnabled=true &CacheNodeType=cache.m3.large &CacheParameterGroup=default.redis4.0 &Engine=redis &EngineVersion=4.0.10 &NumCacheClusters=3 &ReplicationGroupDescription=test%20group &ReplicationGroupId=my-classic-rg &Version=2015-02-02 &SignatureVersion=4 &SignatureMethod=HmacSHA256 &Timestamp=20150202T192317Z &X-Amz-Credential=<credential>

詳細については、以下を参照してください。

 

Redis (クラスターモードが有効) クラスター上で保管時の暗号化を有効にする (API)

以下のオペレーションでは、以下のオペレーションでは、Redis (クラスターモードが有効)レプリケーショングループmy-clustered-rgと 3 つのノードグループ/シャード (NumNodeGroups)、それぞれ 3 つのノード、1 つのプライマリ、2 つのリードレプリカ (ReplicasPerNodeGroup). 保管時の暗号化は、このレプリケーショングループに対して有効です (AtRestEncryptionEnabled=true)。

以下のパラメーターとその値は、このレプリケーショングループで暗号化を有効にするために必要です。

  • Engineredis を指定してください。

  • AtRestEncryptionEnabled—保管時の true の暗号化に必要です。

  • EngineVersion—3.2.6 または 4.0.10 以降を指定する必要があります。

  • CacheParameterGroupdefault-redis4.0.cluster.on、またはこれから派生したいずれかを Redis (クラスターモードが有効) クラスターに指定します。

例 4: ARedis (クラスターモードが有効)クラスター

読みやすくするために改行が追加されます。

https://elasticache.us-west-2.amazonaws.com/ ?Action=CreateReplicationGroup &AtRestEncryptionEnabled=true &CacheNodeType=cache.m3.large &CacheParemeterGroup=default.redis4.0.cluster.on &Engine=redis &EngineVersion=4.0.10 &NumNodeGroups=3 &ReplicasPerNodeGroup=2 &ReplicationGroupDescription=test%20group &ReplicationGroupId=my-clustered-rg &Version=2015-02-02 &SignatureVersion=4 &SignatureMethod=HmacSHA256 &Timestamp=20150202T192317Z &X-Amz-Credential=<credential>

詳細については、以下を参照してください。

 

以下の資料も参照してください。