At-Rest Encryption in Redis 用 ElastiCache - Redis 用 Amazon ElastiCache

英語の翻訳が提供されている場合で、内容が矛盾する場合には、英語版がオリジナルとして取り扱われます。翻訳は機械翻訳により提供されています。

At-Rest Encryption in Redis 用 ElastiCache

データを安全に保つために、Amazon ElastiCache と Amazon S3 には、キャッシュ内のデータへのアクセスを制限するさまざまな方法が用意されています。詳細については、「Amazon VPC と ElastiCache のセキュリティ」および「Amazon ElastiCache の Identity and Access Management」を参照してください。

Redis 用 ElastiCache の保存時の暗号化は、ディスク上のデータを暗号化することでデータのセキュリティを強化するオプションの機能です。レプリケーショングループに対して有効にすると、以下の側面が暗号化されます。

  • Disk during sync, backup and swap operations

  • Backups stored in Amazon S3

Redis 用 ElastiCache では、保管時のデフォルト (サービス管理) の暗号化が用意されているだけでなく、お客様独自のカスタマー管理の対称カスタマーマスターキーを AWS Key Management Service (KMS) で使用することもできます。

保管時の暗号化は、レプリケーショングループに対してその作成時にのみ有効にできます。データの暗号化と復号を行うにはある程度の処理が必要であるため、保管時の暗号化を有効にすると、これらのオペレーションの実行中のパフォーマンスに影響を与える可能性があります。保管時の暗号化の使用時と未使用時でデータのベンチマークを取得して、ユースケースにおけるパフォーマンスの影響を判断する必要があります。

転送時の暗号化については、「Redis 用 ElastiCache In-Transit Encryption (TLS)」を参照してください。

At-Rest Encryption Conditions

ElastiCache の保管時の暗号化の実装を計画する際は、ElastiCache の保管時の暗号化の以下の制約事項に留意する必要があります。

  • At-rest encryption is supported on replication groups running Redis version 3.2.6, 4.0.10 or later.

  • At-rest encryption is supported only for replication groups running in an Amazon VPC.

  • At-rest encryption is only supported for replication groups running the following node types.

    • R5, R4, R3

    • M5, M4, M3

    • T3, T2

    For more information, see サポートされているノードの種類

  • At-rest encryption is enabled by explicitly setting the parameter AtRestEncryptionEnabled to true.

  • You can enable at-rest encryption on a replication group only when creating the replication group. You cannot toggle at-rest encryption on and off by modifying a replication group. For information on implementing at-rest encryption on an existing replication group, see Enabling At-Rest Encryption.

  • Encryption of data at rest is not available in the cn-north-1 (Beijing) and cn-northwest-1 (Ningxia), ap-northeast-3 (Asia Pacific Osaka-Local) regions. Additionally, the option to use customer managed CMK for encryption at rest is not available in AWS GovCloud (us-gov-east-1 and us-gov-west-1) regions.

保管時の暗号化を実装することで、バックアップオペレーションおよびノード同期オペレーションの実行中にパフォーマンスが低下する場合があります。自身のデータで保管時の暗号化使用時のベンチマークを暗号化なしの場合と比較して、実装におけるパフォーマンスの影響を判断してください。

Using Customer Managed CMKs from AWS KMS

Redis 用 ElastiCache は、保管時の暗号化用にカスタマー管理の対称カスタマーマスターキー (CMK) をサポートしています。カスタマー管理の CMK は、AWS アカウントで作成、所有、管理する暗号化キーです。詳細については、以下を参照してください。 顧客マスターキーAWS Key Management Service Developer Guide。 キーは、Elasticachで使用する前にAWS KMSで作成する必要があります。

AWS KMSマスターキーの作成方法については、以下を参照してください。 キーの作成AWS Key Management Service Developer Guide.

Redis 用 ElastiCache を使用すると、AWS KMS と統合できます。詳細については、以下を参照してください。 権限の使用AWS Key Management Service Developer Guide。 Amazon ElastiCacheとAWS KMSの統合を有効にするために、顧客のアクションは必要ありません。

現在、Amazon ElastiCache は kms:ViaService をサポートしていません。ViaService を使用して Amazon ElastiCache へのアクセスを許可/拒否しても、キーのアクセス許可には影響しません。

AWS CloudTrail を使用して、Amazon ElastiCache によってお客様に代わって AWS Key Management Service に送信されるリクエストを追跡できます。カスタマー管理の CMK に関連する AWS Key Management Service へのすべての API コールには、対応する CloudTrail ログがあります。ListGrants KMS API コールを行うことで、ElastiCache によって作成される許可を表示することもできます。

カスタマー管理の CMK を使用してレプリケーショングループが暗号化されると、レプリケーショングループのすべてのバックアップは以下のように暗号化されます。

  • Automatic daily backups are encrypted using the customer managed CMK associated with the cluster.

  • Final backup created when replication group is deleted, is also encrypted using the customer managed CMK associated with the replication group.

  • Manually created backups are encrypted by default to use the CMK associated with the replication group. You may override this by choosing another customer managed CMK.

  • Copying a backup defaults to using customer managed CMK associated with the source backup. You may override this by choosing another customer managed CMK.

注記
  • Customer managed CMKs cannot be used when exporting backups to your selected Amazon S3 bucket. However, all backups exported to Amazon S3 are encrypted using Server side encryption. You may choose to copy the backup file to a new S3 object and encrypt using a customer managed CMK, copy the file to another S3 bucket that is set up with default encryption using a CMK or change an encryption option in the file itself.

  • You can also use customer managed CMKs to encrypt manually-created backups for replication groups that do not use customer managed CMKs for encryption. With this option, the backup file stored in Amazon S3 is encrypted using a CMK, even though the data is not encrypted on the original replication group.

バックアップから復元するときは、新しいレプリケーショングループの作成時に使用できるものと同様の暗号化オプションから選択できます。

また、以下の点を考慮してください。

  • If you delete the key or disable the key and revoke grants for the key that you used to encrypt a replication group, the replication group becomes irrecoverable. In other words, it cannot be modified or recovered after a hardware failure. AWS KMS deletes master keys only after a waiting period of at least seven days. After the key is deleted, you can use a different customer managed CMK to create a backup for archival purposes.

  • Automatic key rotation preserves the properties of your AWS KMS master keys, so the rotation has no effect on your ability to access your ElastiCache data. Encrypted Amazon ElastiCache replication groups don't support manual key rotation, which involves creating a new master key and updating any references to the old key. To learn more, see Rotating Customer Master Keys in the AWS Key Management Service Developer Guide.

  • Encrypting an ElastiCache replication group using CMK requires one grant per replication group. This grant is used throughout the lifespan of the replication group. Additionally, one grant per backup is used during backup creation. This grant is retired once the backup is created.

  • For more information on AWS KMS grants and limits, see Limits in the AWS Key Management Service Developer Guide.

Enabling At-Rest Encryption

有効化できます ElastiCache Redisレプリケーショングループを作成する場合のat-rest暗号化 AtRestEncryptionEnabled から true。 既存のレプリケーション グループでは、保存中の暗号化を有効にすることはできません。

Redis 用 ElastiCache レプリケーショングループを作成するときに、保管時の暗号化を有効にできます。これを行うには、AWS マネジメントコンソール、AWS CLI、または ElastiCache API を使用します。

レプリケーショングループを作成するときに、以下のオプションのいずれかを選択できます。

  • Default – This option uses service managed encryption at rest.

  • Customer managed CMK – This option allows you to provide the Key ID/ARN from AWS KMS for encryption at rest.

AWS KMSマスターキーの作成方法については、以下を参照してください。 キーの作成AWS Key Management Service Developer Guide

Enabling At-Rest Encryption on an Existing Redis Cluster

保管時の暗号化は、Redis レプリケーショングループの作成時にのみ有効化できます。保管時の暗号化を有効化したい既存レプリケーショングループがある場合は、次の操作を行います。

既存のレプリケーショングループ上で保管時の暗号化を有効にするには

  1. 既存のレプリケーショングループの手動バックアップを作成します。詳細については、「手動バックアップの作成」を参照してください。

  2. バックアップから復元して新しいレプリケーショングループを作成します。新しいレプリケーショングループで、保管時の暗号化を有効にします。詳細については、「クラスターのサイズ変更 (オプション) によるバックアップからの復元」を参照してください。

  3. アプリケーションのエンドポイントを、新しいレプリケーショングループのエンドポイントに更新します。

  4. 古いレプリケーショングループを削除します。詳細については、「 クラスターの削除」または「レプリケーショングループの削除」を参照してください。

Enabling At-Rest Encryption Using the AWS マネジメントコンソール

AWS マネジメントコンソール を使用してレプリケーショングループの作成時に保管時の暗号化を有効にするには、以下のように選択します。

  • Choose redis as your engine.

  • Choose version 3.2.6, 4.0.10 or later as your engine version.

  • Choose Yes from the Encryption at-rest list.

詳しい手順については、以下を参照ください。

Enabling At-Rest Encryption Using the AWS CLI

を使用してRedisクラスタを作成するときに、保存時の暗号化を有効にするには AWS CLI、 --at-rest-encryption-enabled レプリケーショングループの作成時にパラメータを使用します。

Enabling At-Rest Encryption on a Redis (クラスターモードが無効) Cluster (CLI)

次の操作では、 Redis (クラスターモードが無効) レプリケーショングループ my-classic-rg 3つのノード(--num-cache-clusters)、プライマリおよび2つの読み取りレプリカ。このレプリケーショングループ(--at-rest-encryption-enabled)。

以下のパラメーターとその値は、このレプリケーショングループで暗号化を有効にするために必要です。

Key Parameters

  • --engine—Must be redis.

  • --engine-version—Must be 3.2.6, 4.0.10 or later.

  • --at-rest-encryption-enabled—Required to enable at-rest encryption.

例 1 = Redis (クラスターモードが無効) レプリカ付きクラスタ

Linux, macOS, or Unix 用:

aws elasticache create-replication-group \ --replication-group-id my-classic-rg \ --replication-group-description "3 node replication group" \ --cache-node-type cache.m4.large \ --engine redis \ --engine-version 4.0.10 \ --at-rest-encryption-enabled \ --num-cache-clusters 3 \ --cache-parameter-group default.redis4.0

Windows の場合:

aws elasticache create-replication-group ^ --replication-group-id my-classic-rg ^ --replication-group-description "3 node replication group" ^ --cache-node-type cache.m4.large ^ --engine redis ^ --engine-version 4.0.10 ^ --at-rest-encryption-enabled ^ --num-cache-clusters 3 ^ --cache-parameter-group default.redis4.0

詳細については、以下を参照してください。

 

Enabling At-Rest Encryption on a Cluster for Redis (クラスターモードが有効) (CLI)

次の操作では、 Redis (クラスターモードが有効) レプリケーショングループ my-clustered-rg 3つのノードグループまたはシャード(--num-node-groups)。各ノードには、プライマリ・レプリカと読み取りレプリカ(--replicas-per-node-group)。このレプリケーショングループ(--at-rest-encryption-enabled)。

以下のパラメーターとその値は、このレプリケーショングループで暗号化を有効にするために必要です。

Key Parameters

  • --engine—Must be redis.

  • --engine-version—Must be 3.2.6, 4.0.10 or later.

  • --at-rest-encryption-enabled—Required to enable at-rest encryption.

  • --cache-parameter-group—Must be default-redis4.0.cluster.on or one derived from it to make this a cluster mode enabled replication group.

例 2. A Redis (クラスターモードが有効) クラスタ

Linux, macOS, or Unix 用:

aws elasticache create-replication-group \ --replication-group-id my-clustered-rg \ --replication-group-description "redis clustered cluster" \ --cache-node-type cache.m3.large \ --num-node-groups 3 \ --replicas-per-node-group 2 \ --engine redis \ --engine-version 4.0.10 \ --at-rest-encryption-enabled \ --cache-parameter-group default.redis4.0.cluster.on

Windows の場合:

aws elasticache create-replication-group ^ --replication-group-id my-clustered-rg ^ --replication-group-description "redis clustered cluster" ^ --cache-node-type cache.m3.large ^ --num-node-groups 3 ^ --replicas-per-node-group 2 ^ --engine redis ^ --engine-version 4.0.10 ^ --at-rest-encryption-enabled ^ --cache-parameter-group default.redis4.0.cluster.on

詳細については、以下を参照してください。

Enabling At-Rest Encryption Using the ElastiCache API

ElastiCache API を使用して Redis レプリケーショングループの作成時に保管時の暗号化を有効にするには、パラメーター AtRestEncryptionEnabledtrueCreateReplicationGroup に設定します。

Enabling At-Rest Encryption on a Redis (クラスターモードが無効) Cluster (API)

次の操作では、 Redis (クラスターモードが無効) レプリケーショングループ my-classic-rg 3つのノード(NumCacheClusters)、プライマリおよび2つの読み取りレプリカ。このレプリケーショングループ(AtRestEncryptionEnabled=true)。

以下のパラメーターとその値は、このレプリケーショングループで暗号化を有効にするために必要です。

  • Engine—Must be redis.

  • EngineVersion—Must be 3.2.6, 4.0.10 or later.

  • AtRestEncryptionEnabled—Required to be true to enable at-rest encryption.

例 >= 3 A Redis (クラスターモードが無効) レプリカ付きクラスタ

読みやすくするために改行が追加されます。

https://elasticache.us-west-2.amazonaws.com/ ?Action=CreateReplicationGroup &AtRestEncryptionEnabled=true &CacheNodeType=cache.m3.large &CacheParameterGroup=default.redis4.0 &Engine=redis &EngineVersion=4.0.10 &NumCacheClusters=3 &ReplicationGroupDescription=test%20group &ReplicationGroupId=my-classic-rg &Version=2015-02-02 &SignatureVersion=4 &SignatureMethod=HmacSHA256 &Timestamp=20150202T192317Z &X-Amz-Credential=<credential>

詳細については、以下を参照してください。

 

Enabling At-Rest Encryption on a Cluster for Redis (クラスターモードが有効) (API)

次の操作では、 Redis (クラスターモードが有効) レプリケーショングループ my-clustered-rg 3つのノードグループ/シャード(NumNodeGroups)、それぞれ3つのノード、プライマリ、2つの読み取りレプリカ(ReplicasPerNodeGroup)。このレプリケーショングループ(AtRestEncryptionEnabled=true)。

以下のパラメーターとその値は、このレプリケーショングループで暗号化を有効にするために必要です。

  • Engine—Must be redis.

  • AtRestEncryptionEnabled—Required to be true to enable at-rest encryption.

  • EngineVersion—Must be 3.2.6, 4.0.10 or later.

  • CacheParameterGroup—Must be default-redis4.0.cluster.on, or one derived from it for this to be a Redis (クラスターモードが有効) cluster.

例 4. A Redis (クラスターモードが有効) クラスタ

読みやすくするために改行が追加されます。

https://elasticache.us-west-2.amazonaws.com/ ?Action=CreateReplicationGroup &AtRestEncryptionEnabled=true &CacheNodeType=cache.m3.large &CacheParemeterGroup=default.redis4.0.cluster.on &Engine=redis &EngineVersion=4.0.10 &NumNodeGroups=3 &ReplicasPerNodeGroup=2 &ReplicationGroupDescription=test%20group &ReplicationGroupId=my-clustered-rg &Version=2015-02-02 &SignatureVersion=4 &SignatureMethod=HmacSHA256 &Timestamp=20150202T192317Z &X-Amz-Credential=<credential>

詳細については、以下を参照してください。

 

See Also