翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ElastiCache 転送時の暗号化 (TLS)
データの安全性を維持するために、Amazon ElastiCache と Amazon EC2 はサーバー上のデータの不正アクセスから保護するメカニズムを提供します。転送時の暗号化機能 ElastiCache を提供することで、 は、ある場所から別の場所に移動する際にデータを保護するために使用できるツールを提供します。
すべてのサーバーレスキャッシュで、転送時の暗号化が有効になっています。独自設計型クラスターでは、転送時の暗号化は、レプリケーショングループの作成時にレプリケーショングループ上でパラメータ TransitEncryptionEnabled を true (CLI: --transit-encryption-enabled) に設定することで有効にできます。これは、、 AWS Management Console、 AWS CLIまたは ElastiCache API を使用してレプリケーショングループを作成する場合でも実行できます。
トピック
転送時の暗号化の概要
Amazon ElastiCache 転送時の暗号化は、ある場所から別の場所への転送中に、最も脆弱なポイントでデータのセキュリティを強化できる機能です。エンドポイントでデータの暗号化と復号を行うにはある程度の処理が必要であるため、転送時の暗号化を有効にするとパフォーマンスに影響を及ぼす可能性があります。転送時の暗号化の使用時と未使用時でデータのベンチマークを取得して、ユースケースにおけるパフォーマンス影響を判断する必要があります。
ElastiCache 転送時の暗号化には、次の機能が実装されています。
-
暗号化されたクライアント接続 — キャッシュノードへのクライアント接続は TLS で暗号化されます。
-
暗号化されたサーバー接続 — クラスター内のノード間を移動するデータは暗号化されます。
-
[サーバー認証] — クライアントは、適切なサーバーに接続していることを認証できます。
-
[クライアント認証] — Redis AUTH 機能を使用して、サーバーはクライアントを認証できます。
転送時の暗号化の条件
独自設計型クラスターの実装を計画する際には、Amazon の転送 ElastiCache 時の暗号化に関する以下の制約事項に留意する必要があります。
-
転送時の暗号化は、Redis バージョン 3.2.6 および 4.0.10 以降を実行するレプリケーショングループでサポートされます。
-
既存のクラスターにおける転送中の暗号化設定の変更は、Redis バージョン 7 以降を実行しているレプリケーショングループでサポートされています。
-
転送時の暗号化は、Amazon VPC. で実行しているレプリケーショングループでのみサポートされます。
-
転送時の暗号化は、MM1, M2 のノードタイプを実行するレプリケーショングループではサポートされていません。
詳細については、「サポートされているノードの種類」を参照してください。
-
転送時の暗号化は、パラメータ
TransitEncryptionEnabledをtrueに明示的に設定することで有効化されます。 -
キャッシュクライアントが TLS 接続をサポートしていることと、クライアント設定で TLS 接続を有効にしていることを確認します。
-
古い TLS 1.0 および TLS 1.1 の使用は、 ElastiCache バージョン 6 以降ではすべての AWS リージョンで廃止されました。ElastiCache は、2025 年 5 月 8 日まで TLS 1.0 および 1.1 を引き続きサポートします。お客様は、その日付より前にクライアントソフトウェアを更新する必要があります。
転送時の暗号化のベストプラクティス
-
エンドポイントでデータの暗号化と復号を行うにはある程度の処理が必要であるため、転送時の暗号化の実装によりパフォーマンスが低下する可能性があります。自身のデータで転送時の暗号化使用時のベンチマークを暗号化なしの場合と比較して、実装におけるパフォーマンスの影響を判断してください。
-
新しい接続の作成には高い負荷がかかる場合があるため、TLS 接続を持続させることで転送時の暗号化のパフォーマンスへの影響を軽減させることができます。
以下も参照してください。
