ElastiCache 中的静态加密 - Amazon ElastiCache
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

ElastiCache 中的静态加密

为了帮助保护您的数据,Amazon ElastiCache 和 Amazon S3 提供了不同的方法来限制对缓存中的数据的访问。有关更多信息,请参阅 Amazon VPC 和 ElastiCache 安全性适用于 Amazon ElastiCache 的 Identity and Access Management

  • 同步和交换操作期间的磁盘

ElastiCache 提供默认(服务托管式)的静态加密,以及使用 Amazon Key Management Service(KMS) 中您自己的对称客户自主管理型 Amazon KMS 密钥的功能。备份缓存后,在加密选项下,选择是使用默认加密密钥还是客户自主管理型密钥。有关更多信息,请参阅启用静态加密

注意

默认加密(服务托管式)是 GovCloud (US) 区域中唯一可用选项。

静态加密只能在创建缓存时在缓存上启用。由于加密和解密数据时需要进行一些处理,因此启用静态加密会对这些操作期间的性能产生影响。应对使用和不使用静态加密的数据进行基准测试,以确定对使用案例的性能影响。

静态加密条件

在规划 ElastiCache 静态加密的实现时,应牢记有关 ElastiCache 静态加密的以下约束:

  • 只有无服务器缓存上支持静态加密。

  • 使用客户自主管理型密钥进行静态加密的选项在 Amazon GovCloud(us-gov-east-1 和 us-gov-west-1)区域中不可用。

使用 Amazon KMS 中的客户自主管理型密钥

ElastiCache 支持使用对称的客户自主管理型 Amazon KMS 密钥(简称 KMS 密钥)进行静态加密。客户自主管理型 KMS 密钥是您在自己的 Amazon 账户中创建、拥有并管理的加密密钥。有关更多信息,请参阅 Amazon Key Management Service 开发人员指南中的 Amazon KMS 密钥。必须先在 Amazon KMS 中创建密钥,然后才能将其与 ElastiCache 一起使用。

要了解如何创建 Amazon KMS 根密钥,请参阅 Amazon Key Management Service 开发人员指南中的创建密钥

ElastiCache 允许与 Amazon KMS 集成。有关更多信息,请参阅 Amazon Key Management Service 开发人员指南中的使用授权。无需任何客户操作即可实现 Amazon ElastiCache 与 Amazon KMS 的集成。

kms:ViaService 条件键将 Amazon KMS 密钥(KMS 密钥)限制为仅用于指定 Amazon 服务发送的请求。要将 kms:ViaService 与 ElastiCache 结合使用,请将两个 ViaService 名称包含在条件键值中:elasticache.Amazon_region.amazonaws.comdax.Amazon_region.amazonaws.com。有关更多信息,请参阅 kms:ViaService

您可以使用 Amazon CloudTrail 来跟踪 Amazon ElastiCache 代表您向 Amazon Key Management Service 发送的请求。对 Amazon Key Management Service 发出的与客户自主管理型密钥相关的所有 API 调用都具有相应的 CloudTrail 日志。您还可以通过调用 ListGrants KMS API 调用来查看 ElastiCache 创建的授权。

  • 如果删除密钥或禁用密钥并为用于加密缓存的密钥撤销授权,则缓存将变得不可恢复。换句话说,复制组在硬件故障后无法修改或恢复。AmazonKMS 在至少七天的等待期限之后才会删除根密钥。删除密钥后,您可以使用其他客户自主管理型密钥创建备份以用于存档目的。

  • 自动密钥轮换将保留 Amazon KMS 根密钥的属性,因此轮换不会影响您访问 ElastiCache 数据的能力。加密的 Amazon ElastiCache 缓存不支持手动密钥轮换,手动密钥轮换涉及创建新的根密钥和更新对旧密钥的任何引用。要了解详情,请参阅 Amazon Key Management Service 开发人员指南中的轮换 Amazon KMS 密钥

  • 使用 KMS 密钥对 ElastiCache 缓存进行加密时,每个缓存都需要一个授权。此授权在缓存的整个生命周期中使用。

  • 有关 Amazon KMS 授权和限制的更多信息,请参阅 Amazon Key Management Service 开发人员指南中的限制

启用静态加密

所有无服务器缓存均启用了静态加密。

您可以在创建 ElastiCache 缓存时启用静态加密。您可以使用 Amazon Web Services Management Console、Amazon CLI 或 ElastiCache API 执行此操作。

在创建缓存时,您可以选取以下选项之一:

  • 默认 – 此选项使用服务管理的静态加密。

  • 客户自主管理型密钥 – 此选项允许您提供 Amazon KMS 中的密钥 ID/ARN 以进行静态加密。

要了解如何创建 Amazon KMS 根密钥,请参阅 Amazon Kay Management Service 开发人员指南中的创建密钥

使用 Amazon Web Services Management Console 启用静态加密

所有无服务器缓存均启用了静态加密。默认情况下,使用 Amazon 拥有的 KMS 密钥来加密数据。要选择您自己的 Amazon KMS 密钥,请进行以下选择:

  • 展开默认设置部分。

  • 默认设置部分下选择自定义默认设置

  • 安全部分下选择自定义您的安全设置

  • 加密密钥设置下选择客户自主管理型密钥

  • Amazon KMS 密钥设置下选择一个密钥。

另请参阅