静态加密 ElastiCache - Amazon ElastiCache
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

静态加密 ElastiCache

为了帮助保护您的数据安全,Amazon ElastiCache 和 Amazon S3 提供了不同的方法来限制对缓存中数据的访问。有关更多信息,请参阅 Amazon VPC 和 ElastiCache 安全性适用于亚马逊的身份和访问管理 ElastiCache

  • 同步和交换操作期间的磁盘

ElastiCache 提供默认(服务托管)静态加密,并且能够在密钥管理服务 (KMS) 中Amazon 使用您自己的对称客户托管 K MS 密 Amazon 钥。备份缓存后,在加密选项下,选择是使用默认加密密钥还是客户自主管理型密钥。有关更多信息,请参阅 启用静态加密

注意

默认(服务托管)加密是 GovCloud (美国)区域中唯一可用的选项。

静态加密只能在创建缓存时在缓存上启用。由于加密和解密数据时需要进行一些处理,因此启用静态加密会对这些操作期间的性能产生影响。应对使用和不使用静态加密的数据进行基准测试,以确定对使用案例的性能影响。

静态加密条件

在计划实施 ElastiCache 静态加密时,应牢记以下 ElastiCache 静态加密限制:

  • 只有无服务器缓存上支持静态加密。

  • 在 Amazon GovCloud (us-gov-east-1 和- us-gov-west 1) 区域中不提供使用客户托管密钥进行静态加密的选项。

使用 KMS 中的客户托管密 Amazon 钥

ElastiCache 支持对称客户托管 Amazon KMS 密钥(KMS 密钥)进行静态加密。客户管理的 KMS 密钥是您在 Amazon 账户中创建、拥有和管理的加密密钥。有关更多信息,请参阅 Amazon Key Management Service 开发人员指南中的 Amazon KMS 密钥。密钥必须先在 Amazon KMS 中创建,然后才能与一起使用 ElastiCache。

要了解如何创建 Amazon KMS 根密钥,请参阅Amazon 钥管理服务开发人员指南中的创建密钥

ElastiCache 允许您与 Amazon KMS 集成。有关更多信息,请参阅 Amazon Key Management Service 开发人员指南中的使用授权。无需客户采取任何措施即可启用 Amazon 与 Amazon KMS 的 ElastiCache 集成。

kms:ViaService条件密钥将 Amazon KMS 密钥(KMS 密钥)的使用限制为来自指定 Amazon 服务的请求。要kms:ViaService与一起使用 ElastiCache,请在条件键值中包含两个 ViaService 名称:elasticache.Amazon_region.amazonaws.comdax.Amazon_region.amazonaws.com。有关更多信息,请参阅 kms: ViaService

您可以使用Amazon CloudTrail来跟踪 Amazon 代表您 ElastiCache 发送 Amazon Key Management Service 的请求。与客户托管密钥 Amazon Key Management Service 相关的所有API调用都有相应的 CloudTrail 日志。您还可以通过调用 ListGrantsKMS API 来查看 ElastiCache 创建的授权。

  • 如果删除密钥或禁用密钥并为用于加密缓存的密钥撤销授权,则缓存将变得不可恢复。换句话说,硬件故障后无法对其进行修改或恢复。 Amazon KMS 只有在等待至少七天后才会删除根密钥。删除密钥后,您可以使用其他客户自主管理型密钥创建备份以用于存档目的。

  • 自动密钥轮换会保留您的 Amazon KMS 根密钥的属性,因此轮换不会影响您访问 ElastiCache 数据的能力。加密的 Amazon ElastiCache 缓存不支持手动密钥轮换,这包括创建新的根密钥和更新对旧密钥的所有引用。要了解更多信息,请参阅密 Amazon 钥管理服务开发人员指南中的轮换 KMS Amazon 钥。

  • 使用 KMS 密钥加密 ElastiCache 缓存需要每个缓存获得一次授权。此授权在缓存的整个生命周期中使用。

  • 有关 Amazon KMS 授权和限制的更多信息,请参阅《Amazon 密钥管理服务开发者指南》中的限制

启用静态加密

所有无服务器缓存均启用了静态加密。

您可以在创建 ElastiCache 缓存时启用静态加密。您可以使用 Amazon Web Services Management Console Amazon CLI、或 ElastiCache API 执行此操作。

在创建缓存时,您可以选取以下选项之一:

  • 默认 – 此选项使用服务管理的静态加密。

  • 客户托管密钥-此选项允许您提供来自 Amazon KMS 的密钥 ID/ARN 以进行静态加密。

要了解如何创建 Amazon KMS 根密钥,请参阅Amazon 钥管理服务开发者指南中的创建密钥

使用启用静态加密 Amazon Web Services Management Console

所有无服务器缓存均启用了静态加密。默认情况下,使用 Amazon拥有的 KMS 密钥来加密数据。要选择自己的 Amazon KMS 密钥,请进行以下选择:

  • 展开默认设置部分。

  • 默认设置部分下选择自定义默认设置

  • 安全部分下选择自定义您的安全设置

  • 加密密钥设置下选择客户自主管理型密钥

  • Amazon KMS 密钥设置下选择一个密钥。

另请参阅