本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
ElastiCache 传输中加密 (TLS)
为了帮助保护您的数据安全,Amazon ElastiCache 和 Amazon EC2 提供了防止未经授权访问服务器上数据的机制。通过提供传输中加密功能, ElastiCache 为您提供一种工具,用于在数据从一个位置移动到另一个位置时帮助保护数据。
所有无服务器缓存均启用了传输中加密。对于自行设计的集群,在创建复制组时,您可将参数 TransitEncryptionEnabled 设置为 true(CLI:--transit-encryption-enabled),以此在复制组中启用传输中加密。无论您是使用、还是 ElastiCache API 创建复制组 Amazon Web Services Management Console Amazon CLI,都可以执行此操作。
主题
传输中加密概览
Amazon ElastiCache 传输中加密是一项功能,可让您在数据从一个位置传输到另一个地点时,在最脆弱的地方提高数据的安全性。由于在端点加密和解密数据时需要进行一些处理,因此启用传输中加密会对性能产生一些影响。应对使用和不使用传输中加密的数据进行基准测试,以确定对使用案例的性能影响。
ElastiCache 传输中加密实现了以下功能:
-
加密客户端连接:客户端与缓存节点的连接采用 TLS 加密。
-
加密服务器连接:对集群中在节点之间移动的数据进行了加密。
-
服务器身份验证 – 客户端可通过身份验证确定它们连接到正确的服务器。
-
客户端身份验证 – 使用 Redis AUTH 功能,服务器可以对客户端进行身份验证。
传输中加密的条件
在规划自己设计的集群实施时,应牢记以下对 Amazon ElastiCache 传输中加密的限制:
-
在运行以下 Redis 版本的复制组上支持传输中加密:3.2.6、4.0.10 和更高版本。
-
运行 Redis 版本 7 及更高版本的复制组支持修改现有集群的传输中加密设置。
-
只有在 Amazon VPC 中运行的复制组支持传输中加密。
-
运行以下节点类型的复制组不支持传输中加密:M1、M2。
有关更多信息,请参阅 受支持的节点类型。
-
通过显式将参数
TransitEncryptionEnabled设置为true可启用传输中加密。 -
确保您的缓存客户端支持 TLS 连接,并且您已在客户端配置中启用传输中加密。
-
对于 ElastiCache 版本 6 及更高版本,所有 Amazon 区域都不建议使用旧的 TLS 1.0 和 TLS 1.1。ElastiCache 将在 2025 年 5 月 8 日之前继续支持 TLS 1.0 和 1.1。客户必须在该日期之前更新其客户端软件。
传输中加密最佳实践
-
由于在端点加密和解密数据时需要进行一些处理,因此实现传输中加密会降低性能。使用自己的数据,对传输中加密进行基准测试,然后与不加密情况进行比较,以确定其对实现性能的影响。
-
由于创建新连接的成本可能非常高,您可以通过保留 TLS 连接来减小传输中加密对性能的影响。