Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# At-Rest Enkripsi di ElastiCache
Untuk membantu menjaga keamanan data Anda, Amazon ElastiCache dan Amazon S3 menyediakan berbagai cara untuk membatasi akses ke data di cache Anda. Untuk informasi selengkapnya, lihat [Amazon VPC dan keamanan ElastiCache](VPCs.md) dan [Identity and Access Management untuk Amazon ElastiCache](IAM.md).
ElastiCache enkripsi at-rest adalah fitur untuk meningkatkan keamanan data dengan mengenkripsi data on-disk. Fitur ini selalu diaktifkan di cache nirserver. Saat diaktifkan, fitur ini mengenkripsi aspek-aspek berikut:
+ Disk selama operasi sinkronisasi, pencadangan, dan swap
+ Cadangan yang disimpan di Amazon S3
Data yang disimpan di SSD (solid-state drive) dalam klaster yang mengaktifkan tingkatan data selalu dienkripsi.
ElastiCache menawarkan enkripsi default (dikelola layanan) saat istirahat, serta kemampuan untuk menggunakan kunci KMS yang dikelola pelanggan simetris Anda sendiri di [Layanan Manajemen AWS Kunci ( AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)). Saat cache dicadangkan, di bagian opsi enkripsi, pilih apakah akan menggunakan kunci enkripsi default atau kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat [Mengaktifkan Enkripsi At-Rest](#at-rest-encryption-enable).
**penting**
Mengaktifkan At-Rest Enkripsi pada cluster Valkey atau Redis OSS berbasis node yang ada melibatkan penghapusan grup replikasi Anda yang ada, **setelah** menjalankan pencadangan dan pemulihan pada grup replikasi.
At-rest enkripsi dapat diaktifkan pada cache hanya ketika dibuat. Karena diperlukan beberapa pemrosesan untuk mengenkripsi dan mendekripsi data, mengaktifkan enkripsi diam dapat berdampak pada performa selama operasi ini. Anda harus membandingkan data Anda menggunakan dan tidak menggunakan enkripsi diam untuk menentukan dampaknya terhadap performa untuk kasus penggunaan Anda.
**Topics**
+ [At-Rest Kondisi Enkripsi](#at-rest-encryption-constraints)
+ [Menggunakan kunci yang dikelola pelanggan dari AWS KM](#using-customer-managed-keys-for-elasticache-security)
+ [Mengaktifkan Enkripsi At-Rest](#at-rest-encryption-enable)
+ [Lihat Juga](#at-rest-encryption-see-also)
## At-Rest Kondisi Enkripsi
Kendala berikut pada enkripsi ElastiCache saat istirahat harus diingat ketika Anda merencanakan implementasi enkripsi saat istirahat: ElastiCache
+ At-rest enkripsi didukung pada grup replikasi yang menjalankan Valkey 7.2 dan yang lebih baru, dan versi Redis OSS (3.2.6 dijadwalkan untuk EOL, lihat jadwal akhir masa pakai versi [Redis OSS), 4.0.10 atau yang lebih](engine-versions.md#deprecated-engine-versions) baru.
+ At-rest enkripsi hanya didukung untuk grup replikasi yang berjalan di VPC Amazon.
+ At-rest enkripsi hanya didukung untuk grup replikasi yang menjalankan jenis node berikut.
+ R7g, R6gd, R6g, R5, R4, R3
+ M7g, M6g, M5, M4, M3
+ T4g, T3, T2
+ C7gN
Untuk informasi selengkapnya, lihat [Jenis simpul yang didukung](CacheNodes.SupportedTypes.md)
+ At-rest enkripsi diaktifkan dengan mengatur parameter `AtRestEncryptionEnabled` ke`true`. Untuk Valkey, parameter ini default jika tidak ditentukan. `true`
+ Anda dapat mengaktifkan enkripsi diam pada grup replikasi hanya saat membuat grup replikasi. Anda tidak dapat mengaktifkan dan menonaktifkan enkripsi diam dengan mengubah grup replikasi. Untuk informasi tentang cara menerapkan enkripsi diam pada grup replikasi yang sudah ada, lihat [Mengaktifkan Enkripsi At-Rest](#at-rest-encryption-enable).
+ Jika klaster menggunakan jenis simpul dari keluarga r6gd, data yang disimpan di SSD dienkripsi baik apakah enkripsi diam diaktifkan atau tidak.
+ Jika cluster menggunakan tipe node dari keluarga r6gd, data yang disimpan di SSD dienkripsi dengan kunci KMS yang dikelola pelanggan yang dipilih. AWS
+ Dengan Memcached, enkripsi saat istirahat hanya didukung pada cache tanpa server.
Menerapkan enkripsi diam dapat menurunkan performa selama operasi pencadangan dan sinkronisasi simpul. Lakukan tolok ukur enkripsi diam dibandingkan dengan tanpa enkripsi pada data Anda sendiri untuk menentukan dampaknya terhadap performa untuk implementasi Anda.
## Menggunakan kunci yang dikelola pelanggan dari AWS KM
ElastiCache mendukung kunci AWS KMS yang dikelola pelanggan simetris (kunci KMS) untuk enkripsi saat istirahat. Customer-managed Kunci KMS adalah kunci enkripsi yang Anda buat, miliki, dan kelola di AWS akun Anda. Untuk informasi selengkapnya, lihat [Kunci AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#root_keys) dalam *Panduan Developer untuk AWS Key Management Service*. Kunci harus dibuat di AWS KMS sebelum dapat digunakan. ElastiCache
Untuk mempelajari cara membuat kunci root AWS KMS, lihat [Membuat Kunci](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) di *Panduan Pengembang Layanan Manajemen AWS Kunci*.
ElastiCache memungkinkan Anda untuk berintegrasi dengan AWS KMS. Untuk informasi selengkapnya, lihat [Menggunakan Grant](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) dalam *Panduan Developer AWS Key Management Service*. Tidak diperlukan tindakan pelanggan untuk mengaktifkan ElastiCache integrasi Amazon dengan AWS KMS.
Kunci `kms:ViaService` kondisi membatasi penggunaan kunci AWS KMS (kunci KMS) untuk permintaan dari layanan tertentu AWS . Untuk digunakan `kms:ViaService` dengan ElastiCache, sertakan kedua ViaService nama dalam nilai kunci kondisi: `elasticache.AWS_region.amazonaws.com` dan`dax.AWS_region.amazonaws.com`. Untuk informasi lebih lanjut, lihat [kms: ViaService](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service).
Anda dapat menggunakan [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)untuk melacak permintaan yang ElastiCache dikirimkan AWS Key Management Service Amazon atas nama Anda. Semua panggilan API yang AWS Key Management Service terkait dengan kunci yang dikelola pelanggan memiliki CloudTrail log yang sesuai. Anda juga dapat melihat hibah yang ElastiCache dibuat dengan memanggil panggilan API [ListGrants](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListGrants.html)KMS.
Setelah grup replikasi dienkripsi menggunakan kunci yang dikelola pelanggan, semua cadangan untuk grup replikasi akan dienkripsi sebagai berikut:
+ Cadangan harian otomatis dienkripsi menggunakan kunci yang dikelola pelanggan yang terkait dengan klaster.
+ Cadangan akhir yang dibuat saat grup replikasi dihapus, juga dienkripsi menggunakan kunci yang dikelola pelanggan yang terkait dengan grup replikasi.
+ Cadangan yang dibuat secara manual dienkripsi secara default untuk menggunakan kunci KMS yang terkait dengan grup replikasi. Anda dapat menggantinya dengan memilih kunci dikelola pelanggan yang lain.
+ Jika cadangan disalin, kunci yang dikelola pelanggan yang terkait dengan cadangan sumber akan secara default digunakan. Anda dapat menggantinya dengan memilih kunci dikelola pelanggan yang lain.
**catatan**
Kunci yang dikelola pelanggan tidak dapat digunakan saat mengekspor cadangan ke bucket Amazon S3 pilihan Anda. Namun, semua cadangan yang diekspor ke Amazon S3 akan dienkripsi menggunakan [Enkripsi sisi server.](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html) Anda dapat memilih untuk menyalin file cadangan ke objek S3 baru dan mengenkripsi menggunakan kunci KMS yang dikelola pelanggan, menyalin file ke bucket S3 lain yang diatur dengan enkripsi default menggunakan kunci KMS atau mengubah opsi enkripsi dalam file itu sendiri.
Anda juga dapat menggunakan kunci yang dikelola pelanggan untuk mengenkripsi cadangan yang dibuat secara manual untuk grup replikasi yang tidak menggunakan kunci yang dikelola pelanggan untuk enkripsi. Dengan opsi ini, file cadangan yang disimpan di Amazon S3 akan dienkripsi menggunakan kunci KMS, meskipun data tersebut tidak dienkripsi pada grup replikasi yang asli.
Memulihkan dari cadangan memungkinkan Anda memilih opsi enkripsi yang tersedia, mirip dengan pilihan enkripsi yang tersedia saat membuat grup replikasi baru.
+ Jika Anda menghapus kunci atau [menonaktifkan](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html) kunci dan [mencabut grant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html) untuk kunci yang digunakan untuk mengenkripsi cache, cache menjadi tidak dapat dipulihkan. Dengan kata lain, itu tidak dapat dimodifikasi atau dipulihkan setelah kegagalan perangkat keras. AWS KMS menghapus kunci root hanya setelah masa tunggu setidaknya tujuh hari. Setelah kunci dihapus, Anda dapat menggunakan kunci yang dikelola pelanggan yang berbeda untuk membuat cadangan untuk tujuan pengarsipan.
+ Rotasi kunci otomatis mempertahankan properti kunci root AWS KMS Anda, sehingga rotasi tidak berpengaruh pada kemampuan Anda untuk mengakses data Anda ElastiCache . ElastiCache Cache Amazon terenkripsi tidak mendukung rotasi kunci manual, yang melibatkan pembuatan kunci root baru dan memperbarui referensi apa pun ke kunci lama. Untuk mempelajari selengkapnya, lihat [Memutar kunci AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) di Panduan *Pengembang Layanan Manajemen AWS Kunci*.
+ Mengenkripsi ElastiCache cache menggunakan kunci KMS memerlukan satu hibah per cache. Grant ini digunakan sepanjang masa pakai cache. Selain itu, satu grant per cadangan digunakan selama pembuatan cadangan. Grant ini dipensiunkan setelah cadangan dibuat.
+ Untuk informasi selengkapnya tentang AWS hibah dan batasan KMS, lihat [Batas](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html) dalam Panduan *Pengembang Layanan Manajemen AWS Utama*.
## Mengaktifkan Enkripsi At-Rest
Semua cache nirserver memiliki enkripsi diam yang aktif.
Saat membuat cluster berbasis node, Anda dapat mengaktifkan enkripsi saat istirahat dengan menyetel parameter ke. `AtRestEncryptionEnabled` `true` Anda tidak dapat mengaktifkan enkripsi diam di grup replikasi yang ada.
Anda dapat mengaktifkan enkripsi saat Anda membuat ElastiCache cache. Anda dapat melakukannya dengan menggunakan Konsol Manajemen AWS, the AWS CLI, atau ElastiCache API.
Saat membuat cache, Anda dapat memilih salah satu opsi berikut:
+ **Default** – Opsi ini menggunakan enkripsi diam yang dikelola layanan.
+ **Kunci terkelola pelanggan** - Opsi ini memungkinkan Anda untuk memberikan Kunci ID/ARN dari AWS KMS untuk enkripsi saat istirahat.
Untuk mempelajari cara membuat kunci root AWS KMS, lihat [Membuat Kunci](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) di Panduan *Pengembang Layanan Manajemen AWS Kunci*
**Contents**
+ [Mengaktifkan At-Rest Enkripsi Menggunakan Konsol Manajemen AWS](#at-rest-encryption-enable-con)
+ [Mengaktifkan At-Rest Enkripsi Menggunakan AWS CLI](#at-rest-encryption-enable-cli)
### Mengaktifkan At-Rest Enkripsi pada Cluster Valkey atau Redis OSS berbasis node yang ada
Anda hanya dapat mengaktifkan enkripsi saat Anda membuat grup replikasi Valkey atau Redis OSS. Jika Anda memiliki grup replikasi yang ada tempat Anda ingin mengaktifkan enkripsi diam, lakukan hal berikut.
**Untuk mengaktifkan enkripsi diam pada grup replikasi yang ada**
1. Buat cadangan manual dari grup replikasi yang ada. Untuk informasi selengkapnya, lihat [Membuat cadangan manual](backups-manual.md).
1. Buat grup replikasi baru dengan memulihkan dari cadangan. Pada grup replikasi baru, aktifkan enkripsi diam. Untuk informasi selengkapnya, lihat [Melakukan pemulihan dari cadangan ke dalam cache baru](backups-restoring.md).
1. Perbarui titik akhir dalam aplikasi Anda untuk mengarah ke grup replikasi baru.
1. Hapus grup replikasi lama. Untuk informasi selengkapnya, lihat [Menghapus cluster di ElastiCache](Clusters.Delete.md) atau [Menghapus grup replikasi](Replication.DeletingRepGroup.md).
### Mengaktifkan At-Rest Enkripsi Menggunakan Konsol Manajemen AWS
#### Mengaktifkan At-Rest Enkripsi pada Cache Tanpa Server (Konsol)
Semua cache nirserver memiliki enkripsi diam yang aktif. Secara default, kunci KMS yang AWS dimiliki digunakan untuk mengenkripsi data. Untuk memilih AWS KMS kunci Anda sendiri, buat pilihan berikut:
+ Perluas bagian **Pengaturan default**.
+ Pilih **Sesuaikan pengaturan default** di bagian **Pengaturan default**.
+ Pilih **Sesuaikan pengaturan keamanan Anda** di bagian **Keamanan**.
+ Pilih **CMK yang dikelola pelanggan** di bagian pengaturan **Kunci enkripsi**.
+ Pilih kunci di bagian pengaturan **Kunci AWS KMS **.
#### Mengaktifkan At-Rest Enkripsi pada Node-Based Cluster (Konsol)
**Saat mendesain cache Anda sendiri, konfigurasi Dev/Test '' dan 'Produksi' dengan metode 'Mudah dibuat' mengaktifkan enkripsi saat istirahat menggunakan kunci Default.** Saat memilih konfigurasi sendiri, buat pilihan berikut:
+ Pilih versi 3.2.6, 4.0.10 atau yang lebih baru sebagai versi mesin Anda.
+ Klik kotak centang di sebelah **Aktifkan** untuk opsi **Enkripsi diam**.
+ Pilih **Kunci default** atau **CMK yang dikelola pelanggan**.
Untuk prosedur langkah demi langkah, lihat berikut ini:
+ [Membuat cluster Valkey (mode cluster dinonaktifkan) (Konsol)](SubnetGroups.designing-cluster-pre.valkey.md#Clusters.Create.CON.valkey-gs)
+ [Membuat cluster Valkey atau Redis OSS (mode cluster diaktifkan) (Konsol)](Clusters.Create.md#Clusters.Create.CON.RedisCluster)
### Mengaktifkan At-Rest Enkripsi Menggunakan AWS CLI
Untuk mengaktifkan enkripsi saat membuat klaster Valkey atau Redis OSS menggunakan AWS CLI, gunakan parameter *--at-rest-encryption-enabled* saat membuat grup replikasi.
#### Mengaktifkan At-Rest Enkripsi pada Cluster Valkey atau Redis OSS (Mode Cluster Dinonaktifkan) (CLI)
Operasi berikut membuat grup replikasi Valkey atau Redis OSS (mode cluster dinonaktifkan) `my-classic-rg` dengan tiga node (*--num-cache-clusters*), replika utama dan dua baca. At-rest enkripsi diaktifkan untuk grup replikasi ini (*--at-rest-encryption-enabled*).
Parameter berikut dan nilainya diperlukan untuk mengaktifkan enkripsi pada grup replikasi ini:
**Parameter Kunci**
+ **--engine**—Harus `valkey` atau`redis`.
+ **--engine-version**—Jika mesinnya Redis OSS, ini harus 3.2.6, 4.0.10 atau yang lebih baru.
+ **--at-rest-encryption-enabled**—Wajib untuk mengaktifkan enkripsi diam.
**Example 1: Valkey atau Redis OSS (Mode Cluster Dinonaktifkan) Cluster dengan Replika**
Untuk Linux, macOS, atau Unix:
```
aws elasticache create-replication-group \
--replication-group-id {{my-classic-rg}} \
--replication-group-description {{"3 node replication group"}} \
--cache-node-type {{cache.m4.large}} \
--engine {{redis}} \
--at-rest-encryption-enabled \
--num-cache-clusters {{3}}
```
Untuk Windows:
```
aws elasticache create-replication-group ^
--replication-group-id {{my-classic-rg}} ^
--replication-group-description {{"3 node replication group"}} ^
--cache-node-type {{cache.m4.large}} ^
--engine {{redis}} ^
--at-rest-encryption-enabled ^
--num-cache-clusters {{3}} ^
```
Untuk informasi tambahan, lihat hal berikut:
+ [Membuat grup replikasi Valkey atau Redis OSS (Mode Cluster Dinonaktifkan) dari awal (AWS CLI)](Replication.CreatingReplGroup.NoExistingCluster.Classic.md#Replication.CreatingReplGroup.NoExistingCluster.Classic.CLI)
+ [create-replication-group](https://docs.aws.amazon.com/cli/latest/reference/elasticache/create-replication-group.html)
#### Mengaktifkan At-Rest Enkripsi pada Cluster untuk Valkey atau Redis OSS (Mode Cluster Diaktifkan) (CLI)
*Operasi berikut membuat grup replikasi Valkey atau Redis OSS (mode cluster enabled) `my-clustered-rg` dengan tiga grup node atau pecahan (--num-node-groups).* Masing-masing memiliki tiga node, primer dan dua replika baca (*--replicas-per-node-group*). At-restenkripsi diaktifkan untuk grup replikasi ini (*--at-rest-encryption-enabled*).
Parameter berikut dan nilainya diperlukan untuk mengaktifkan enkripsi pada grup replikasi ini:
**Parameter Kunci**
+ **--engine**—Harus `valkey` atau`redis`.
+ **--engine-version**—Jika mesinnya Redis OSS, ini harus 4.0.10 atau lebih baru.
+ **--at-rest-encryption-enabled**—Wajib untuk mengaktifkan enkripsi diam.
+ **--cache-parameter-group**—Harus `default-redis4.0.cluster.on` atau turunannya untuk membuat grup replikasi dengan mode klaster diaktifkan.
**Example 2: Cluster Valkey atau Redis OSS (Mode Cluster Diaktifkan)**
Untuk Linux, macOS, atau Unix:
```
aws elasticache create-replication-group \
--replication-group-id {{my-clustered-rg}} \
--replication-group-description {{"redis clustered cluster"}} \
--cache-node-type {{cache.m3.large}} \
--num-node-groups {{3}} \
--replicas-per-node-group {{2}} \
--engine {{redis}} \
--engine-version {{6.2}} \
--at-rest-encryption-enabled \
--cache-parameter-group {{default.redis6.x.cluster.on}}
```
Untuk Windows:
```
aws elasticache create-replication-group ^
--replication-group-id {{my-clustered-rg}} ^
--replication-group-description {{"redis clustered cluster"}} ^
--cache-node-type {{cache.m3.large}} ^
--num-node-groups {{3}} ^
--replicas-per-node-group {{2}} ^
--engine {{redis}} ^
--engine-version {{6.2}} ^
--at-rest-encryption-enabled ^
--cache-parameter-group {{default.redis6.x.cluster.on}}
```
Untuk informasi tambahan, lihat hal berikut:
+ [Membuat grup replikasi Valkey atau Redis OSS (Cluster Mode Enabled) dari awal (AWS CLI)](Replication.CreatingReplGroup.NoExistingCluster.Cluster.md#Replication.CreatingReplGroup.NoExistingCluster.Cluster.CLI)
+ [create-replication-group](https://docs.aws.amazon.com/cli/latest/reference/elasticache/create-replication-group.html)
## Lihat Juga
+ [Amazon VPC dan keamanan ElastiCache](VPCs.md)
+ [Identity and Access Management untuk Amazon ElastiCache](IAM.md)