Verschlüsseln von Daten im Ruhezustand - Amazon Elastic File System
Funktionsweise der Verschlüsselung im RuhezustandErzwingen der Verschlüsselung im Ruhezustand für neue Dateisysteme

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsseln von Daten im Ruhezustand

Die Verschlüsselung im Ruhezustand verschlüsselt Daten, die auf Ihrem EFS-Dateisystem gespeichert sind. Auf diese Weise können Sie Compliance-Anforderungen erfüllen und sensible Daten vor unbefugtem Zugriff schützen. Ihr Unternehmen verlangt möglicherweise die Verschlüsselung aller Daten, die einer bestimmten Klassifizierung entsprechen oder mit einer bestimmten Anwendung, einem Workload oder einer bestimmten Umgebung verknüpft sind.

Anmerkung

Die Infrastruktur AWS für die Schlüsselverwaltung verwendet von den Federal Information Processing Standards (FIPS) 140-3 anerkannte kryptografische Algorithmen. Die Infrastruktur entspricht den Empfehlungen der National Institute of Standards and Technology (NIST) 800-57.

Wenn Sie mit der Amazon EFS-Konsole ein Dateisystem erstellen, ist die Verschlüsselung im Ruhezustand standardmäßig aktiviert. Wenn Sie die AWS CLI API oder SDKs zum Erstellen eines Dateisystems verwenden, müssen Sie die Verschlüsselung ausdrücklich aktivieren.

Nachdem Sie ein EFS-Dateisystem erstellt haben, können Sie dessen Verschlüsselungseinstellung nicht ändern. Das bedeutet, dass Sie ein unverschlüsseltes Dateisystem nicht so ändern können, dass es verschlüsselt wird. Replizieren Sie stattdessen das Dateisystem, um Daten aus dem unverschlüsselten Dateisystem in ein neues verschlüsseltes Dateisystem zu kopieren. Weitere Informationen finden Sie unter Wie aktiviere ich die Verschlüsselung im Ruhezustand für ein vorhandenes EFS-Dateisystem?

Funktionsweise der Verschlüsselung im Ruhezustand

In einem verschlüsselten Dateisystem werden Daten und Metadaten standardmäßig verschlüsselt, bevor sie in den Speicher geschrieben werden, und beim Lesen automatisch entschlüsselt. Diese Prozesse werden von Amazon EFS transparent abgewickelt, sodass Sie Ihre Anwendungen nicht ändern müssen.

Amazon EFS verwendet AWS KMS für die Schlüsselverwaltung Folgendes:

  • Verschlüsselung von Dateidaten — Der Inhalt Ihrer Dateien wird mit dem von Ihnen angegebenen KMS-Schlüssel verschlüsselt. Dies kann entweder sein:

    • Die Standardoption AWS-eigener Schlüssel für Amazon EFS (aws/elasticfilesystem), keine zusätzlichen Gebühren.

    • Ein vom Kunden verwalteter Schlüssel, den Sie erstellen und verwalten — Bietet zusätzliche Kontroll- und Prüffunktionen.

  • Metadatenverschlüsselung — Dateinamen, Verzeichnisnamen und Verzeichnisinhalte werden mit einem Schlüssel verschlüsselt, den Amazon EFS intern verwaltet.

Verschlüsselungsprozess

Wenn ein Dateisystem erstellt oder in ein Dateisystem desselben Kontos repliziert wird, verwendet Amazon EFS eine Forward Access Session (FAS), um KMS-Aufrufe mit den Anmeldeinformationen des Anrufers durchzuführen. In den CloudTrail Protokollen scheint der kms:CreateGrant Anruf von derselben Benutzeridentität getätigt worden zu sein, mit der das Dateisystem oder die Replikation erstellt wurde. Sie können eingegangene Amazon EFS-Serviceanrufe identifizieren, CloudTrail indem Sie nach dem invokedBy Feld mit dem Wert suchenelasticfilesystem.amazonaws.com. Die Ressourcenrichtlinie für den KMS-Schlüssel muss die CreateGrant Aktion zulassen, damit FAS den Anruf tätigen kann.

Wichtig

Sie haben die Kontrolle über den Zuschuss und können ihn jederzeit widerrufen. Durch den Widerruf der Gewährung kann Amazon EFS nicht mehr auf den KMS-Schlüssel für future Operationen zugreifen. Weitere Informationen finden Sie unter Zuschüsse zurückziehen und widerrufen im Entwicklerhandbuch.AWS Key Management Service .

Bei der Verwendung von kundenverwalteten KMS-Schlüsseln muss die Ressourcenrichtlinie auch den Amazon EFS-Service Principal zulassen und die kms:ViaService Bedingung enthalten, den Zugriff auf den jeweiligen Service-Endpunkt einzuschränken. Zum Beispiel:

"kms:ViaService":
    "elasticfilesystem.us-east-2.amazonaws.com"

Amazon EFS verwendet den branchenüblichen AES-256-Verschlüsselungsalgorithmus, um Daten und Metadaten im Ruhezustand zu verschlüsseln.

Weitere Informationen zu KMS-Schlüsselrichtlinien für Amazon EFS finden Sie unterAWS KMS Schlüssel für Amazon EFS verwenden.

Erzwingen der Verschlüsselung im Ruhezustand für neue Dateisysteme

Sie können den elasticfilesystem:Encrypted IAM-Bedingungsschlüssel in AWS Identity and Access Management (IAM-) identitätsbasierten Richtlinien verwenden, um die Erstellung im Ruhezustand zu erzwingen, wenn Benutzer EFS-Dateisysteme erstellen. Weitere Informationen zum Verwenden des Bedingungsschlüssels finden Sie unter Beispiel: Erzwingen der Erstellung verschlüsselter Dateisysteme.

Sie können auch interne Service-Kontrollrichtlinien (SCPs) definieren AWS Organizations , um die Amazon EFS-Verschlüsselung für alle AWS-Konten in Ihrer Organisation durchzusetzen. Weitere Informationen zu den Richtlinien zur Servicesteuerung finden Sie unter Servicesteuerungsrichtlinien im AWS Organizations Benutzerhandbuch. AWS Organizations