Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Protección de datos en Amazon EFS
El [modelo de ](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica a protección de datos en Amazon EFS. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global en la que se ejecutan todos los Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS *.
Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Se utiliza SSL/TLS para comunicarse con AWS los recursos. Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Configure la API y el registro de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte [Cómo trabajar con CloudTrail senderos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del AWS CloudTrail usuario*.
+ Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger la información confidencial almacenada en Amazon S3.
+ Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabaja con Amazon EFS u otro Servicios de AWS dispositivo mediante la consola AWS CLI, la API o AWS SDKs. Cualquier dato que introduzca en etiquetas o campos de formato libre utilizados para los nombres se pueden emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.
**Topics**
+ [Cifrado de datos en Amazon EFS](encryption.md)
+ [Privacidad entre redes](internetwork-privacy.md)
# Cifrado de datos en Amazon EFS
Amazon EFS proporciona capacidades de cifrado integrales para proteger los datos en reposo y en tránsito.
+ **Cifrado en reposo**: cifra los datos almacenados en el sistema de archivos.
+ **Cifrado en tránsito**: cifra los datos a medida que viajan entre sus clientes y el sistema de archivos.
Si su organización está sujeta a políticas reglamentarias o corporativas que requieren el cifrado de datos y metadatos, recomendamos crear un sistema de archivos con cifrado en reposo y montar el sistema de archivos con el cifrado de datos en tránsito.
**Topics**
+ [Cifrado de datos en reposo](encryption-at-rest.md)
+ [Cifrado de datos en tránsito](encryption-in-transit.md)
+ [Uso de AWS KMS claves para Amazon EFS](EFSKMS.md)
+ [Resolución de problemas de cifrado](troubleshooting-efs-encryption.md)
# Cifrado de datos en reposo
El cifrado en reposo cifra los datos almacenados en el sistema de archivos de EFS. Esto le ayuda a cumplir los requisitos de conformidad y a proteger la información confidencial del acceso no autorizado. Su organización podría necesitar el cifrado en reposo de todos los datos que cumplan una clasificación específica o que se asocien a una determinada aplicación, carga de trabajo o entorno.
**nota**
La infraestructura de administración de AWS claves utiliza algoritmos criptográficos aprobados por las normas federales de procesamiento de información (FIPS) 140-3. La infraestructura se adhiere a las recomendaciones del Instituto Nacional de Normas y Tecnología (NIST) 800-57.
Al crear un sistema de archivos mediante la consola de Amazon EFS, el cifrado en reposo se habilita de forma predeterminada. Al utilizar la AWS CLI API o SDKs al crear un sistema de archivos, debe habilitar explícitamente el cifrado.
Una vez creado un sistema de archivos de EFS, no puede cambiar su configuración de cifrado. Esto significa que no puede modificar un sistema de archivos no cifrado para cifrarlo. En su lugar, [replique el sistema de archivos](efs-replication.md) para copiar datos del sistema de archivos no cifrado a un nuevo sistema de archivos cifrado. Para obtener más información, consulte [¿Cómo activo el cifrado en reposo para un sistema de archivos de EFS existente?](https://repost.aws/knowledge-center/efs-turn-on-encryption-at-rest)
## Funcionamiento del cifrado en reposo
En un sistema de archivos cifrado, los datos y los metadatos se cifran de forma predeterminada antes de guardarlos en el almacenamiento y se descifran automáticamente cuando se leen. Estos procesos los administra Amazon EFS de forma transparente, por lo que no tiene que modificar las aplicaciones.
Amazon EFS utiliza AWS KMS para la administración de claves lo siguiente:
+ **Cifrado de datos de archivos**: el contenido de los archivos se cifra mediante la clave de KMS que especifique. Puede ser:
+ La opción predeterminada Clave propiedad de AWS para Amazon EFS (`aws/elasticfilesystem`), sin cargos adicionales.
+ Una clave administrada por el cliente que usted crea y administra: proporciona funciones adicionales de control y auditoría.
+ **Cifrado de metadatos**: los nombres de archivo, los nombres de directorio y el contenido del directorio se cifran con una clave que Amazon EFS administra internamente.
### Proceso de cifrado
Cuando se crea un sistema de archivos o se replica en un sistema de archivos de la misma cuenta, Amazon EFS utiliza una [sesión de acceso directo (FAS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) para realizar llamadas de KMS con las credenciales del autor de la llamada. En CloudTrail los registros, la `kms:CreateGrant` llamada parece provenir de la misma identidad de usuario que creó el sistema de archivos o la replicación. Puede identificar las llamadas al servicio Amazon EFS buscando el `invokedBy` campo con el valor`elasticfilesystem.amazonaws.com`. CloudTrail La política de recursos de la clave de KMS debe permitir la acción `CreateGrant` para que FAS realice la llamada.
**importante**
Usted administra el control de la concesión y puede revocarla en cualquier momento. La revocación de la concesión impide que Amazon EFS acceda a la clave de KMS para futuras operaciones. Para obtener más información, consulte [Retiro y revocación de concesiones](https://docs.aws.amazon.com/kms/latest/developerguide/grant-delete.html) en la *Guía para desarrolladores de AWS Key Management Service *.
Cuando se utilizan claves de KMS administradas por el cliente, la política de recursos también debe permitir la entidad principal de servicio de Amazon EFS e incluir la condición `kms:ViaService` para restringir el acceso al punto de conexión del servicio en cuestión. Por ejemplo:
```
"kms:ViaService":
"elasticfilesystem.us-east-2.amazonaws.com"
```
Amazon EFS utiliza un algoritmo de cifrado AES-256 estándar de la industria para cifrar los datos y metadatos en reposo.
Para obtener más información sobre las políticas de claves de KMS para Amazon EFS, consulte [Uso de AWS KMS claves para Amazon EFS](EFSKMS.md).
## Aplicación del cifrado en reposo para los sistemas de archivos nuevos
Puede utilizar la clave de condición de IAM `elasticfilesystem:Encrypted` en las políticas basadas en la identidad de AWS Identity and Access Management (IAM) para forzar la creación en reposo cuando los usuarios creen sistemas de archivos de EFS. Para obtener más información sobre el uso de la clave de condición, consulte [Ejemplo: Aplicación de la creación de sistemas de archivos cifrados](security_iam_id-based-policy-examples.md#using-iam-to-enforce-encryption-at-rest).
También puede definir políticas de control de servicios (SCPs) internas AWS Organizations para aplicar el cifrado de Amazon EFS a todos los Cuentas de AWS miembros de su organización. Para obtener más información sobre las políticas de control de servicios AWS Organizations, consulte [las políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#orgs_manage_policies_scp) en la *Guía del AWS Organizations usuario*.
# Cifrado de datos en tránsito
Amazon EFS admite el cifrado de datos en tránsito con seguridad de la capa de transporte (TLS). Cuando el cifrado de datos en tránsito se declara como una opción de montaje para su sistema de archivos de EFS, Amazon EFS establece una conexión TLS segura con su sistema de archivos de EFS al montarlo. Todo el tráfico de NFS se enruta a través de esta conexión cifrada.
## Cómo funciona el cifrado en tránsito
Recomendamos utilizar el asistente de montaje de EFS para montar el sistema de archivos, ya que simplifica el proceso de montaje en comparación con el montaje con `mount` de NFS. El ayudante de montaje de EFS administra el proceso mediante efs-proxy (para efs-utils versión 2.0.0 y posteriores) o stunnel (para las versiones anteriores de efs-utils) para establecer una conexión TLS segura con el sistema de archivos de EFS.
Aunque no utilice el ayudante de montaje, puede habilitar el cifrado de datos en tránsito. Para ello, realice los siguientes pasos.
**Cómo habilitar el cifrado de datos en tránsito sin el ayudante de montaje**
1. Descargue e instale `stunnel`, y anote el puerto en que la aplicación escucha. Para obtener más información, consulte [Actualización de `stunnel`](upgrading-stunnel.md).
1. Ejecute `stunnel` para conectarse al sistema de archivos de EFS en el puerto 2049 mediante TLS.
1. Utilizando el cliente NFS, monte `localhost:port`, donde `port` es el puerto que anotó en el primer paso.
Debido a que el cifrado de datos en tránsito se configura según cada base de conexión, cada montaje configurado tiene un proceso `stunnel` específico que se ejecuta en la instancia. De forma predeterminada, el proceso de stunnel utilizado por el ayudante de montaje escucha en un puerto local entre 20049 y 20449, y se conecta a Amazon EFS en el puerto 2049.
**nota**
De forma predeterminada, cuando se utiliza el ayudante de montaje de EFS con TLS, se aplica el uso del protocolo OCSP (Online Certificate Status Protocol) y la comprobación del nombre de host del certificado. El ayudante de montaje de EFS utiliza el programa stunnel para la funcionalidad de TLS. Algunas versiones de Linux no incluyen una versión de stunnel que admita estas características de TLS de forma predeterminada. Cuando se utiliza una de esas versiones de Linux, montar un sistema de archivos de EFS mediante TLS da error.
Una vez instalado el amazon-efs-utils paquete, para actualizar la versión de stunnel de su sistema, consulte[Actualización de `stunnel`](upgrading-stunnel.md).
Si tiene problemas con el cifrado, consulte [Resolución de problemas de cifrado](troubleshooting-efs-encryption.md).
Cuando se utiliza el cifrado de datos en tránsito, la configuración de su cliente NFS se modifica. Cuando inspecciona los sistemas de archivos montados activamente, verá uno montado en 127.0.0.1 o `localhost`, tal y como se muestra en el siguiente ejemplo.
```
$ mount | column -t
127.0.0.1:/ on /home/ec2-user/efs type nfs4 (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)
```
Cuando se realiza el montaje con TLS y el ayudante de montaje de EFS, vuelve a configurar el cliente NFS para el montaje en un puerto local. El ayudante de montaje de EFS inicia un proceso `stunnel` de cliente que escucha en este puerto local y `stunnel` abre una conexión cifrada al sistema de archivos de EFS usando TLS. El ayudante de montaje de EFS es responsable de la configuración y el mantenimiento de esta conexión cifrada y la configuración asociada.
Para determinar qué ID de sistema de archivos de Amazon EFS corresponde a qué punto de montaje, puede utilizar el siguiente comando. Recuerde sustituirla por *efs-mount-point* la ruta local en la que ha montado el sistema de archivos.
```
grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1
```
Cuando se utiliza el ayudante de montaje de EFS para el cifrado de datos en tránsito, también se crea un proceso denominado `amazon-efs-mount-watchdog`. Este proceso de vigilancia garantiza la ejecución de cada proceso de stunnel del montaje y detiene el proceso stunnel cuando se desmonta el sistema de archivos de EFS. Si por alguna razón un proceso de stunnel termina de forma inesperada, el proceso del watchdog lo reinicia.
# Uso de AWS KMS claves para Amazon EFS
Amazon EFS se integra con AWS Key Management Service (AWS KMS) para la administración de claves. Amazon EFS usa claves maestras de cliente para cifrar el sistema de archivos de la siguiente forma:
+ **Cifrado de metadatos en reposo**: Amazon EFS utiliza la Clave administrada de AWS para Amazon EFS, `aws/elasticfilesystem`, para cifrar y descifrar metadatos del sistema de archivos (es decir, nombres de archivo, nombres de directorio y contenido de los directorios).
+ **Cifrado de datos de archivos en reposo**: elija la clave administrada por el cliente usada para cifrar y descifrar los datos de archivo (es decir, el contenido de los archivos). Puede habilitar, deshabilitar o revocar concesiones en esta clave administrada por el cliente. Esta clave administrada por el cliente puede ser de uno de los dos siguientes tipos:
+ **Clave administrada de AWS para Amazon EFS**: esta es la clave administrada por el cliente predeterminada,`aws/elasticfilesystem`. No se le cobrará por crear ni almacenar una clave administrada por el cliente, pero sí por utilizarla. Para obtener más información, consulte [Precios de AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
+ **Clave administrada por el cliente**: se trata de la clave del KMS más flexible, ya que puede configurar las políticas de claves y concesiones para varios usuarios o servicios. Para obtener más información sobre la creación de claves administradas por el cliente, consulte [Creación de claves](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) en la *Guía para AWS Key Management Service desarrolladores.*
Si utiliza una clave administrada por el cliente para el cifrado y descifrado de datos de archivo, puede activar la rotación de claves. Cuando habilitas la rotación de claves, la rota AWS KMS automáticamente una vez al año. Además, una clave administrada por el cliente le permite elegir el momento en que desea deshabilitar, volver a habilitar, eliminar o revocar el acceso a su clave gestionada por el cliente en cualquier momento. Para obtener más información, consulte [Uso de AWS KMS claves para Amazon EFS](#EFSKMS).
**importante**
Amazon EFS solo acepta claves simétricas administradas por el cliente. No puede usar claves asimétricas administradas por el cliente con Amazon EFS.
El cifrado y descifrado de datos en reposo se administran de forma transparente. Sin embargo, las AWS cuentas IDs específicas de Amazon EFS aparecen en AWS CloudTrail los registros relacionados con AWS KMS las acciones. Para obtener más información, consulte [Entradas de archivos de registro de Amazon EFS para sistemas de encrypted-at-rest archivos](logging-using-cloudtrail.md#efs-encryption-cloudtrail).
## Políticas clave de Amazon EFS para AWS KMS
Las políticas de claves son la forma principal de controlar el acceso a las claves administradas por el cliente. Para obtener más información sobre las políticas de claves, consulte [Políticas de claves en AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) en la *Guía para desarrolladores de AWS Key Management Service . *En la siguiente lista se describen todos los permisos relacionados con AWS KMS que Amazon EFS admite para sistemas de archivos cifrados en reposo:
+ **kms:Encrypt** - (opcional): cifra texto plano en texto cifrado. Este permiso está incluido en la política de claves predeterminada.
+ **kms: Decrypt**: (obligatorio) descifra texto cifrado. El texto cifrado es texto no cifrado que se ha cifrado previamente. Este permiso está incluido en la política de claves predeterminada.
+ **kms: ReEncrypt** — (Opcional) Cifra los datos del lado del servidor con una nueva clave administrada por el cliente, sin exponer el texto sin formato de los datos del lado del cliente. Los datos se descifran en primer lugar y luego se vuelven a cifrar. Este permiso está incluido en la política de claves predeterminada.
+ **kms: GenerateDataKeyWithoutPlaintext** — (Obligatorio) Devuelve una clave de cifrado de datos cifrada con una clave gestionada por el cliente. Este permiso está incluido en la política de claves predeterminada en **kms: GenerateDataKey \$1**.
+ **kms: CreateGrant** — (Obligatorio) Añade una concesión a una clave para especificar quién puede utilizarla y en qué condiciones. Las concesiones son mecanismos de permiso alternativo para las políticas de claves. Para obtener más información sobre las concesiones, consulte [Concesiones en AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) en la *Guía para desarrolladores de AWS Key Management Service *. Este permiso está incluido en la política de claves predeterminada.
+ **kms: DescribeKey** — (Obligatorio) Proporciona información detallada sobre la clave gestionada por el cliente especificada. Este permiso está incluido en la política de claves predeterminada.
+ **kms: ListAliases** — (opcional) Muestra todos los alias clave de la cuenta. Si utiliza la consola para crear un sistema de archivos cifrados, este permiso rellena la lista **Seleccionar clave maestra de KMS**. Le recomendamos que utilice este permiso para proporcionar la mejor experiencia de usuario. Este permiso está incluido en la política de claves predeterminada.
### Clave administrada de AWS para la política de Amazon EFS KMS
La política JSON de KMS Clave administrada de AWS para Amazon EFS `aws/elasticfilesystem` es la siguiente:
```
{
"Version": "2012-10-17",
"Id": "auto-elasticfilesystem-1",
"Statement": [
{
"Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com",
"kms:CallerAccount": "111122223333"
}
}
},
{
"Sid": "Allow direct access to key metadata to the account",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:Describe*",
"kms:Get*",
"kms:List*",
"kms:RevokeGrant"
],
"Resource": "*"
}
]
}
```
## Estados de la clave y sus efectos
El estado de la clave de KMS afecta directamente al acceso al sistema de archivos cifrados:
Habilitado
Funcionamiento normal: acceso completo de lectura y escritura al sistema de archivos
Deshabilitado
El sistema de archivos se vuelve inaccesible después de un breve período. Se puede volver a habilitar.
Eliminación pendiente
El sistema de archivos se vuelve inaccesible. La eliminación se puede cancelar durante el período de espera.
Deleted (Eliminado)
El sistema de archivos está inaccesible de forma permanente. Esta acción no se puede revertir.
**aviso**
Si deshabilita o elimina la clave de KMS utilizada para su sistema de archivos, o revoca el acceso de Amazon EFS a la clave, su sistema de archivos se volverá inaccesible. Esto puede provocar la pérdida de datos si no tiene copias de seguridad. Asegúrese siempre de contar con los procedimientos de copia de seguridad adecuados antes de realizar cambios en las claves de cifrado.
# Resolución de problemas de cifrado
**Topics**
+ [Error de montaje con cifrado de los datos en tránsito](#mounting-tls-fails)
+ [Interrupción del montaje con cifrado de los datos en tránsito](#mounting-tls-interrupt)
+ [Encrypted-at-rest no se puede crear el sistema de archivos](#unable-to-encrypt)
+ [El sistema de archivos cifrado no se puede usar](#unusable-encrypt)
## Error de montaje con cifrado de los datos en tránsito
De forma predeterminada, cuando se utiliza el ayudante de montaje de Amazon EFS con TLS (Transport Layer Security), se aplica la comprobación del nombre de host. Algunos sistemas no admiten esta característica, por ejemplo, cuando se utiliza Red Hat Enterprise Linux o CentOS. En estos casos, se produce un error al montar un sistema de archivos de EFS mediante TLS.
**Acción que debe ejecutarse**
Se recomienda actualizar la versión de stunnel en el cliente para que admita la comprobación del nombre de host. Para obtener más información, consulte [Actualización de `stunnel`](upgrading-stunnel.md).
## Interrupción del montaje con cifrado de los datos en tránsito
Es posible, aunque poco probable, que su conexión cifrada a su sistema de archivos de Amazon EFS deje de responder o se interrumpa por eventos del lado del cliente.
**Acción que debe ejecutarse**
Si la conexión a su sistema de archivos de Amazon EFS con cifrado de datos en tránsito se interrumpe, siga estos pasos:
1. Asegúrese de que el servicio stunnel se está ejecutando en el cliente.
1. Confirme que la aplicación de vigilancia `amazon-efs-mount-watchdog` se está ejecutando en el cliente. Puede averiguar si esta aplicación se está ejecutando con el siguiente comando:
```
ps aux | grep [a]mazon-efs-mount-watchdog
```
1. Compruebe los registros de soporte. Para obtener más información, consulte [Obtención de registros de soporte](mount-helper-logs.md).
1. Si lo desea, puede habilitar los registros de stunnel y comprobar también esa información. Puede cambiar la configuración de los registros en `/etc/amazon/efs/efs-utils.conf` para habilitar los registros de stunnel. Sin embargo, esto requiere desmontar y volver a montar el sistema de archivos con el ayudante de montaje para que los cambios surtan efecto.
**importante**
Habilitar los registros de stunnel puede utilizar una cantidad de espacio nada despreciable en el sistema de archivos.
Si las interrupciones continúan, ponte en contacto con AWS Support.
## Encrypted-at-rest no se puede crear el sistema de archivos
Ha intentado crear un nuevo sistema de encrypted-at-rest archivos. Sin embargo, aparece un mensaje de error que indica que no AWS KMS está disponible.
**Acción que debe ejecutarse**
Este error puede ocurrir en el raro caso de que deje de estar AWS KMS disponible temporalmente en su Región de AWS. Si esto ocurre, espere a que AWS KMS vuelva a estar completamente disponible y, a continuación, vuelva a intentar crear el sistema de archivos.
## El sistema de archivos cifrado no se puede usar
Un sistema de archivos cifrados de forma coherente devuelve errores de servidor de NFS. Estos errores pueden producirse cuando EFS no puede recuperar la clave maestra AWS KMS por uno de los siguientes motivos:
+ La clave se ha desactivado.
+ La clave se ha eliminado.
+ El permiso de Amazon EFS para utilizar la clave se ha revocado.
+ AWS KMS no está disponible temporalmente.
**Acción que debe ejecutarse**
En primer lugar, confirme que la AWS KMS clave esté habilitada. Para ello, consulte las claves en la consola. Para obtener información, consulte [Visualización de claves](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys.html) en la *Guía del desarrollador de AWS Key Management Service *.
Si la clave no está habilitada, habilítela. Para obtener más información, consulte [Habilitar y deshabilitar claves](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html) en la *Guía del desarrollador de AWS Key Management Service *.
Si la clave está pendiente de eliminación, este estado deshabilita la clave. Puede cancelar la eliminación y volver a habilitar la clave. Para obtener más información, consulte [Programación y cancelación de eliminación de claves](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html#deleting-keys-scheduling-key-deletion) en la *Guía del desarrollador de AWS Key Management Service *.
Si la clave está habilitada y el problema persiste, o si se produce algún problema al volver a activar la clave, ponte en contacto con AWS Support.
# Privacidad entre redes
Este tema describe cómo Amazon EFS protege las conexiones entre el servicio y otras ubicaciones.
## Tráfico entre el servicio y las aplicaciones y clientes locales
Dispone de dos opciones de conectividad entre su red privada y AWS:
+ Una AWS Site-to-Site VPN conexión. Para obtener más información, consulte [¿Qué es AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ Una Direct Connect conexión. Para obtener más información, consulte [¿Qué es Direct Connect?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
El acceso a Amazon EFS a través de la red se realiza mediante AWS publicaciones APIs. Los clientes deben admitir el protocolo de seguridad de la capa de transporte (TLS) 1.2 o una versión posterior. Recomendamos TLS 1.3 o superior. Los clientes también deben admitir conjuntos de cifrado con confidencialidad directa total (PFS) tales como Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Diffie-Hellman Ephemeral (ECDHE). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos. Además, debe firmar las solicitudes con un ID de clave de acceso y una clave de acceso secreta que estén asociados a una entidad principal de IAM, o bien, puede usar [AWS Security Token Service (AWS STS)](https://docs.aws.amazon.com/STS/latest/APIReference/) a fin de generar credenciales de seguridad temporales para firmar solicitudes.
## Tráfico entre la VPC y la API de Amazon EFS
Para establecer una conexión privada entre su nube privada virtual (VPC) y la API de Amazon EFS, puede crear un punto de conexión de la VPC de tipo interfaz. Puede utilizar esta conexión para llamar a la API de Amazon EFS desde su VPC sin enviar tráfico por Internet. El punto de conexión proporciona conectividad segura a la API de Amazon EFS sin necesidad de una puerta de enlace de Internet, una instancia NAT o una conexión de red privada virtual (VPN). Para obtener más información, consulte [Uso de los puntos de conexión de VPC de interfaz en Amazon EFS](efs-vpc-endpoints.md).
## Tráfico entre AWS recursos de la misma región
El punto de conexión de Amazon Virtual Private Cloud (Amazon VPC) para Amazon EFS es una entidad lógica en una VPC que permite la conectividad solo a Amazon EFS. Amazon VPC dirige las solicitudes a Amazon EFS y redirige las respuestas de vuelta a la VPC. Para obtener más información, consulte [Puntos de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) en la *Guía del usuario de Amazon VPC*.