Cifrado de datos en reposo - Amazon Elastic File System
Funcionamiento del cifrado en reposoAplicar el cifrado en reposo para los nuevos sistemas de archivos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado de datos en reposo

El cifrado en reposo cifra los datos almacenados en el sistema de archivos EFS. Esto le ayuda a cumplir los requisitos de conformidad y a proteger los datos confidenciales del acceso no autorizado. Es posible que su organización requiera el cifrado de todos los datos que cumplan con una clasificación específica o que estén asociados a una aplicación, carga de trabajo o entorno en particular.

nota

La infraestructura de administración de AWS claves utiliza algoritmos criptográficos aprobados por la norma federal de procesamiento de información (FIPS) 140-3. La infraestructura se adhiere a las recomendaciones del Instituto Nacional de Normas y Tecnología (NIST) 800-57.

Al crear un sistema de archivos mediante la consola Amazon EFS, el cifrado en reposo se habilita de forma predeterminada. Al utilizar la AWS CLI API o SDKs al crear un sistema de archivos, debe habilitar el cifrado de forma explícita.

Tras crear un sistema de archivos EFS, no puede cambiar su configuración de cifrado. Esto significa que no puede modificar un sistema de archivos no cifrado para cifrarlo. En su lugar, replique el sistema de archivos para copiar los datos del sistema de archivos no cifrado a un nuevo sistema de archivos cifrados. Para obtener más información, consulte ¿Cómo activo el cifrado en reposo para un sistema de archivos EFS existente?

Funcionamiento del cifrado en reposo

En un sistema de archivos cifrados, los datos y los metadatos se cifran de forma predeterminada antes de guardarlos en el almacenamiento y se descifran automáticamente cuando se leen. Amazon EFS gestiona estos procesos de forma transparente, por lo que no es necesario modificar las aplicaciones.

Amazon EFS utiliza AWS KMS para la administración de claves lo siguiente:

  • Cifrado de datos de archivos: el contenido de los archivos se cifra con la clave KMS que especifique. Puede ser una de las siguientes opciones:

    • La opción predeterminada Clave propiedad de AWS para Amazon EFS (aws/elasticfilesystem), sin cargos adicionales.

    • Una clave administrada por el cliente que usted crea y administra: proporciona funciones adicionales de control y auditoría.

  • Cifrado de metadatos: los nombres de los archivos, los nombres de los directorios y el contenido de los directorios se cifran mediante una clave que Amazon EFS administra internamente.

Proceso de cifrado

Cuando se crea un sistema de archivos o se replica en un sistema de archivos de la misma cuenta, Amazon EFS utiliza una sesión de acceso directo (FAS) para realizar llamadas de KMS con las credenciales de la persona que llama. En CloudTrail los registros, la kms:CreateGrant llamada parece provenir de la misma identidad de usuario que creó el sistema de archivos o la replicación. Puede identificar las llamadas al servicio Amazon EFS buscando el invokedBy campo con el valorelasticfilesystem.amazonaws.com. CloudTrail La política de recursos de la clave KMS debe permitir la CreateGrant acción para que FAS realice la llamada.

importante

Usted administra el control de la concesión y puede revocarla en cualquier momento. La revocación de la concesión impide que Amazon EFS acceda a la clave de KMS para futuras operaciones. Para obtener más información, consulte Retirar y revocar las subvenciones en la AWS Key Management Service Guía para desarrolladores. .

Cuando se utilizan claves de KMS administradas por el cliente, la política de recursos también debe permitir el servicio principal de Amazon EFS e incluir la kms:ViaService condición de restringir el acceso al punto final del servicio específico. Por ejemplo:

"kms:ViaService":
    "elasticfilesystem.us-east-2.amazonaws.com"

Amazon EFS utiliza el algoritmo de cifrado AES-256 estándar del sector para cifrar los datos y metadatos en reposo.

Para obtener más información sobre las políticas clave de KMS para Amazon EFS, consulteUso de AWS KMS claves para Amazon EFS.

Aplicar el cifrado en reposo para los nuevos sistemas de archivos

Puede usar la clave de condición de elasticfilesystem:Encrypted IAM en las políticas basadas en la identidad AWS Identity and Access Management (IAM) para imponer la creación en reposo cuando los usuarios crean sistemas de archivos EFS. Para obtener más información sobre el uso de la clave de condición, consulte Ejemplo: Aplicación de la creación de sistemas de archivos cifrados.

También puede definir políticas de control de servicios (SCPs) internas AWS Organizations para aplicar el cifrado de Amazon EFS a todos los Cuentas de AWS miembros de su organización. Para obtener más información sobre las políticas de control de servicios AWS Organizations, consulte las políticas de control de servicios en la Guía del AWS Organizations usuario.