Cifrado de datos en reposo - Amazon Elastic File System
Funcionamiento del cifrado en reposoAplicación del cifrado en reposo para los sistemas de archivos nuevos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado de datos en reposo

El cifrado en reposo cifra los datos almacenados en el sistema de archivos de EFS. Esto le ayuda a cumplir los requisitos de conformidad y a proteger la información confidencial del acceso no autorizado. Su organización podría necesitar el cifrado en reposo de todos los datos que cumplan una clasificación específica o que se asocien a una determinada aplicación, carga de trabajo o entorno.

nota

La infraestructura de administración de AWS claves utiliza algoritmos criptográficos aprobados por las normas federales de procesamiento de información (FIPS) 140-3. La infraestructura se adhiere a las recomendaciones del Instituto Nacional de Normas y Tecnología (NIST) 800-57.

Al crear un sistema de archivos mediante la consola de Amazon EFS, el cifrado en reposo se habilita de forma predeterminada. Al utilizar la AWS CLI API o SDKs al crear un sistema de archivos, debe habilitar explícitamente el cifrado.

Una vez creado un sistema de archivos de EFS, no puede cambiar su configuración de cifrado. Esto significa que no puede modificar un sistema de archivos no cifrado para cifrarlo. En su lugar, replique el sistema de archivos para copiar datos del sistema de archivos no cifrado a un nuevo sistema de archivos cifrado. Para obtener más información, consulte ¿Cómo activo el cifrado en reposo para un sistema de archivos de EFS existente?

Funcionamiento del cifrado en reposo

En un sistema de archivos cifrado, los datos y los metadatos se cifran de forma predeterminada antes de guardarlos en el almacenamiento y se descifran automáticamente cuando se leen. Estos procesos los administra Amazon EFS de forma transparente, por lo que no tiene que modificar las aplicaciones.

Amazon EFS utiliza AWS KMS para la administración de claves lo siguiente:

  • Cifrado de datos de archivos: el contenido de los archivos se cifra mediante la clave de KMS que especifique. Puede ser:

    • La opción predeterminada Clave propiedad de AWS para Amazon EFS (aws/elasticfilesystem), sin cargos adicionales.

    • Una clave administrada por el cliente que usted crea y administra: proporciona funciones adicionales de control y auditoría.

  • Cifrado de metadatos: los nombres de archivo, los nombres de directorio y el contenido del directorio se cifran con una clave que Amazon EFS administra internamente.

Proceso de cifrado

Cuando se crea un sistema de archivos o se replica en un sistema de archivos de la misma cuenta, Amazon EFS utiliza una sesión de acceso directo (FAS) para realizar llamadas de KMS con las credenciales del autor de la llamada. En CloudTrail los registros, la kms:CreateGrant llamada parece provenir de la misma identidad de usuario que creó el sistema de archivos o la replicación. Puede identificar las llamadas al servicio Amazon EFS buscando el invokedBy campo con el valorelasticfilesystem.amazonaws.com. CloudTrail La política de recursos de la clave de KMS debe permitir la acción CreateGrant para que FAS realice la llamada.

importante

Usted administra el control de la concesión y puede revocarla en cualquier momento. La revocación de la concesión impide que Amazon EFS acceda a la clave de KMS para futuras operaciones. Para obtener más información, consulte Retiro y revocación de concesiones en la Guía para desarrolladores de AWS Key Management Service .

Cuando se utilizan claves de KMS administradas por el cliente, la política de recursos también debe permitir la entidad principal de servicio de Amazon EFS e incluir la condición kms:ViaService para restringir el acceso al punto de conexión del servicio en cuestión. Por ejemplo:

"kms:ViaService":
    "elasticfilesystem.us-east-2.amazonaws.com"

Amazon EFS utiliza un algoritmo de cifrado AES-256 estándar de la industria para cifrar los datos y metadatos en reposo.

Para obtener más información sobre las políticas de claves de KMS para Amazon EFS, consulte Uso de AWS KMS claves para Amazon EFS.

Aplicación del cifrado en reposo para los sistemas de archivos nuevos

Puede utilizar la clave de condición de IAM elasticfilesystem:Encrypted en las políticas basadas en la identidad de AWS Identity and Access Management (IAM) para forzar la creación en reposo cuando los usuarios creen sistemas de archivos de EFS. Para obtener más información sobre el uso de la clave de condición, consulte Ejemplo: Aplicación de la creación de sistemas de archivos cifrados.

También puede definir políticas de control de servicios (SCPs) internas AWS Organizations para aplicar el cifrado de Amazon EFS a todos los Cuentas de AWS miembros de su organización. Para obtener más información sobre las políticas de control de servicios AWS Organizations, consulte las políticas de control de servicios en la Guía del AWS Organizations usuario.