View a markdown version of this page

Cifrado de datos en reposo - FSx para Lustre
Funcionamiento del cifrado en reposoAWS KMS administración de claves

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado de datos en reposo

El cifrado de los datos en reposo se habilita automáticamente al crear un sistema de Amazon FSx for Lustre archivos mediante la Consola de administración de AWS API Amazon FSx o uno de los SDK AWS CLI, o de forma programática a través de ella. AWS Su organización podría necesitar el cifrado en reposo de todos los datos que cumplan una clasificación específica o que se asocien a una determinada aplicación, carga de trabajo o entorno. Si crea un sistema de archivos persistente, puede especificar la AWS KMS clave con la que se cifrarán los datos. Si crea un sistema de archivos Scratch, los datos se cifran usando claves gestionadas por Amazon FSx. Para obtener más información sobre cómo crear un sistema de archivos cifrado en reposo mediante la consola, consulte Crear el sistema de archivos de Amazon FSx for Lustre.

nota

La infraestructura de administración de AWS claves utiliza algoritmos criptográficos aprobados por las Normas Federales de Procesamiento de Información (FIPS) 140-2. La infraestructura se adhiere a las recomendaciones del Instituto Nacional de Normas y Tecnología (NIST) 800-57.

Para obtener más información sobre cómo se usa FSx for AWS KMS Lustre, consulte. ¿Cómo se usa Amazon FSx for Lustre AWS KMS

Funcionamiento del cifrado en reposo

En un sistema de archivos cifrados, los datos y los metadatos se cifran automáticamente antes de escribirse en el sistema de archivos. Del mismo modo, cuando se leen los datos y metadatos, se descifran automáticamente antes de que se presenten a la aplicación. Estos procesos los administra Amazon FSx for Lustre de forma transparente, por lo que no tiene que modificar sus aplicaciones.

Amazon FSx for Lustreutiliza un algoritmo de AES-256 cifrado estándar del sector para cifrar los datos del sistema de archivos en reposo. Para obtener más información, consulte los Conceptos básicos de la criptografía en la Guía del desarrollador de AWS Key Management Service .

¿Cómo se usa Amazon FSx for Lustre AWS KMS

Amazon FSx for Lustre cifra datos de manera automática antes de escribirse en el sistema de archivos y los descifra de la misma manera a medida que se leen. Los datos se cifran mediante un cifrado de XTS-AES-256 bloques. Todos los sistemas de archivos Scratch FSx for Lustre están cifrados en reposo con claves gestionadas por. AWS KMSAmazon FSx for Lustrese integra con AWS KMS para la gestión de claves. Las claves utilizadas para cifrar los sistemas de archivos Scratch en reposo son únicas por sistema de archivos y se destruyen una vez eliminado el sistema de archivos. En el caso de los sistemas de archivos persistentes, debe elegir la clave de KMS usada para cifrar y descifrar los datos. Puede especificar qué clave se usará cuando se cree un sistema de archivos persistente. Puede habilitar, deshabilitar o revocar concesiones en esta clave de KMS. Esta clave de KMS puede ser de uno de los dos siguientes tipos:

  • Clave administrada de AWS para Amazon FSx: es la clave de KMS predeterminada. No se le cobrará por crear ni almacenar una clave de KMS, pero sí por utilizarla. Para obtener más información, consulte Precios de AWS Key Management Service.

  • Clave administrada por el cliente: se trata de la clave de KMS más flexible, ya que puede configurar las políticas de claves y concesiones para varios usuarios o servicios. Para obtener más información sobre la creación de claves administradas por el cliente, consulte Creación de claves en la Guía para AWS Key Management Service desarrolladores.

Si utiliza una clave administrada por el cliente como clave de KMS para el cifrado y descifrado de datos de archivo, puede activar la rotación de claves. Cuando habilitas la rotación de claves, la rota AWS KMS automáticamente una vez al año. Además, una clave administrada por el cliente le permite elegir el momento en que desea deshabilitar, volver a habilitar, eliminar o revocar el acceso a su clave gestionada por el cliente en cualquier momento.

importante

Amazon FSx solo admite claves KMS de cifrado simétricas. No puede utilizar claves KMS asimétricas con Amazon FSx.

Políticas clave de Amazon FSx para AWS KMS

Las políticas de claves son la forma principal de controlar el acceso a las claves KMS. Para obtener más información acerca de las políticas de claves, consulte Uso de las políticas de claves en AWS KMS en la Guía para desarrolladores de AWS Key Management Service .En la siguiente lista se describen todos los permisos relacionados con AWS KMS que Amazon FSx admite para sistemas de archivos cifrados en reposo:

  • kms:Encrypt: (opcional) cifra texto no cifrado en texto cifrado. Este permiso está incluido en la política de claves predeterminada.

  • kms: Decrypt: (obligatorio) descifra texto cifrado. El texto cifrado es texto no cifrado que se ha cifrado previamente. Este permiso está incluido en la política de claves predeterminada.

  • kms: ReEncrypt — (Opcional) Cifra los datos del lado del servidor con una nueva clave de KMS, sin exponer el texto sin formato de los datos del lado del cliente. Los datos se descifran en primer lugar y luego se vuelven a cifrar. Este permiso está incluido en la política de claves predeterminada.

  • kms: GenerateDataKeyWithoutPlaintext — (Obligatorio) Devuelve una clave de cifrado de datos cifrada con una clave KMS. Este permiso está incluido en la política de claves predeterminada en kms: GenerateDataKey *.

  • kms: CreateGrant — (Obligatorio) Añade una concesión a una clave para especificar quién puede utilizarla y en qué condiciones. Las concesiones son mecanismos de permiso alternativo para las políticas de claves. Para obtener más información sobre las concesiones, consulte Uso de concesiones en la Guía para desarrolladores de AWS Key Management Service . Este permiso está incluido en la política de claves predeterminada.

  • kms: DescribeKey — (Obligatorio) Proporciona información detallada sobre la clave KMS especificada. Este permiso está incluido en la política de claves predeterminada.

  • kms: ListAliases — (opcional) Muestra todos los alias clave de la cuenta. Si utiliza la consola para crear un sistema de archivos cifrados, este permiso rellena la lista para seleccionar la clave de KMS. Le recomendamos que utilice este permiso para proporcionar la mejor experiencia de usuario. Este permiso está incluido en la política de claves predeterminada.