Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Protección de datos en Amazon FSx para Windows File Server
<a name="data-protection-encryption"></a>

El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) de AWS se aplica a la protección de datos en Amazon FSx para Windows File Server. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta toda la Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulta las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulta la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS*.

Con fines de protección de datos, recomendamos proteger las credenciales de la Cuenta de AWS y configurar cuentas de usuario individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Utiliza SSL/TLS para comunicarse con los recursos de AWS. Se recomienda el uso de TLS 1.2 y recomendamos TLS 1.3.
+ Configure los registros de API y de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre cómo utilizar registros de seguimiento de CloudTrail para capturar actividades de AWS, consulta [Working with CloudTrail trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del usuario de AWS CloudTrail*.
+ Utiliza las soluciones de cifrado de AWS, junto con todos los controles de seguridad predeterminados dentro de los servicios de Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.
+ Si necesita módulos criptográficos validados FIPS 140-3 al acceder a AWS a través de una interfaz de línea de comandos o una API, utiliza un punto de conexión de FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulta [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabaja con FSx para Windows File Server u otros Servicios de AWS mediante la consola, la API, la AWS CLI o los SDK de AWS. Cualquier dato que ingrese en etiquetas o campos de texto de formato libre utilizados para nombres se puede emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.



## Cifrado de datos en FSx para Windows File Server
<a name="data-encryption"></a>

Amazon FSx para Windows File Server admite el cifrado de los datos en reposo y el cifrado de los datos en tránsito. El cifrado de los datos en reposo se activa de forma automática al crear un sistema de archivos Amazon FSx. El cifrado de los datos en tránsito se admite en los recursos compartidos de archivos que están mapeados en una instancia informática compatible con el protocolo SMB 3.0 o posterior. Amazon FSx cifra de manera automática los datos en tránsito con el cifrado SMB, cuando el usuario accede al sistema de archivos, sin necesidad de modificar las aplicaciones.

### Cuando utilizar el cifrado
<a name="whenencrypt"></a>

Si su organización está sujeta a políticas reglamentarias o corporativas que requieren el cifrado de datos y metadatos en reposo, recomendamos crear un sistema de archivos cifrados montando el sistema de archivos con el cifrado de datos en tránsito.

Si su organización está sujeta a políticas corporativas o reglamentarias que exigen el cifrado de los datos y metadatos en reposo, sus datos se cifran automáticamente en reposo. También le recomendamos que habilite el cifrado de los datos en tránsito montando su sistema de archivos mediante el cifrado de los datos en tránsito.

# Cifrado de datos en reposo
<a name="encryption-at-rest"></a>

Todos los sistemas de archivos de Amazon FSx están cifrados en reposo con claves administradas mediante AWS Key Management Service (AWS KMS). Los datos se cifran de manera automática antes de escribirse en el sistema de archivos y se descifran de la misma manera a medida que se leen. Estos procesos los administra Amazon FSx de forma transparente, por lo que no tiene que modificar las aplicaciones.

Amazon FSx utiliza un algoritmo de cifrado AES-256 estándar de la industria para cifrar los datos y metadatos en reposo de Amazon FSx. Para obtener más información, consulte los [Conceptos básicos de la criptografía](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html) en la *Guía del desarrollador de AWS Key Management Service*.

**nota**  
La infraestructura de gestión de claves de AWS utiliza algoritmos criptográficos aprobados por el estándar de procesamiento de la información federal (FIPS) 140-2. La infraestructura se adhiere a las recomendaciones del Instituto Nacional de Normas y Tecnología (NIST) 800-57.

## Cómo Amazon FSx utiliza AWS KMS
<a name="EFSKMS"></a>

Amazon FSx se integra con AWS KMS para la administración de claves. Amazon FSx utiliza un AWS KMS key para cifrar el sistema de archivos. Usted elige la clave del KMS que se utiliza para cifrar y descifrar los sistemas de archivos (tanto de datos como de metadatos). Puede habilitar, deshabilitar o revocar concesiones en esta clave de KMS. Esta clave del KMS puede ser de uno de los dos siguientes tipos:
+ **Clave administrada de AWS** – esta es la clave del KMS predeterminada, y su uso es gratuito.
+ **Clave administrada por el cliente**: se trata de la clave del KMS más flexible, ya que puede configurar las políticas de claves y concesiones para varios usuarios o servicios. Para obtener más información acerca de la creación de claves administradas por el cliente, consulte la [Creación de claves](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) en la* Guía para desarrolladores de AWS Key Management Service*.

Si utiliza una clave administrada por el cliente como clave de KMS para el cifrado y descifrado de datos de archivo, puede activar la rotación de claves. Cuando se activa la rotación de claves, AWS KMS rota automáticamente su clave una vez al año. Además, una clave administrada por el cliente le permite elegir el momento en que desea deshabilitar, volver a habilitar, eliminar o revocar el acceso a su clave del KMS. Para obtener más información, consulte [Rotación de AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) en la *Guía para desarrolladores de AWS Key Management Service*.

## Políticas de claves de Amazon FSx para AWS KMS
<a name="FSxKMSPolicy"></a>

Las políticas de claves son la forma principal de controlar el acceso a las claves KMS. Para obtener más información sobre las políticas de claves, consulte [Uso de las políticas de claves en AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) en la * Guía para desarrolladores de AWS Key Management Service. *En la siguiente lista se describen todos los permisos relacionados con AWS KMS que Amazon FSx admite para sistemas de archivos cifrados en reposo:
+ **kms:Encrypt** - (opcional): cifra texto plano en texto cifrado. Este permiso está incluido en la política de claves predeterminada.
+ **kms: Decrypt**: (obligatorio) descifra texto cifrado. El texto cifrado es texto no cifrado que se ha cifrado previamente. Este permiso está incluido en la política de claves predeterminada.
+ **kms:ReEncrypt**: (opcional) cifra datos del lado del servidor con una nueva clave de KMS, sin exponer el texto no cifrado de los datos en el lado del cliente. Los datos se descifran en primer lugar y luego se vuelven a cifrar. Este permiso está incluido en la política de claves predeterminada.
+ **kms:GenerateDataKeyWithoutPlaintext**: (obligatorio) devuelve una clave de cifrado de datos cifrada con una clave de KMS. Este permiso está incluido en la política de claves predeterminada en **kms:GenerateDataKey\$1**.
+ **kms:CreateGrant**: (obligatorio) añade una concesión a una clave para especificar quién puede utilizar la clave y en qué condiciones. Las concesiones son mecanismos de permiso alternativo para las políticas de claves. Para obtener más información sobre las concesiones, consulte [Uso de concesiones](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) en la Guía para desarrolladores de AWS Key Management Service. Este permiso está incluido en la política de claves predeterminada.
+ **kms:DescribeKey**: (obligatorio) proporciona información detallada acerca de la clave de KMS especificada. Este permiso está incluido en la política de claves predeterminada.
+ **kms:ListAliases** - (opcional): muestra todos los alias de clave de la cuenta. Si utiliza la consola para crear un sistema de archivos cifrados, este permiso rellena la lista de claves KMS. Le recomendamos que utilice este permiso para proporcionar la mejor experiencia de usuario. Este permiso está incluido en la política de claves predeterminada.

# Cifrado de datos en tránsito
<a name="encryption-in-transit"></a>

El cifrado de los datos en tránsito se admite en los recursos compartidos de archivos que están mapeados en una instancia informática compatible con el protocolo SMB 3.0 o posterior. Esto incluye todas las versiones de Windows a partir de Windows Server 2012 y Windows 8, y todos los clientes Linux con el cliente Samba versión 4.2 o posterior. Amazon FSx para Windows File Server cifra de manera automática los datos en tránsito mediante el cifrado SMB, cuando accede al sistema de archivos sin necesidad de modificar las aplicaciones.

El cifrado SMB utiliza AES-128-GCM o AES-128-CCM como algoritmo de cifrado (se elige la variante GCM si el cliente es compatible con SMB 3.1.1) y, además, garantiza la integridad de los datos de la firma mediante claves de sesión SMB Kerberos. El uso de AES-128-GCM mejora el rendimiento, por ejemplo, duplica el rendimiento al copiar archivos de gran tamaño a través de conexiones SMB cifradas.

Para cumplir con los requisitos de conformidad que obligan a cifrar siempre los datos en tránsito, el usuario puede limitar el acceso al sistema de archivos para únicamente permitir el acceso a los clientes que admiten el cifrado SMB. También, puede activar o desactivar el cifrado en tránsito para cada recurso compartido de archivos o para todo el sistema de archivos. Esto le permite tener una combinación de recursos compartidos de archivos cifrados y no cifrados en el mismo sistema de archivos.

## Administración del cifrado en tránsito
<a name="manage-encrypt-in-transit"></a>

Puede usar un conjunto de comandos personalizados de PowerShell para controlar el cifrado de los datos en tránsito entre el sistema de archivos de FSx para Windows File Server y los clientes. Puede limitar el acceso al sistema de archivos únicamente a los clientes que admitan el cifrado SMB, de modo que los datos en tránsito estén siempre cifrados. Cuando se activa la aplicación del cifrado de los datos en tránsito, los usuarios que accedan al sistema de archivos desde clientes que no admiten el cifrado SMB 3.0 no podrán acceder a los archivos compartidos en los que el cifrado esté activado.

También puede controlar el cifrado de los datos en tránsito a nivel de recurso compartido en lugar de a nivel de servidor de archivos. Puede utilizar los controles de cifrado a nivel de recursos compartidos de archivos para tener una combinación de recursos compartidos de archivos cifrados y no cifrados en el mismo sistema de archivos si desea aplicar el cifrado en tránsito para algunos recursos compartidos de archivos que contienen datos confidenciales y permitir que todos los usuarios accedan a otros recursos compartidos de archivos. El cifrado de todo el servidor tiene prioridad sobre el cifrado a nivel de recursos compartidos. Si el cifrado global está activado, no se puede deshabilitar de forma selectiva el cifrado para determinados recursos compartidos.

Puede administrar el cifrado en tránsito en su sistema de archivos mediante la CLI de Amazon FSx para la administración remota en PowerShell. Para obtener información sobre cómo utilizar esta CLI, consulte [Uso de Amazon FSx CLI para PowerShell](administering-file-systems.md#remote-pwrshell). 

A continuación, se muestran los comandos que puede utilizar para administrar el cifrado en tránsito de los usuarios en su sistema de archivos.


| Cifrado en comando de tránsito | Descripción | 
| --- | --- | 
|  **Get-FSxSmbServerConfiguration**  |  Recupera la configuración de bloque de mensajes del servidor (SMB). En la respuesta del sistema, puede determinar la configuración del cifrado en tránsito del sistema de archivos en función de los valores de las propiedades `EncryptData` y `RejectUnencryptedAccess`.  | 
|  **Set-FSxSmbServerConfiguration**  |  Este comando tiene dos opciones para configurar el cifrado en tránsito de forma global en el sistema de archivos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/fsx/latest/WindowsGuide/encryption-in-transit.html)  | 
| **Set-FSxSmbShare -name *name* -EncryptData \$1True** | Defina este parámetro como `True` para activar el cifrado de datos en tránsito. Defina este parámetro como `False` para desactivar el cifrado de datos en tránsito. | 

La ayuda en línea de cada comando brinda una referencia de todas las opciones de comando. Para acceder a esta ayuda, ejecute el comando con **-?**, por ejemplo, **Get-FSxSmbServerConfiguration -?**.