Chiffrement de données au repos - Amazon Elastic File System
Comment fonctionne le chiffrement au repos ?Application du chiffrement au repos pour les nouveaux systèmes de fichiers

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement de données au repos

Le chiffrement au repos chiffre les données stockées dans votre système de fichiers EFS. Cela vous permet de respecter les exigences de conformité et de protéger les données sensibles contre tout accès non autorisé. Votre organisation peut avoir besoin de chiffrer toutes les données répondant à une classification spécifique ou associées à une application, une charge de travail ou un environnement particulier.

Note

L'infrastructure de gestion des AWS clés utilise des algorithmes cryptographiques approuvés par les Federal Information Processing Standards (FIPS) 140-3. Cette infrastructure est conforme aux recommandations NIST (National Institute of Standards and Technology) 800-57.

Lorsque vous créez un système de fichiers à l'aide de la console Amazon EFS, le chiffrement au repos est activé par défaut. Lorsque vous utilisez AWS CLI l'API ou SDKs que vous créez un système de fichiers, vous devez explicitement activer le chiffrement.

Une fois que vous avez créé un système de fichiers EFS, vous ne pouvez pas modifier ses paramètres de chiffrement. Cela signifie que vous ne pouvez pas modifier un système de fichiers non chiffré pour le chiffrer. Répliquez plutôt le système de fichiers pour copier les données du système de fichiers non chiffré vers un nouveau système de fichiers crypté. Pour plus d'informations, voir Comment activer le chiffrement au repos pour un système de fichiers EFS existant ?

Comment fonctionne le chiffrement au repos ?

Dans un système de fichiers chiffré, les données et les métadonnées sont chiffrées par défaut avant d'être enregistrées dans le stockage et sont automatiquement déchiffrées lors de leur lecture. Ces processus sont gérés de manière transparente par Amazon EFS, vous n'avez donc pas besoin de modifier vos applications.

Amazon EFS utilise AWS KMS les méthodes suivantes pour la gestion des clés :

  • Chiffrement des données des fichiers : le contenu de vos fichiers est chiffré à l'aide de la clé KMS que vous spécifiez. Cela peut être soit :

    • L'option Clé détenue par AWS for Amazon EFS (aws/elasticfilesystem) : option par défaut, sans frais supplémentaires.

    • Une clé gérée par le client que vous créez et gérez : fournit des fonctionnalités de contrôle et d'audit supplémentaires.

  • Chiffrement des métadonnées : les noms de fichiers, les noms de répertoires et le contenu des répertoires sont chiffrés à l'aide d'une clé gérée en interne par Amazon EFS.

Processus de chiffrement

Lorsqu'un système de fichiers est créé ou répliqué sur un système de fichiers du même compte, Amazon EFS utilise une session d'accès direct (FAS) pour effectuer des appels KMS à l'aide des informations d'identification de l'appelant. Dans CloudTrail les journaux, l'kms:CreateGrantappel semble avoir été effectué par le même utilisateur que celui qui a créé le système de fichiers ou la réplication. Vous pouvez identifier les appels de service Amazon EFS CloudTrail en recherchant le invokedBy champ contenant la valeurelasticfilesystem.amazonaws.com. La politique de ressources sur la clé KMS doit autoriser l'CreateGrantaction permettant à FAS de passer l'appel.

Important

Vous gérez le contrôle de la subvention et pouvez la révoquer à tout moment. La révocation de l'autorisation empêche Amazon EFS d'accéder à la clé KMS pour de futures opérations. Pour plus d'informations, consultez la section Retrait et révocation des subventions dans le Guide du AWS Key Management Service développeur. .

Lorsque vous utilisez des clés KMS gérées par le client, la politique de ressources doit également autoriser le principal du service Amazon EFS et inclure la kms:ViaService condition de restriction de l'accès au point de terminaison du service spécifique. Par exemple :

"kms:ViaService":
    "elasticfilesystem.us-east-2.amazonaws.com"

Amazon EFS utilise l'algorithme de chiffrement AES-256 standard pour chiffrer les données et les métadonnées au repos.

Pour plus d'informations sur les politiques clés KMS pour Amazon EFS, consultezUtilisation de AWS KMS clés pour Amazon EFS.

Application du chiffrement au repos pour les nouveaux systèmes de fichiers

Vous pouvez utiliser la clé de condition elasticfilesystem:Encrypted IAM dans les politiques basées sur l'identité AWS Identity and Access Management (IAM) pour imposer la création au repos lorsque les utilisateurs créent des systèmes de fichiers EFS. Pour de plus amples informations sur l’utilisation de la clé de condition , veuillez consulter Exemple : imposer la création de systèmes de fichiers chiffrés.

Vous pouvez également définir des politiques de contrôle des services (SCPs) internes AWS Organizations afin d'appliquer le chiffrement Amazon EFS Comptes AWS à tous les membres de votre organisation. Pour plus d'informations sur les politiques de contrôle des services dans AWS Organizations, voir Politiques de contrôle des services dans le Guide de AWS Organizations l'utilisateur.