Mengenkripsi data diam - Sistem File Elastis Amazon
Cara kerja enkripsi saat istirahatMenegakkan enkripsi saat istirahat untuk sistem file baru

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengenkripsi data diam

Enkripsi saat istirahat mengenkripsi data yang disimpan di sistem file EFS Anda. Ini membantu Anda memenuhi persyaratan kepatuhan dan melindungi data sensitif dari akses yang tidak sah. Organisasi Anda mungkin memerlukan enkripsi semua data yang memenuhi klasifikasi tertentu atau dikaitkan dengan aplikasi, beban kerja, atau lingkungan tertentu.

catatan

Infrastruktur manajemen AWS kunci menggunakan Federal Information Processing Standards (FIPS) 140-3 algoritma kriptografi yang disetujui. Infrastruktur ini konsisten dengan rekomendasi National Institute of Standard and Technology (NIST) 800-57.

Saat Anda membuat sistem file menggunakan konsol Amazon EFS, enkripsi saat istirahat diaktifkan secara default. Saat menggunakan AWS CLI, API, atau SDKs untuk membuat sistem file, Anda harus mengaktifkan enkripsi secara eksplisit.

Setelah Anda membuat sistem file EFS, Anda tidak dapat mengubah pengaturan enkripsi. Ini berarti Anda tidak dapat memodifikasi sistem file yang tidak terenkripsi untuk membuatnya terenkripsi. Sebagai gantinya, replikasi sistem file untuk menyalin data dari sistem file yang tidak terenkripsi ke sistem file terenkripsi baru. Untuk informasi selengkapnya, lihat Bagaimana cara mengaktifkan enkripsi saat istirahat untuk sistem file EFS yang ada?

Cara kerja enkripsi saat istirahat

Dalam sistem file terenkripsi, data dan metadata dienkripsi secara default sebelum ditulis ke penyimpanan dan secara otomatis didekripsi saat dibaca. Proses ini ditangani secara transparan oleh Amazon EFS, jadi Anda tidak perlu memodifikasi aplikasi Anda.

Amazon EFS menggunakan AWS KMS untuk manajemen kunci sebagai berikut:

  • Enkripsi data file — Isi file Anda dienkripsi menggunakan kunci KMS yang Anda tentukan. Ini bisa berupa:

    • The Kunci milik AWS for Amazon EFS (aws/elasticfilesystem) — Opsi default, tanpa biaya tambahan.

    • Kunci terkelola pelanggan yang Anda buat dan kelola — Memberikan kemampuan kontrol dan audit tambahan.

  • Enkripsi metadata - Nama file, nama direktori, dan konten direktori dienkripsi menggunakan kunci yang dikelola Amazon EFS secara internal.

Proses enkripsi

Saat sistem file dibuat atau direplikasi ke sistem file di akun yang sama, Amazon EFS menggunakan Forward Access Session (FAS) untuk melakukan panggilan KMS menggunakan kredensyal pemanggil. Dalam CloudTrail log, kms:CreateGrant panggilan tampaknya dibuat oleh identitas pengguna yang sama yang menciptakan sistem file atau replikasi. Anda dapat mengidentifikasi panggilan layanan Amazon EFS CloudTrail dengan mencari invokedBy bidang dengan nilainyaelasticfilesystem.amazonaws.com. Kebijakan sumber daya pada kunci KMS harus mengizinkan CreateGrant tindakan agar FAS melakukan panggilan.

penting

Anda mengelola kendali atas hibah, dan dapat mencabutkannya kapan saja. Mencabut hibah mencegah Amazon EFS mengakses kunci KMS untuk operasi masa depan. Untuk informasi selengkapnya, lihat Pensiun dan pencabutan hibah di Panduan Pengembang.AWS Key Management Service .

Saat menggunakan kunci KMS yang dikelola pelanggan, kebijakan sumber daya juga harus mengizinkan prinsipal layanan Amazon EFS dan menyertakan kms:ViaService kondisi untuk membatasi akses ke titik akhir layanan tertentu. Misalnya:

"kms:ViaService":
    "elasticfilesystem.us-east-2.amazonaws.com"

Amazon EFS menggunakan algoritma enkripsi AES-256 standar industri untuk mengenkripsi data dan metadata saat istirahat.

Untuk informasi selengkapnya tentang kebijakan utama KMS untuk Amazon EFS, lihatMenggunakan AWS KMS kunci untuk Amazon EFS.

Menegakkan enkripsi saat istirahat untuk sistem file baru

Anda dapat menggunakan kunci kondisi elasticfilesystem:Encrypted IAM dalam kebijakan berbasis identitas AWS Identity and Access Management (IAM) untuk menerapkan pembuatan saat istirahat saat pengguna membuat sistem file EFS. Untuk informasi selengkapnya tentang menggunakan kunci kondisi, lihatContoh: Menegakkan pembuatan sistem file terenkripsi.

Anda juga dapat menentukan kebijakan kontrol layanan (SCPs) di dalam AWS Organizations untuk menerapkan enkripsi Amazon EFS untuk semua yang ada Akun AWS di organisasi Anda. Untuk informasi selengkapnya tentang kebijakan kontrol layanan AWS Organizations, lihat Kebijakan kontrol layanan di Panduan AWS Organizations Pengguna.