Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Perlindungan data di Amazon FSx untuk Windows File Server
<a name="data-protection-encryption"></a>

[Model tanggung jawab AWS bersama model](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di Amazon FSx untuk Windows File Server. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.

Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensil dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan sumber daya. AWS Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk ketika Anda bekerja dengan FSx untuk Windows File Server atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.



## Enkripsi data FSx untuk Windows File Server
<a name="data-encryption"></a>

Amazon FSx untuk Windows File Server mendukung enkripsi data saat istirahat dan enkripsi data dalam perjalanan. Enkripsi data saat istirahat diaktifkan secara otomatis saat membuat sistem FSx file Amazon. Enkripsi data dalam transit di-support pada akses berbagi file yang dipetakan pada instans komputasi yang men-support protokol SMB 3.0 atau yang lebih baru. Amazon FSx secara otomatis mengenkripsi data dalam perjalanan menggunakan enkripsi SMB saat Anda mengakses sistem file Anda tanpa perlu memodifikasi aplikasi Anda.

### Kapan menggunakan enkripsi
<a name="whenencrypt"></a>

Jika organisasi Anda tunduk pada kebijakan perusahaan atau peraturan yang memerlukan enkripsi data dan metadata saat istirahat, sebaiknya buat sistem file terenkripsi yang memasang sistem file Anda menggunakan enkripsi data saat transit.

Jika organisasi Anda tunduk pada kebijakan perusahaan atau peraturan yang memerlukan enkripsi data dan metadata saat istirahat, data Anda secara otomatis dienkripsi saat istirahat. Kami juga menyarankan Anda mengaktifkan enkripsi data dalam perjalanan dengan memasang sistem file Anda menggunakan enkripsi data dalam perjalanan.

# Enkripsi data saat tidak digunakan
<a name="encryption-at-rest"></a>

Semua sistem FSx file Amazon dienkripsi saat istirahat dengan kunci yang dikelola menggunakan AWS Key Management Service ()AWS KMS. Data dienkripsi secara otomatis sebelum ditulis ke sistem file, dan secara otomatis didekripsi saat dibaca. Proses ini ditangani secara transparan oleh Amazon FSx, jadi Anda tidak perlu memodifikasi aplikasi Anda.

Amazon FSx menggunakan algoritma enkripsi AES-256 standar industri untuk mengenkripsi FSx data Amazon dan metadata saat istirahat. Untuk informasi selengkapnya, lihat [Dasar-dasar Kriptografi](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html) di *Panduan Developer AWS Key Management Service *.

**catatan**  
Infrastruktur manajemen AWS kunci menggunakan Federal Information Processing Standards (FIPS) 140-2 algoritma kriptografi yang disetujui. Infrastruktur ini konsisten dengan rekomendasi National Institute of Standard and Technology (NIST) 800-57.

## Bagaimana Amazon FSx menggunakan AWS KMS
<a name="EFSKMS"></a>

Amazon FSx terintegrasi dengan AWS KMS untuk manajemen kunci. Amazon FSx menggunakan file AWS KMS key untuk mengenkripsi sistem file Anda. Anda memilih kunci KMS yang digunakan untuk mengenkripsi dan mendekripsi sistem file (baik data maupun metadata). Anda dapat mengaktifkan, menonaktifkan, atau mencabut hibah pada kunci KMS ini. Kunci KMS ini dapat menjadi salah satu dari dua jenis berikut:
+ **Kunci yang dikelola AWS**— Ini adalah kunci KMS default, dan gratis untuk digunakan.
+ **Kunci terkelola pelanggan** - Ini adalah kunci KMS yang paling fleksibel untuk digunakan, karena Anda dapat mengonfigurasi kebijakan dan hibah utamanya untuk beberapa pengguna atau layanan. Untuk informasi selengkapnya tentang membuat kunci terkelola pelanggan, lihat [Membuat kunci](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) di *Panduan AWS Key Management Service Pengembang*.

Jika Anda menggunakan kunci yang dikelola pelanggan sebagai kunci KMS Anda untuk enkripsi dan dekripsi data file, Anda dapat mengaktifkan rotasi kunci. Bila Anda mengaktifkan rotasi kunci, AWS KMS secara otomatis akan merotasi kunci Anda satu kali per tahun. Selain itu, dengan kunci yang dikelola pelanggan, Anda dapat memilih kapan harus menonaktifkan, mengaktifkan kembali, menghapus, atau mencabut akses ke kunci KMS Anda kapan saja. Untuk informasi selengkapnya, lihat [Memutar AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) di *Panduan AWS Key Management Service Pengembang*.

## Kebijakan Amazon FSx Key untuk AWS KMS
<a name="FSxKMSPolicy"></a>

Kebijakan utama adalah cara utama untuk mengontrol akses ke kunci KMS. Untuk informasi selengkapnya tentang kebijakan kunci, lihat [Menggunakan kebijakan kunci di AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) dalam *Panduan Developer AWS Key Management Service . *Daftar berikut menjelaskan semua izin AWS KMS terkait yang didukung oleh Amazon FSx untuk sistem file terenkripsi saat istirahat:
+ **kms:Encrypt** – (Opsional) Mengenkripsi plaintext ke ciphertext. Izin ini termasuk dalam kebijakan kunci default.
+ **kms:Decrypt** – (Wajib) Mendekripsi ciphertext. Ciphertext adalah plaintext yang telah dienkripsi sebelumnya. Izin ini termasuk dalam kebijakan kunci default.
+ **kms: ReEncrypt** — (Opsional) Mengenkripsi data di sisi server dengan kunci KMS baru, tanpa mengekspos plaintext data di sisi klien. Data pertama kali didekripsi dan kemudian dienkripsi ulang. Izin ini termasuk dalam kebijakan kunci default.
+ **kms: GenerateDataKeyWithoutPlaintext** — (Diperlukan) Mengembalikan kunci enkripsi data yang dienkripsi di bawah kunci KMS. Izin ini disertakan dalam kebijakan kunci default di bawah **kms: GenerateDataKey \$1**.
+ **kms: CreateGrant** — (Diperlukan) Menambahkan hibah ke kunci untuk menentukan siapa yang dapat menggunakan kunci dan dalam kondisi apa. Hibah adalah mekanisme izin lainnya untuk kebijakan kunci. Untuk informasi selengkapnya tentang hibah, lihat [Menggunakan hibah](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) di Panduan AWS Key Management Service Pengembang. Izin ini termasuk dalam kebijakan kunci default.
+ **kms: DescribeKey** - (Diperlukan) Memberikan informasi rinci tentang kunci KMS yang ditentukan. Izin ini termasuk dalam kebijakan kunci default.
+ **kms: ListAliases** — (Opsional) Daftar semua alias kunci di akun. Saat Anda menggunakan konsol untuk membuat sistem file terenkripsi, izin ini mengisi daftar kunci KMS. Kami merekomendasikan untuk menggunakan izin ini untuk memberikan pengalaman pengguna yang terbaik. Izin ini termasuk dalam kebijakan kunci default.

# Mengenkripsi data saat transit
<a name="encryption-in-transit"></a>

Enkripsi data dalam transit di-support pada akses berbagi file yang dipetakan pada instans komputasi yang men-support protokol SMB 3.0 atau yang lebih baru. Ini termasuk semua versi Windows mulai dari Windows Server 2012 dan Windows 8, dan semua Linux client dengan Samba client versi 4.2 atau yang lebih baru. Amazon FSx untuk Windows File Server secara otomatis mengenkripsi data dalam perjalanan menggunakan enkripsi SMB saat Anda mengakses sistem file Anda tanpa perlu memodifikasi aplikasi Anda.

Enkripsi SMB menggunakan AES-128-GCM atau AES-128-CCM (dengan varian GCM yang terpilih jika klien men-support SMB 3.1.1) sebagai algoritme enkripsinya, dan juga menyediakan integritas data dengan penandaan menggunakan kunci sesi SMB Kerberos. Penggunaan AES-128-GCM mengarah pada performa yang lebih baik, misalnya, hingga peningkatan kinerja 2x ketika menyalin file besar melalui koneksi SMB terenkripsi.

Untuk memenuhi persyaratan kepatuhan untuk selalu mengenkripsi data-in-transit, Anda dapat membatasi akses sistem file untuk hanya mengizinkan akses ke klien yang mendukung enkripsi SMB. Anda juga dapat mengaktifkan atau me-nonaktifkan enkripsi dalam transit per Berbagi file atau ke seluruh sistem file. Hal ini memungkinkan Anda untuk memiliki campuran Berbagi file yang terenkripsi dan tidak terenkripsi pada sistem file yang sama.

## Mengelola enkripsi in transit
<a name="manage-encrypt-in-transit"></a>

Anda dapat menggunakan serangkaian PowerShell perintah khusus untuk mengontrol enkripsi data Anda dalam perjalanan antara sistem file Windows File Server dan klien Anda FSx . Anda dapat membatasi akses sistem file hanya untuk klien yang mendukung enkripsi SMB sehingga selalu data-in-transit dienkripsi. Ketika penegakan dihidupkan untuk enkripsi data-in-transit, pengguna yang mengakses sistem file dari klien yang tidak mendukung enkripsi SMB 3.0 tidak akan dapat mengakses berbagi file yang enkripsi dihidupkan.

Anda juga dapat mengontrol enkripsi data-in-transit pada tingkat berbagi file, bukan tingkat server file. Anda dapat menggunakan kontrol enkripsi tingkat pembagian file untuk memiliki gabungan pembagian file terenkripsi dan tidak terenkripsi pada sistem file yang sama jika Anda ingin memberlakukan enkripsi di-transit untuk beberapa pembagian file yang memiliki data sensitif, dan mengizinkan semua pengguna untuk mengakses beberapa pembagian file lainnya. Enkripsi seluruh server memiliki prioritas atas enkripsi tingkat pembagian. Jika enkripsi global diaktifkan, Anda tidak dapat memilih menonaktifkan enkripsi untuk pembagian tertentu.

Anda dapat mengelola enkripsi dalam transit pada sistem file Anda menggunakan Amazon FSx CLI untuk manajemen jarak jauh. PowerShell Untuk mempelajari cara menggunakan CLI ini, lihat [Menggunakan Amazon FSx CLI untuk PowerShell](administering-file-systems.md#remote-pwrshell). 

Berikut ini adalah perintah yang dapat Anda gunakan untuk mengelola enkripsi in-transit pengguna pada sistem file Anda.


| Perintah Enkripsi in Transit | Deskripsi | 
| --- | --- | 
|  **Get-FSxSmbServerConfiguration**  |  Mengambil konfigurasi server Server Message Block (SMB). Dalam respons sistem, Anda dapat menentukan enkripsi dalam pengaturan transit untuk sistem file Anda berdasarkan nilai untuk properti dan`EncryptData`. `RejectUnencryptedAccess`  | 
|  **Set-FSxSmbServerConfiguration**  |  Perintah ini memiliki dua opsi untuk mengonfigurasi enkripsi in-transit secara global pada sistem file: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/fsx/latest/WindowsGuide/encryption-in-transit.html)  | 
| **Set-FSxSmbShare -name *name* -EncryptData \$1True** | Setel parameter ini `True` untuk mengaktifkan enkripsi data dalam transit untuk berbagi. Setel parameter ini `False` untuk mematikan enkripsi data dalam transit untuk berbagi. | 

Bantuan online untuk setiap perintah memberikan referensi dari semua opsi perintah. Untuk mengakses bantuan ini, jalankan perintah dengan **-?**, misalnya **Get-FSxSmbServerConfiguration -?**.