Crittografia dei dati a riposo - Amazon Elastic File System
Come funziona la crittografia dei dati memorizzati su discoApplicazione della crittografia a riposo per i nuovi file system

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia dei dati a riposo

La crittografia a riposo crittografa i dati archiviati nel file system EFS. Ciò consente di soddisfare i requisiti di conformità e proteggere i dati sensibili dall'accesso non autorizzato. L'organizzazione potrebbe richiedere la crittografia di tutti i dati che soddisfano una classificazione specifica o sono associati a una particolare applicazione, carico di lavoro o ambiente.

Nota

L'infrastruttura di gestione delle AWS chiavi utilizza algoritmi crittografici approvati dal Federal Information Processing Standards (FIPS) 140-3. L'infrastruttura è compatibile con le raccomandazioni National Institute of Standards and Technology (NIST) 800-57.

Quando crei un file system utilizzando la console Amazon EFS, la crittografia a riposo è abilitata per impostazione predefinita. Quando utilizzi AWS CLI l'API o SDKs per creare un file system, devi abilitare esplicitamente la crittografia.

Dopo aver creato un file system EFS, non è possibile modificarne l'impostazione di crittografia. Ciò significa che non è possibile modificare un file system non crittografato per renderlo crittografato. È invece possibile replicare il file system per copiare i dati dal file system non crittografato a un nuovo file system crittografato. Per ulteriori informazioni, vedi Come posso attivare la crittografia a riposo per un file system EFS esistente?

Come funziona la crittografia dei dati memorizzati su disco

In un file system crittografato, i dati e i metadati vengono crittografati per impostazione predefinita prima di essere scritti sullo storage e vengono decrittografati automaticamente durante la lettura. Questi processi sono gestiti in modo trasparente da Amazon EFS, quindi non è necessario modificare le applicazioni.

Amazon EFS utilizza AWS KMS per la gestione delle chiavi quanto segue:

  • Crittografia dei dati dei file: il contenuto dei file viene crittografato utilizzando la chiave KMS specificata. Questo può essere uno dei seguenti:

    • L'opzione predefinita Chiave di proprietà di AWS per Amazon EFS (aws/elasticfilesystem), senza costi aggiuntivi.

    • Una chiave gestita dal cliente che puoi creare e gestire: fornisce funzionalità di controllo e audit aggiuntive.

  • Crittografia dei metadati: i nomi dei file, i nomi delle directory e il contenuto delle directory vengono crittografati utilizzando una chiave gestita internamente da Amazon EFS.

Processo di crittografia

Quando un file system viene creato o replicato su un file system nello stesso account, Amazon EFS utilizza una Forward Access Session (FAS) per effettuare chiamate KMS utilizzando le credenziali del chiamante. Nei CloudTrail log, la kms:CreateGrant chiamata sembra essere effettuata dalla stessa identità utente che ha creato il file system o la replica. Puoi identificare le chiamate al servizio Amazon EFS cercando il invokedBy campo con il valoreelasticfilesystem.amazonaws.com. CloudTrail La politica delle risorse sulla chiave KMS deve consentire a FAS di effettuare la chiamata. CreateGrant

Importante

Gestisci il controllo della concessione e puoi revocarla in qualsiasi momento. La revoca della concessione impedisce ad Amazon EFS di accedere alla chiave KMS per operazioni future. Per ulteriori informazioni, consulta Ritiro e revoca delle sovvenzioni nella Guida per gli sviluppatori.AWS Key Management Service .

Quando si utilizzano chiavi KMS gestite dal cliente, la politica delle risorse deve consentire anche il servizio principale di Amazon EFS e includere la kms:ViaService condizione per limitare l'accesso all'endpoint di servizio specifico. Ad esempio:

"kms:ViaService":
    "elasticfilesystem.us-east-2.amazonaws.com"

Amazon EFS utilizza l'algoritmo di crittografia AES-256 standard di settore per crittografare dati e metadati inattivi.

Per ulteriori informazioni sulle politiche chiave KMS per Amazon EFS, consultaUtilizzo AWS KMS delle chiavi per Amazon EFS.

Applicazione della crittografia a riposo per i nuovi file system

Puoi utilizzare la chiave di condizione elasticfilesystem:Encrypted IAM nelle policy basate sull'identità AWS Identity and Access Management (IAM) per imporre la creazione a riposo quando gli utenti creano file system EFS. Per ulteriori informazioni su come utilizzare la chiave di condizione, consulta Esempio: applicazione della creazione di file system crittografati.

Puoi anche definire policy di controllo del servizio (SCPs) all'interno AWS Organizations per applicare la crittografia Amazon EFS per tutti i membri Account AWS della tua organizzazione. Per ulteriori informazioni sulle politiche di controllo del servizio in AWS Organizations, consulta le politiche di controllo dei servizi nella Guida per l'AWS Organizations utente.