Usar chaves do AWS KMS para o Amazon EFS - Amazon Elastic File System
Políticas de chave do Amazon EFS para AWS KMSEstados de chave e seus efeitos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar chaves do AWS KMS para o Amazon EFS

O Amazon EFS integra-se com o AWS Key Management Service (AWS KMS) para gerenciamento de chaves. O Amazon EFS usa chaves gerenciadas pelo cliente para criptografar seu sistema de arquivos da seguinte maneira:

  • Criptografar metadados em repouso: o Amazon EFS usa Chave gerenciada pela AWS para o Amazon EFS, aws/elasticfilesystem, para criptografar e descriptografar metadados do sistema de arquivos (ou seja, nomes de arquivos, nomes de diretórios e conteúdo de diretórios).

  • Criptografar dados em repouso: você escolhe a chave gerenciada pelo cliente usada para criptografar e descriptografar os dados do arquivo (ou seja, o conteúdo dos seus arquivos). Você pode ativar, desativar ou revogar concessões nesta chave gerenciada pelo cliente. Essa chave gerenciada pelo cliente pode ser um destes dois:

    • Chave gerenciada pela AWS para Amazon EFS: essa é a chave gerenciada pelo cliente padrão, aws/elasticfilesystem. Você não é cobrado para criar e armazenar uma chave gerenciada pelo cliente, mas há cobranças de uso. Para saber mais, consulte Definição de preços do AWS Key Management Service.

    • Chave gerenciada pelo cliente: esta é a chave KMS mais flexível para usar, porque você pode configurar suas principais políticas de chave e concessões para vários usuários ou serviços. Para obter mais informações sobre como criar chaves gerenciadas pelo cliente, consulte Criar chaves no Guia do desenvolvedor do AWS Key Management Service.

      Se você usar uma chave gerenciada pelo cliente para criptografia de dados e descriptografia de arquivos, poderá ativar a rotação de chaves. Ao habilitar a rotação de chaves, o AWS KMS gira sua chave automaticamente uma vez por ano. Além disso, com uma chave gerenciada pelo cliente, você pode escolher quando desabilitar, reativar, excluir ou revogar o acesso à sua chave gerenciada pelo cliente a qualquer momento. Para obter mais informações, consulte Usar chaves do AWS KMS para o Amazon EFS.

Importante

O Amazon EFS aceita somente chaves gerenciadas pelo cliente (CMK) simétricas. Você não pode usar chaves gerenciadas pelo cliente assimétricas com o Amazon EFS.

A criptografia e a descriptografia de dados em repouso são gerenciadas de modo transparente. No entanto, os IDs de conta AWSespecíficos do Amazon EFS aparecem nos logs do AWS CloudTrail relacionados às ações do AWS KMS. Para obter mais informações, consulte Entradas de arquivos de log do Amazon EFS para sistemas de arquivos criptografados em repouso.

Políticas de chave do Amazon EFS para AWS KMS

As políticas de chave são a principal forma de controlar o acesso às chaves gerenciadas pelo cliente. Para obter mais informações sobre políticas de chave, consulte Políticas de chave em AWS KMS no Guia do desenvolvedor do AWS Key Management Service.A lista a seguir descreve todas as permissões relacionadas ao AWS KMS compatíveis com o Amazon EFS para sistemas de arquivos criptografados em repouso:

  • kms:Encrypt - (Opcional) Criptografa texto simples em texto cifrado. Essa permissão está incluída na política de chaves padrão.

  • kms:Decrypt - (Obrigatório) Descriptografa texto cifrado. O texto cifrado é o texto simples que já foi criptografado. Essa permissão está incluída na política de chaves padrão.

  • kms:ReEncrypt: (Opcional) Criptografa dados no lado do servidor com uma nova CMK sem expor o texto simples dos dados no lado do cliente. Primeiro os dados são descriptografados e, depois, recriptografados. Essa permissão está incluída na política de chaves padrão.

  • kms:GenerateDataKeyWithoutPlaintext - (Obrigatório) Retorna uma chave de criptografia de dados criptografada em uma chave gerenciada pelo cliente. Essa permissão está incluída na política de chave padrão, em kms:GenerateDataKey*.

  • kms:CreateGrant - (Obrigatório) Adiciona uma concessão a uma chave para especificar quem pode usar a chave e em que condições. Concessões são mecanismos de permissão alternativos para políticas de chaves. Para acessar mais informações sobre concessões, consulte Concessões no AWS KMS no Guia do desenvolvedor do AWS Key Management Service. Essa permissão está incluída na política de chaves padrão.

  • kms:DescribeKey - (Obrigatório) Fornece informações detalhadas sobre a chave gerenciada pelo cliente especificada. Essa permissão está incluída na política de chaves padrão.

  • kms:ListAliases - (Opcional) Lista todos os aliases de chave da conta. Quando você usa o console para criar um sistema de arquivos criptografado, essa permissão preenche a lista Selecionar chave mestra do KMS. Recomendamos usar essa permissão para proporcionar a melhor experiência do usuário. Essa permissão está incluída na política de chaves padrão.

Chave gerenciada pela AWS para a política do Amazon EFS KMS

A política JSON do KMS Chave gerenciada pela AWS para o Amazon EFS aws/elasticfilesystem é a seguinte:

{
    "Version": "2012-10-17",		 	 	 
    "Id": "auto-elasticfilesystem-1",
    "Statement": [
        {
            "Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com",
                    "kms:CallerAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "Allow direct access to key metadata to the account",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "kms:Describe*",
                "kms:Get*",
                "kms:List*",
                "kms:RevokeGrant"
            ],
            "Resource": "*"
        }
    ]
}

Estados de chave e seus efeitos

O estado da chave do KMS afeta diretamente o acesso ao seu sistema de arquivos criptografado:

Habilitada

Operação normal: acesso completo de leitura e gravação ao sistema de arquivos.

Desabilitado

O sistema de arquivos fica inacessível após um breve período. Pode ser reabilitado.

Exclusão pendente

O sistema de arquivos fica inacessível. A exclusão pode ser cancelada durante o período de espera.

Excluído

Sistema de arquivos permanentemente inacessível. Essa ação não pode ser desfeita.

Atenção

Se você desabilitar ou excluir a chave do KMS usada para o sistema de arquivos ou revogar o acesso do Amazon EFS à chave, o sistema de arquivos ficará inacessível. Isso poderá ocasionar perda de dados se você não tiver backups. Sempre verifique se você tem procedimentos de backup adequados antes de fazer alterações nas chaves de criptografia.