Criptografar dados em repouso - Amazon Elastic File System
Como funciona a criptografia em repousoAplicar a criptografia em repouso para novos sistemas de arquivos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografar dados em repouso

A criptografia em repouso criptografa os dados armazenados em seu sistema de arquivos EFS. Isso ajuda você a atender aos requisitos de conformidade e proteger dados sensíveis contra acesso não autorizado. Sua organização pode exigir a criptografia de todos os dados que atendem a uma classificação específica ou estejam associados a uma aplicação, workload ou ambiente específico.

nota

A infraestrutura de gerenciamento de chaves da AWS usa algoritmos criptográficos aprovados pelo Federal Information Processing Standards (FIPS) 140-3. A infraestrutura é consistente com as recomendações 800-57 do National Institute of Standards and Technology (NIST).

Quando você cria um sistema de arquivos usando o console do Amazon EFS, a criptografia em repouso é habilitada por padrão. Ao usar a AWS CLI, a API ou os SDKs para criar um sistema de arquivos, você deve habilitar explicitamente a criptografia.

Depois de criar um sistema de arquivos do EFS, você não pode alterar sua configuração de criptografia. Isso significa que você não pode modificar um sistema de arquivos não criptografado para torná-lo criptografado. Em vez disso, replique o sistema de arquivos para copiar dados do sistema de arquivos não criptografado para um novo criptografado. Para acessar mais informações, consulte Como ativar a criptografia em repouso para um sistema de arquivos EFS existente?

Como funciona a criptografia em repouso

Em um sistema de arquivos criptografado, os dados e os metadados são criptografados por padrão antes de serem gravados no armazenamento e são automaticamente descriptografados quando lidos. Esses processos são tratados de forma transparente pelo Amazon EFS, para que você não precise modificar suas aplicações.

O Amazon EFS usa o AWS KMS para gerenciamento de chaves da seguinte forma:

  • Criptografia de dados de arquivo: o conteúdo dos seus arquivos é criptografado usando a chave do KMS especificada. Isso pode ser:

    • A Chave pertencente à AWS para Amazon EFS (aws/elasticfilesystem): opção padrão, sem custos adicionais.

    • Uma chave gerenciada pelo cliente que você cria e gerencia: fornece recursos adicionais de controle e auditoria.

  • Criptografia de metadados: nomes de arquivos, nomes de diretórios e conteúdo de diretórios são criptografados usando uma chave gerenciada internamente pelo Amazon EFS.

Processo de criptografia

Quando um sistema de arquivos é criado ou replicado em um sistema de arquivos na mesma conta, o Amazon EFS usa uma sessão de acesso direto (FAS) para fazer chamadas do KMS usando as credenciais do chamador. Nos logs do CloudTrail, a chamada kms:CreateGrant parece ser feita pela mesma identidade de usuário que criou o sistema de arquivos ou a replicação. Você pode identificar chamadas de serviço do Amazon EFS no CloudTrail procurando o campo invokedBy com o valor elasticfilesystem.amazonaws.com. A política de recursos na chave do KMS deve permitir a ação CreateGrant para que a FAS faça a chamada.

Importante

Você gerencia o controle da concessão e pode revogá-la a qualquer momento. A revogação da concessão impede que o Amazon EFS acesse a chave do KMS para futuras operações. Para acessar mais informações, consulte Retirar e revogar concessões no Guia do desenvolvedor do AWS Key Management Service.

Ao usar chaves do KMS gerenciadas pelo cliente, a política de recursos também deve permitir a entidade principal do serviço Amazon EFS e incluir a condição kms:ViaService de restringir o acesso ao endpoint de serviço específico. Por exemplo:

"kms:ViaService":
    "elasticfilesystem.us-east-2.amazonaws.com"

O Amazon EFS usa o algoritmo de criptografia AES-256 padrão do setor para criptografar dados e metadados em repouso.

Para acessar mais informações sobre políticas de chave do KMS para Amazon EFS, consulte Usar chaves do AWS KMS para o Amazon EFS.

Aplicar a criptografia em repouso para novos sistemas de arquivos

Você pode usar a chave de condição elasticfilesystem:Encrypted do IAM em políticas baseadas em identidade do AWS Identity and Access Management (IAM) para aplicar a criação em repouso quando os usuários criam sistemas de arquivos do EFS. Para mais informações sobre o uso da chave de condição, consulte Exemplo: impor a criação de sistemas de arquivos criptografados.

Você também pode definir políticas de controle de serviço (SCPs) dentro do AWS Organizations para impor a criptografia do Amazon EFS para todas as Contas da AWS da sua organização. Para obter mais informações sobre políticas de controle de serviço no AWS Organizations, consulte Políticas de controle de serviço no Guia do Usuário do AWS Organizations.