Criptografar dados em repouso - Amazon Elastic File System
Como funciona a criptografia em repousoAplicação da criptografia em repouso para novos sistemas de arquivos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografar dados em repouso

A criptografia em repouso criptografa os dados armazenados em seu sistema de arquivos EFS. Isso ajuda você a atender aos requisitos de conformidade e proteger dados confidenciais contra acesso não autorizado. Sua organização pode exigir a criptografia de todos os dados que atendam a uma classificação específica ou estejam associados a um aplicativo, carga de trabalho ou ambiente específico.

nota

A infraestrutura de gerenciamento de AWS chaves usa algoritmos criptográficos aprovados pelo Federal Information Processing Standards (FIPS) 140-3. A infraestrutura é consistente com as recomendações 800-57 do National Institute of Standards and Technology (NIST).

Quando você cria um sistema de arquivos usando o console do Amazon EFS, a criptografia em repouso é habilitada por padrão. Ao usar a AWS CLI API ou SDKs para criar um sistema de arquivos, você deve habilitar explicitamente a criptografia.

Depois de criar um sistema de arquivos EFS, você não pode alterar sua configuração de criptografia. Isso significa que você não pode modificar um sistema de arquivos não criptografado para torná-lo criptografado. Em vez disso, replique o sistema de arquivos para copiar dados do sistema de arquivos não criptografado para um novo sistema de arquivos criptografado. Para obter mais informações, consulte Como faço para ativar a criptografia em repouso em um sistema de arquivos EFS existente?

Como funciona a criptografia em repouso

Em um sistema de arquivos criptografado, os dados e os metadados são criptografados por padrão antes de serem gravados no armazenamento e são automaticamente descriptografados quando lidos. Esses processos são gerenciados de forma transparente pelo Amazon EFS, então você não precisa modificar seus aplicativos.

O Amazon EFS usa AWS KMS para o gerenciamento de chaves o seguinte:

  • Criptografia de dados de arquivo — O conteúdo dos seus arquivos é criptografado usando a chave KMS especificada por você. Isso pode ser:

    • Chave pertencente à AWS Para Amazon EFS (aws/elasticfilesystem) — Opção padrão, sem custos adicionais.

    • Uma chave gerenciada pelo cliente que você cria e gerencia — fornece recursos adicionais de controle e auditoria.

  • Criptografia de metadados - Nomes de arquivos, nomes de diretórios e conteúdos de diretórios são criptografados usando uma chave que o Amazon EFS gerencia internamente.

Processo de criptografia

Quando um sistema de arquivos é criado ou replicado em um sistema de arquivos na mesma conta, o Amazon EFS usa uma sessão de acesso direto (FAS) para fazer chamadas KMS usando as credenciais do chamador. Nos CloudTrail registros, a kms:CreateGrant chamada parece ser feita pela mesma identidade de usuário que criou o sistema de arquivos ou a replicação. Você pode identificar as chamadas de serviço do Amazon EFS procurando o invokedBy campo com o valorelasticfilesystem.amazonaws.com. CloudTrail A política de recursos na chave KMS deve permitir a CreateGrant ação da FAS para fazer a chamada.

Importante

Você gerencia o controle da concessão e pode revogá-la a qualquer momento. A revogação da concessão impede que o Amazon EFS acesse a chave KMS para futuras operações. Para obter mais informações, consulte Aposentadoria e revogação de subsídios no Guia do AWS Key Management Service desenvolvedor. .

Ao usar chaves KMS gerenciadas pelo cliente, a política de recursos também deve permitir que o responsável pelo serviço Amazon EFS e inclua a kms:ViaService condição de restringir o acesso ao endpoint de serviço específico. Por exemplo:

"kms:ViaService":
    "elasticfilesystem.us-east-2.amazonaws.com"

O Amazon EFS usa o algoritmo de criptografia AES-256 padrão do setor para criptografar dados e metadados em repouso.

Para obter mais informações sobre as políticas de chaves do KMS para o Amazon EFS, consulteUsando AWS KMS chaves para o Amazon EFS.

Aplicação da criptografia em repouso para novos sistemas de arquivos

Você pode usar a chave de condição elasticfilesystem:Encrypted do IAM em políticas baseadas em identidade AWS Identity and Access Management (IAM) para impor a criação em repouso quando os usuários criam sistemas de arquivos EFS. Para mais informações sobre o uso da chave de condição, consulte Exemplo: impor a criação de sistemas de arquivos criptografados.

Você também pode definir políticas de controle de serviço (SCPs) internas AWS Organizations para aplicar a criptografia do Amazon EFS para todos Contas da AWS na sua organização. Para obter mais informações sobre políticas de controle de serviço em AWS Organizations, consulte Políticas de controle de serviço no Guia AWS Organizations do usuário.