View a markdown version of this page

Criptografar dados em repouso - FSx para Lustre
Como funciona a criptografia em repousoAWS KMS gerenciamento de chaves

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografar dados em repouso

A criptografia de dados em repouso é ativada automaticamente quando você cria um sistema de Amazon FSx for Lustre arquivos por meio do Console de gerenciamento da AWS AWS CLI, do ou programaticamente por meio da API Amazon FSx ou de um dos SDKs. AWS Sua organização pode exigir a criptografia de todos os dados que atendem a uma classificação específica ou estejam associados a uma determinada aplicação, workload ou ambiente. Se você criar um sistema de arquivos persistente, poderá especificar a AWS KMS chave com a qual criptografar os dados. Se você criar um sistema de arquivos transitório, os dados serão criptografados usando chaves gerenciadas pelo Amazon FSx. Para obter mais informações sobre como criar um sistema de arquivos criptografado em repouso usando o console, consulte Criar seu sistema de arquivos do Amazon FSx for Lustre.

nota

A infraestrutura de gerenciamento de AWS chaves usa algoritmos criptográficos aprovados pelo Federal Information Processing Standards (FIPS) 140-2. A infraestrutura é consistente com as recomendações 800-57 do National Institute of Standards and Technology (NIST).

Para obter mais informações sobre como o FSx for AWS KMS Lustre é usado, consulte. Como Amazon FSx for Lustre usa AWS KMS

Como funciona a criptografia em repouso

Em um sistema de arquivos criptografado, os dados e metadados são criptografados automaticamente antes de serem gravados no sistema de arquivos. De maneira semelhante, à medida que os dados e metadados são lidos, eles são automaticamente descriptografados antes de serem apresentados à aplicação. Esses processos são tratados de maneira transparente pelo Amazon FSx for Lustre. Portanto, não é necessário modificar suas aplicações.

Amazon FSx for Lustreusa o algoritmo de AES-256 criptografia padrão do setor para criptografar dados do sistema de arquivos em repouso. Para obter mais informações, consulte Conceitos básicos de criptografia no Guia do desenvolvedor do AWS Key Management Service .

Como Amazon FSx for Lustre usa AWS KMS

O Amazon FSx for Lustre criptografa os dados automaticamente antes que eles sejam gravados no sistema de arquivos e os decriptografa automaticamente conforme eles são lidos. Os dados são criptografados usando uma cifra de XTS-AES-256 bloco. Todos os sistemas de arquivos scratch FSx for Lustre são criptografados em repouso com chaves gerenciadas por. AWS KMSAmazon FSx for Lustreintegra-se ao gerenciamento AWS KMS de chaves. As chaves usadas para criptografar sistemas de arquivos transitórios em repouso são exclusivas por sistema de arquivos e são destruídas após a exclusão do sistema de arquivos. Para sistemas de arquivos persistentes, você escolhe a chave do KMS usada para criptografar e descriptografar dados. Você especifica qual chave será usada ao criar um sistema de arquivos Persistent. É possível habilitar, desabilitar ou revogar as concessões nessa chave do KMS. Essa chave do KMS pode ser de um dos seguintes dois tipos:

  • Chave gerenciada pela AWS para Amazon FSx — Essa é a chave KMS padrão. Você não recebe cobranças pela criação e armazenamento de uma chave do KMS, mas existem cobranças de uso. Para obter mais informações, consulte Preços do AWS Key Management Service.

  • Chave gerenciada pelo cliente: essa é a chave do KMS mais flexível para usar, pois é possível configurar suas políticas de chaves e concessões para diversos usuários ou serviços. Para obter mais informações sobre a criação de chaves gerenciadas pelo cliente, consulte Criação de chaves no Guia do AWS Key Management Service desenvolvedor.

Se você usar uma chave gerenciada pelo cliente como a chave do KMS para descriptografia e criptografia de dados de arquivos, poderá habilitar a rotação de chaves. Quando você ativa a rotação de chaves, gira AWS KMS automaticamente sua chave uma vez por ano. Além disso, com uma chave gerenciada pelo cliente, é possível escolher quando desabilitar, habilitar novamente, excluir ou revogar o acesso à chave gerenciada pelo cliente a qualquer momento.

Importante

O Amazon FSx aceita somente chaves do KMS com criptografia simétrica. Não é possível usar chaves do KMS assimétricas com o Amazon FSx.

Políticas-chave do Amazon FSx para AWS KMS

Políticas de chaves são a principal maneira de controlar o acesso a chaves do KMS. Para obter mais informações sobre as políticas de chaves, consulte Using key policies in AWS KMS no Guia do desenvolvedor do AWS Key Management Service .A lista a seguir descreve todas as permissões relacionadas ao AWS KMS com suporte no Amazon FSx para sistemas de arquivos criptografados em repouso:

  • kms:Encrypt: (opcional) criptografa texto simples em texto cifrado. Essa permissão está incluída na política de chaves padrão.

  • kms:Decrypt - (Obrigatório) Descriptografa texto cifrado. O texto cifrado é o texto não criptografado que já foi criptografado. Essa permissão está incluída na política de chaves padrão.

  • kms: ReEncrypt — (Opcional) Criptografa dados no lado do servidor com uma nova chave KMS, sem expor o texto simples dos dados no lado do cliente. Primeiro os dados são descriptografados e, depois, recriptografados. Essa permissão está incluída na política de chaves padrão.

  • kms: GenerateDataKeyWithoutPlaintext — (Obrigatório) Retorna uma chave de criptografia de dados criptografada sob uma chave KMS. Essa permissão está incluída na política de chaves padrão em kms: GenerateDataKey *.

  • kms: CreateGrant — (Obrigatório) Adiciona uma concessão a uma chave para especificar quem pode usar a chave e sob quais condições. Concessões são mecanismos de permissão alternativos para políticas de chaves. Para obter mais informações sobre concessões, consulte Using grants no Guia do desenvolvedor do AWS Key Management Service .. Essa permissão está incluída na política de chaves padrão.

  • kms: DescribeKey — (Obrigatório) Fornece informações detalhadas sobre a chave KMS especificada. Essa permissão está incluída na política de chaves padrão.

  • kms: ListAliases — (Opcional) Lista todos os aliases de chave na conta. Quando você usa o console para criar um sistema de arquivos criptografado, essa permissão preenche a lista para selecionar a chave do KMS. Recomendamos usar essa permissão para proporcionar a melhor experiência do usuário. Essa permissão está incluída na política de chaves padrão.