Verschlüsseln von Daten im Ruhezustand - FSxfür Lustre
Funktionsweise der Verschlüsselung im RuhezustandAWS KMS Schlüsselverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsseln von Daten im Ruhezustand

Die Verschlüsselung von Daten im Ruhezustand wird automatisch aktiviert, wenn Sie ein Amazon FSx for Lustre-Dateisystem über das AWS Management Console AWS CLI, das oder programmgesteuert über Amazon FSx API oder eines der erstellen. AWS SDKs Ihr Unternehmen erfordert möglicherweise die Verschlüsselung aller Daten, die einer bestimmten Klassifizierung entsprechen oder zu einer speziellen Anwendung oder Umgebung bzw. zu einem speziellen Workload gehören. Wenn Sie ein persistentes Dateisystem erstellen, können Sie den AWS KMS Schlüssel angeben, mit dem die Daten verschlüsselt werden sollen. Wenn Sie ein Scratch-Dateisystem erstellen, werden die Daten mit von Amazon verwalteten Schlüsseln verschlüsseltFSx. Weitere Informationen zum Erstellen eines Dateisystems, das im Ruhezustand mithilfe der Konsole verschlüsselt wird, finden Sie unter Erstellen Sie Ihr Amazon FSx for Lustre-Dateisystem.

Anmerkung

Die Infrastruktur AWS für die Schlüsselverwaltung verwendet von den Federal Information Processing Standards (FIPS) 140-2 anerkannte kryptografische Algorithmen. Die Infrastruktur entspricht den Empfehlungen 80057 des National Institute of Standards and Technology (NIST).

Weitere Informationen FSx zur Verwendung von Lustre finden Sie AWS KMS unter. So verwendet Amazon FSx for Lustre AWS KMS

Funktionsweise der Verschlüsselung im Ruhezustand

Auf einem verschlüsselten Dateisystem werden Daten und Metadaten automatisch verschlüsselt, bevor sie auf das Dateisystem geschrieben werden. Umgekehrt werden bei Lesevorgängen Daten und Metadaten entschlüsselt, bevor sie an die Anwendung gesendet werden. Diese Prozesse werden von Amazon FSx for Lustre transparent abgewickelt, sodass Sie Ihre Anwendungen nicht ändern müssen.

Amazon FSx for Lustre verwendet den Industriestandard-Verschlüsselungsalgorithmus AES -256, um ruhende Dateisystemdaten zu verschlüsseln. Weitere Informationen finden Sie unter Grundlagen der Kryptographie im AWS Key Management Service -Entwicklerhandbuch.

So verwendet Amazon FSx for Lustre AWS KMS

Amazon FSx for Lustre verschlüsselt Daten automatisch, bevor sie in das Dateisystem geschrieben werden, und entschlüsselt Daten automatisch, wenn sie gelesen werden. Daten werden mit einer Blockchiffre von XTS AES -256 verschlüsselt. Alle Scratch FSx for Lustre-Dateisysteme werden im Ruhezustand mit Schlüsseln verschlüsselt, die von verwaltet werden. AWS KMS Amazon FSx for Lustre lässt sich in unsere AWS KMS Schlüsselverwaltung integrieren. Die Schlüssel, die zur Verschlüsselung von Scratch-Dateisystemen im Ruhezustand verwendet werden, sind für jedes Dateisystem einzigartig und werden nach dem Löschen des Dateisystems vernichtet. Bei persistenten Dateisystemen wählen Sie den KMS Schlüssel, der zum Verschlüsseln und Entschlüsseln von Daten verwendet wird. Sie geben an, welcher Schlüssel verwendet werden soll, wenn Sie ein persistentes Dateisystem erstellen. Sie können Zuweisungen für diesen KMS Schlüssel aktivieren, deaktivieren oder widerrufen. Dieser KMS Schlüssel kann einer der beiden folgenden Typen sein:

  • Von AWS verwalteter Schlüssel für Amazon FSx — Dies ist der KMS Standardschlüssel. Die Erstellung und Speicherung eines KMS Schlüssels wird Ihnen nicht in Rechnung gestellt, es fallen jedoch Nutzungsgebühren an. Weitere Informationen finden Sie unter AWS Key Management Service Preise.

  • Vom Kunden verwalteter Schlüssel — Dies ist der flexibelste KMS Schlüssel, den Sie verwenden können, da Sie die wichtigsten Richtlinien und Berechtigungen für mehrere Benutzer oder Dienste konfigurieren können. Weitere Informationen zur Erstellung von kundenverwalteten Schlüsseln finden Sie unter Creating Keys im AWS Key Management Service Developer Guide.

Wenn Sie einen vom Kunden verwalteten Schlüssel als KMS Schlüssel für die Verschlüsselung und Entschlüsselung von Dateidaten verwenden, können Sie die Schlüsselrotation aktivieren. Wenn Sie die Schlüsselrotation aktivieren, AWS KMS wird Ihr Schlüssel automatisch einmal pro Jahr rotiert. Darüber hinaus können Sie bei einem vom Kunden verwalteten Schlüssel (CMK) jederzeit entscheiden, wann Sie den Zugriff auf Ihren vom Kunden verwalteten Schlüssel deaktivieren, wieder aktivieren, löschen oder widerrufen möchten.

Wichtig

Amazon FSx akzeptiert nur symmetrische KMS Verschlüsselungsschlüssel. Sie können bei Amazon FSx keine asymmetrischen KMS Schlüssel verwenden.

FSxWichtige Richtlinien von Amazon für AWS KMS

Wichtige Richtlinien sind die wichtigste Methode, um den Zugriff auf KMS Schlüssel zu kontrollieren. Weitere Informationen zu wichtigen Richtlinien finden Sie unter Verwenden von Schlüsselrichtlinien AWS KMS im AWS Key Management Service Entwicklerhandbuch.In der folgenden Liste werden alle AWS KMS—bezogenen Berechtigungen beschrieben, die von Amazon FSx für Dateisysteme mit Verschlüsselung im Ruhezustand unterstützt werden:

  • kms:Encrypt – (Optional) Verschlüsselt Klartext in Geheimtext. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.

  • kms:Decrypt – (Erforderlich) Entschlüsselt Geheimtext. Geheimtext ist Klartext, der zuvor verschlüsselt wurde. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.

  • kms: ReEncrypt — (Optional) Verschlüsselt Daten auf der Serverseite mit einem neuen KMS Schlüssel, ohne den Klartext der Daten auf der Clientseite offenzulegen. Die Daten werden zuerst entschlüsselt und dann neu verschlüsselt. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.

  • kms: GenerateDataKeyWithoutPlaintext — (Erforderlich) Gibt einen unter einem Schlüssel verschlüsselten Datenverschlüsselungsschlüssel zurück. KMS Diese Berechtigung ist in der Standardschlüsselrichtlinie unter kms: GenerateDataKey * enthalten.

  • kms: CreateGrant — (Erforderlich) Fügt einem Schlüssel einen Zuschuss hinzu, um anzugeben, wer den Schlüssel verwenden kann und unter welchen Bedingungen. Erteilungen sind eine alternative Berechtigungsmethode zu Schlüsselrichtlinien. Weitere Informationen zu Zuschüssen finden Sie unter Verwendung von Zuschüssen im AWS Key Management Service Entwicklerhandbuch. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.

  • kms: DescribeKey — (Erforderlich) Stellt detaillierte Informationen zum angegebenen KMS Schlüssel bereit. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.

  • kms: ListAliases — (Optional) Listet alle Schlüsselaliase im Konto auf. Wenn Sie die Konsole verwenden, um ein verschlüsseltes Dateisystem zu erstellen, wird mit dieser Berechtigung die Liste zur Auswahl des KMS Schlüssels aufgefüllt. Wir empfehlen für eine optimale Benutzererfahrung diese Berechtigung. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.