Grundbegriffe und Terminologie - Verschlüsseln von Dateidaten mit Amazon Elastic File System

Grundbegriffe und Terminologie

Dieser Abschnitt definiert Konzepte und Terminologie, auf die sich dieses Whitepaper bezieht.

  • Amazon Elastic File System (Amazon EFS) – Ein hochverfügbarer und äußerst robuster Service, der einfachen, skalierbaren, gemeinsam genutzten Dateispeicher in der AWS-Cloud bietet. Amazon EFS bietet eine standardmäßige Dateisystemschnittstelle und Dateisystemsemantik. Sie können praktisch eine unbegrenzte Datenmenge auf einer uneingeschränkten Anzahl von Speicherservern in mehreren Availability Zones speichern.

  • AWS Identity and Access Management (IAM) Ein Service, mit dem Sie den präzisen Zugriff auf AWS-Service-APIs sicher steuern können. Richtlinien werden erstellt und verwendet, um den Zugriff auf einzelne Benutzer, Gruppen und Rollen zu beschränken. Sie können Ihre AWS-KMS-Schlüssel über die IAM-Konsole verwalten.

  • AWS KMSIst ein verwalteter Service, der das Erstellen und Steuern von CMKs (Kundenhauptschlüsseln) zum Verschlüsseln Ihrer Daten vereinfacht. AWS KMS CMKs werden durch Hardware-Sicherheitsmodule (HSMs) geschützt, die vom FIPS 140-2 Validierungsprogramm für kryptografische Module validiert werden, außer in den Regionen China (Beijing) und China (Ningxia). AWS KMS ist in andere AWS-Services integriert, die Ihre Daten verschlüsseln. AWS KMS ist auch vollständig in AWS CloudTrail integriert, um Protokolle von API-Aufrufen bereitzustellen, die von AWS KMS in Ihrem Namen getätigt wurden. Dies kann hilfreich sein, um die für Ihr Unternehmen geltenden Compliance- oder behördlichen Anforderungen zu erfüllen.

  • Kundenhauptschlüssel (Customer Master Key, CMK)Stellt die Spitze Ihrer Schlüsselhierarchie dar. Er enthält Schlüsselmaterial zum Verschlüsseln und Entschlüsseln von Daten. AWS KMS kann dieses Schlüsselmaterial generieren oder Sie können es generieren und dann in AWS KMS importieren. CMKs sind spezifisch für ein AWS-Konto und eine AWS-Region und können vom Kunden oder von AWS verwaltet werden.

  • Von AWS verwalteter CMK – Ein CMK, der von AWS in Ihrem Namen generiert wird. Ein von AWS verwalteter CMK wird erstellt, wenn Sie die Verschlüsselung für eine Ressource eines integrierten AWS-Service aktivieren. Von AWS verwaltete CMK-Schlüsselrichtlinien werden von AWS verwaltet und Sie können sie nicht ändern. Für die Erstellung oder Speicherung von durch AWS verwalteten CMKs fallen keine Gebühren an.

  • Vom Kunden verwalteter CMK – Ein CMK, den Sie mithilfe der AWS-Managementkonsole oder API, AWS CLI oder SDKs erstellen. Sie können einen vom Kunden verwalteten CMK verwenden, wenn Sie präzisere Kontrolle über den CMK benötigen.

  • KMS-Schlüsselrichtlinie Eine Ressourcenrichtlinie, die den Zugriff auf einen vom Kunden verwalteten CMK steuert. Kunden definieren diese Berechtigungen mithilfe der Schlüsselrichtlinie oder einer Kombination aus IAM-Richtlinien und der Schlüsselrichtlinie. Weitere Informationen finden Sie unter Übersicht über die Verwaltung von Zugriffsberechtigungen im AWS KMS – Entwicklerhandbuch.

  • DatenschlüsselVon AWS KMS generierte kryptografische Schlüssel zum Verschlüsseln von Daten außerhalb von AWS KMS. AWS KMS ermöglicht autorisierten Entitäten (Benutzern oder Diensten), Datenschlüssel zu erhalten, die durch einen CMK geschützt sind.

  • Transport Layer Security (TLS)Als Nachfolger von Secure Sockets Layer (SSL) ist TLS ein kryptografisches Protokoll, das für die Verschlüsselung von Informationen, die über ein Netzwerk ausgetauscht werden, unerlässlich ist.

  • EFS-Mounting-Hilfe – Ein Linux-Client-Agent (amazon-efs-utils), der das Mounten von EFS-Dateisystemen vereinfacht. Die EFS-Mounting-Hilfe kann verwendet werden, um den gesamten NFS-Verkehr über einen TLS-Tunnel einzurichten, zu erhalten und weiterzuleiten.

Weitere Informationen zu grundlegenden Konzepten und Terminologie finden Sie unter AWS KMS-Konzepte im AWS KMS – Entwicklerhandbuch.