Erstellen eines verschlüsselten Dateisystems - Verschlüsseln von Dateidaten mit Amazon Elastic File System

Erstellen eines verschlüsselten Dateisystems

Sie können ein verschlüsseltes Dateisystem mit der AWS Management Console, AWS CLI, Amazon EFS API oder AWS SDKs erstellen. Sie können die Verschlüsselung für ein Dateisystem nur aktivieren, wenn Sie es erstellen.

Amazon EFS lässt sich zur Schlüsselverwaltung in AWS KMS integrieren und verwendet ein CMK, um das Dateisystem zu verschlüsseln. Dateisystemmetadaten wie Dateinamen, Verzeichnisnamen und Verzeichnisinhalte werden mit einem von AWS verwalteten CMK verschlüsselt und entschlüsselt.

Der Inhalt Ihrer Dateien oder Dateidaten wird mit einem von Ihnen ausgewählten CMK verschlüsselt und entschlüsselt. Beim CMK kann sich um einen von drei Typen handeln:

  • Ein von AWS verwalteter CMK für Amazon EFS.

  • Ein vom Kunden verwalteter CMK aus Ihrem AWS-Konto.

  • Ein vom Kunden verwalteter CMK aus einem anderen AWS-Konto.

Ihr Unternehmen unterliegt möglicherweise Unternehmens- oder behördlichen Richtlinien, die eine vollständige Kontrolle in Bezug auf Erstellung, Rotation, Löschung sowie die Zugriffssteuerungs- und Nutzungsrichtlinien für die CMKs erfordern. In diesem Fall empfehlen wir Ihnen, einen vom Kunden verwalteten CMK zu verwenden. In anderen Szenarien können Sie einen von AWS verwalteten CMK verwenden.

Alle Benutzer haben einen von AWS verwalteten CMK für Amazon EFS, dessen Alias aws/elasticfilesystem lautet. AWS verwaltet die Schlüsselrichtlinien dieses CMK und Sie können sie nicht ändern. Das Erstellen und Speichern von durch AWS verwalteten CMKs ist kostenlos.

Wenn Sie sich entscheiden, einen vom Kunden verwalteten CMK zur Verschlüsselung Ihres Dateisystems zu verwenden, wählen Sie den Schlüsselalias des vom Kunden verwalteten CMK aus, der Ihnen gehört. Alternativ können Sie den Amazon Resource Name (ARN) eines vom Kunden verwalteten CMK eingeben, der einem anderen Konto gehört. Mit einem vom Kunden verwalteten CMK, den Sie besitzen, steuern Sie mithilfe von Schlüsselrichtlinien und Schlüsselerteilungen, welche Benutzer und Dienste den Schlüssel verwenden können.

Sie steuern auch die Lebensdauer und Rotation dieser Schlüssel, indem Sie festlegen, wann Sie den Zugriff darauf deaktivieren, erneut aktivieren, löschen oder widerrufen möchten. Informationen zum Verwalten des Zugriffs auf Schlüssel in anderen AWS-Konten finden Sie unter Ändern einer Schlüsselrichtlinie im AWS KMS – Entwicklerhandbuch.

Weitere Informationen zur Verwaltung von vom Kunden verwalteten CMKs finden Sie unter Customer Master Keys (CMKs) im AWS KMS – Entwicklerhandbuch.

In den folgenden Abschnitten wird erläutert, wie ein verschlüsseltes Dateisystem mithilfe der AWS-Managementkonsole und der AWS CLI erstellt wird.