Durchsetzen der Verschlüsselung von Data-at-Rest - Verschlüsseln von Dateidaten mit Amazon Elastic File System

Durchsetzen der Verschlüsselung von Data-at-Rest

Verschlüsselung hat nur minimale Auswirkungen auf die I/O-Latenz und den Durchsatz Verschlüsselung und Entschlüsselung sind für Benutzer, Anwendungen und Dienste transparent. Alle Daten und Metadaten werden von Amazon EFS in Ihrem Namen verschlüsselt, bevor sie auf die Festplatte geschrieben und vor dem Lesen durch Clients entschlüsselt werden. Sie müssen keine Client-Tools, Anwendungen oder Dienste ändern, um auf ein verschlüsseltes Dateisystem zuzugreifen.

Ihr Unternehmen erfordert möglicherweise die Verschlüsselung aller Daten, die einer bestimmten Klassifizierung entsprechen oder zu einer speziellen Anwendung oder Umgebung bzw. zu einem speziellen Workload gehören. Sie können AWS Identity and Access Management (IAM) identitätsbasierte Richtlinien verwenden, um die die Verschlüsselung von Data-at-Rest für Ihre Amazon EFS-Dateisystemressourcen zu erzwingen. Mit einem IAM-Bedingungsschlüssel können Sie verhindern, dass Benutzer EFS-Dateisysteme erstellen, die nicht verschlüsselt sind.

Beispielsweise verwendet eine IAM-Richtlinie, mit der Benutzer explizit nur verschlüsselte EFS-Dateisysteme erstellen können, die folgende Kombination aus Effekt, Aktion und Bedingung:

  • Der Effect ist Allow.

  • Die Action ist elasticfilesystem:CreateFileSystem.

  • Die Condition elasticfilesystem:Encrypted ist true.

Das folgende Beispiel veranschaulicht eine auf einer IAM-Identität basierende Richtlinie, die Prinzipale dazu autorisiert, nur verschlüsselte Dateisysteme zu erstellen.

{
  “Version”: “2012-10-17”,
  “Statement”: [
    {
      “Sid”: “VisualEditior0”,
      “Effect”: “Allow”,
      “Action”: “elasticfilesystem:CreateFileSystem”,
      “Condition”: {
        “Bool”: {
          “elasticfilesystem:Encrypted”: “true”
        }
      },
      “Resource”: “*”
    }
}

Das auf * festgelegte Resource-Attribut bedeutet, dass die IAM-Richtlinie für alle erstellten EFS-Ressourcen gilt. Sie können zusätzliche bedingte Attribute basierend auf Tags hinzufügen, um sie nur für eine Teilmenge von EFS-Ressourcen mit Datenklassifizierungsanforderungen durchzusetzen.

Sie können auch die Erstellung verschlüsselter Amazon-EFS-Dateisysteme auf der Ebene von AWS Organizations erzwingen, indem Sie Service-Kontrollrichtlinien für alle AWS-Konten oder Organisationseinheiten in Ihrer Organisation verwenden. Weitere Informationen zu Service-Kontrollrichtlinien in AWS Organizations finden Sie unter Service-Kontrollrichtlinien im AWS Organizations – Benutzerhandbuch.