Schlüssel verwalten

Amazon EFS ist mit AWS KMS integriert, der die Verschlüsselungsschlüssel für verschlüsselte Dateisysteme verwaltet. AWS KMS unterstützt auch die Verschlüsselung durch andere AWS-Services wie Amazon Simple Storage Service (Amazon S3), Amazon Elastic Block Store (Amazon EBS), Amazon Relational Database Service (Amazon RDS), Amazon Aurora, Amazon Redshift, Amazon WorkMail, WorkSpaces usw. Um Dateisysteminhalte zu verschlüsseln, verwendet Amazon EFS den Advanced-Encryption-Standard-Algorithmus mit XTS-Modus und einem 256-Bit-Schlüssel (XTS-AES-256).

Es sind drei wichtige Fragen zu beantworten, wenn Sie überlegen, wie Data-at-Rest durch die Einführung einer Verschlüsselungsrichtlinie geschützt werden können. Diese Fragen gelten gleichermaßen für Daten, die in verwalteten und nicht verwalteten Diensten wie Amazon EBS gespeichert sind.

Wo werden Schlüssel gespeichert?

AWS KMS speichert Ihre Hauptschlüssel in einem äußerst robusten Speicher in einem verschlüsselten Format, um sicherzustellen, dass sie bei Bedarf abgerufen werden können.

Wo werden Schlüssel verwendet?

Die Verwendung eines verschlüsselten Amazon-EFS-Dateisystems ist für Clients transparent, die das Dateisystem mounten. Alle kryptografischen Vorgänge finden innerhalb des EFS-Dienstes statt, da Daten vor dem Schreiben auf die Festplatte verschlüsselt und entschlüsselt werden, nachdem ein Client eine Leseanforderung gestellt hat.

Wer kann die Schlüssel benutzen?

Die wichtigsten Richtlinien von AWS KMS steuern den Zugriff auf Verschlüsselungsschlüssel.

Wir empfehlen Ihnen, sie mit IAM-Richtlinien zu kombinieren, um eine weitere Steuerungsebene bereitzustellen. Jeder Schlüssel hat eine Schlüsselrichtlinie. Wenn der Schlüssel ein von AWS verwalteter CMK ist, verwaltet AWS die Schlüsselrichtlinie. Wenn der Schlüssel ein vom Kunden verwalteter CMK ist, verwalten Sie die Schlüsselrichtlinie. Diese Schlüsselrichtlinien sind die primäre Methode für die Zugriffssteuerung auf CMKs. Sie definieren die Berechtigungen, die die Verwendung und Verwaltung von Schlüsseln regeln.

Wenn Sie ein verschlüsseltes Dateisystem mit Amazon EFS erstellen, gewähren Sie Amazon EFS Zugriff, den CMK in Ihrem Namen zu verwenden. Die Aufrufe, die Amazon EFS in Ihrem Namen an AWS KMS sendet, erscheinen in Ihren CloudTrail-Protokollen, als ob sie von Ihrem AWS-Konto stammen würden. Der folgende Screenshot zeigt das CloudTrail-Beispielereignis für einen KMS-Decrypt-Aufruf von Amazon EFS.

CloudTrail event record for KMS Decrypt call by Amazon EFS, showing event details and parameters.

CloudTrail-Protokoll für KMS Decrypt

Weitere Informationen zu AWS KMS und zur Verwaltung des Zugriffs auf Verschlüsselungsschlüssel finden Sie unter Verwalten des Zugriffs auf AWS KMS CMKs im AWS KMS – Entwicklerhandbuch.

Weitere Informationen darüber, wie AWS KMS Kryptografie verwaltet, finden Sie im Whitepaper AWS KMS Cryptographic Details.

Weitere Informationen zum Erstellen eines IAM-Administratorbenutzers und einer IAM-Administratorgruppe finden Sie unter Erstellen Ihrer erstem IAM-Benutzer- und Administratorengruppe im IAM-Benutzerhandbuch.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verschlüsselung gespeicherter Daten

Erstellen eines verschlüsselten Dateisystems