Cifrado de datos en reposo - Amazon Elastic File System

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado de datos en reposo

Puede crear sistemas de archivos cifrados con laAWS Management Console, elAWS CLIo mediante programación a través de la API de Amazon EFS o una de lasAWSSDK. Su organización podría necesitar el cifrado en reposo de todos los datos que cumplan una clasificación específica o que se asocien a una determinada aplicación, carga de trabajo o entorno.

Una vez que haya creado un sistema de archivos EFS, no podrá cambiar su configuración de cifrado. Esto significa que no puede modificar un sistema de archivos sin cifrar para cifrarlo. En cambio, necesita crear un nuevo sistema de archivos cifrados.

nota

LaAWSLa infraestructura de administración de claves utiliza algoritmos criptográficos aprobados Federal Information Processing Standards (FIPS) 140-2. La infraestructura se adhiere a las recomendaciones del National Institute of Standards and Technology (NIST) 800-57.

Imponer la creación de sistemas de archivos Amazon EFS cifrados en reposo

Puede utilizar elelasticfilesystem:Encryptedclave de condición de IAM enAWS Identity and Access Management(IAM) políticas basadas en la identidad para controlar si los usuarios pueden crear sistemas de archivos de Amazon EFS que estén cifrados en reposo. Para obtener más información acerca del uso de la clave de condición, consulteUso de IAM para hacer cumplir la creación de sistemas de archivos cifrados.

También puede definir políticas de control de servicios (SCP) enAWS Organizationspara aplicar el cifrado EFS para todosCuenta de AWSen su organización. Para obtener más información acerca de políticas de control de servicios enAWS Organizations, consultePolíticas de control de serviciosen laAWS OrganizationsGuía del usuario de.

Cifrar un sistema de archivos en reposo mediante la consola

Cuando crea un nuevo sistema de archivos de mediante la consola de Amazon EFS, el cifrado en reposo se habilita de forma predeterminada. El siguiente procedimiento describe cómo habilitar el cifrado de un nuevo sistema de archivos cuando se crea desde la consola.

nota

El cifrado en reposo no se habilita de forma predeterminada cuando se crea un nuevo sistema de archivos de mediante laAWS CLI, API y SDK. Para obtener más información, consulte Crear un sistema de archivos mediante laAWS CLI.

Para cifrar un nuevo sistema de archivos mediante la consola EFS

  1. Abra la consola de Amazon Elastic File System en https://console.aws.amazon.com/efs/.

  2. ElegirCrear sistema de archivos depara abrirCrear sistema de archivos decuadro de diálogo.

  3. (Opcional) Introduzca unNombrepara su sistema de archivos de.

  4. ParaVirtual Private Cloud (VPC), elija la VPC o manténgala establecida en la VPC predeterminada.

  5. ElegirCrearpara crear un sistema de archivos que utilice la siguiente configuración recomendada del servicio:

    • Cifrado de datos en reposo habilitado con la configuración predeterminadaAWS KMS keypara Amazon EFS (aws/elasticfilesystem).

    • Copias de seguridad automáticas activadas: para obtener más información, consulteUso deAWS Backuppara realizar copias de seguridad y restaurar sistemas de archivos de Amazon EFS.

    • Objetivos de montaje: Amazon EFS crea objetivos de montaje con la siguiente configuración:

      • Ubicado en cada zona de disponibilidad de laRegión de AWSdonde se crea el sistema de archivos.

      • Se encuentra en las subredes predeterminadas de la VPC que seleccionó.

      • Usar el grupo de seguridad predeterminado de la VPC. Puede administrar grupos de seguridad después de crear el sistema de archivos.

      Para obtener más información, consulte Gestión de la accesibilidad de red del sistema.

    • Modo de rendimiento de uso general: para obtener más información, consulteModos de rendimiento.

    • Modo de rendimiento de ráfaga: para obtener más información, consulteModos de desempeño.

    • Administración del ciclo de vida de habilitada con una política de 30 días: para obtener más información, consulteAdministración del vida de Amazon EFS.

  6. LaSistemas de archivosaparece con un banner en la parte superior que muestra el estado del sistema de archivos que ha creado. Cuando el sistema de archivos está disponible, aparece un enlace para acceder a la página de detalles del sistema de archivos en el banner.

    
                Página de detalles del sistema de archivos que muestra el sistema de archivos recién creado y sus detalles de configuración.

Ahora tiene un nuevo encrypted-at-rest sistema de archivos de.

Cómo funciona el cifrado en reposo

En un sistema de archivos cifrados, los datos y los metadatos se cifran automáticamente antes de escribirse en el sistema de archivos. Del mismo modo, cuando se leen los datos y metadatos, se descifran automáticamente antes de que se presenten a la aplicación. Estos procesos los administra Amazon EFS de forma transparente, por lo que no tiene que modificar sus aplicaciones.

Amazon EFS utiliza un algoritmo de cifrado AES-256 EFS estándar de la industria para cifrar datos y metadatos en reposo. Para obtener más información, consulteConceptos básicos de laen laAWS Key Management ServiceGuía para desarrolladores.

Uso de Amazon EFSAWS KMS

Amazon EFS se integra conAWS Key Management Service(AWS KMS) para la administración de claves. Amazon EFS utiliza claves administradas por el cliente para cifrar el sistema de archivos de la siguiente forma:

  • Cifrado de datos en reposo— Amazon EFS utiliza elClave administrada por AWSpara Amazon EFS,aws/elasticfilesystem, para cifrar y descifrar metadatos del sistema de archivos (es decir, nombres de archivo, nombres de directorio y contenido de los directorios).

  • Cifrado de datos de archivos en reposo: elija la clave administrada por el cliente que utiliza para cifrar y descifrar los datos de archivo (es decir, el contenido de los archivos). Puede habilitar, deshabilitar o revocar concesiones en esta clave administrada por el cliente. Esta clave administrada por el cliente puede ser de uno de los dos siguientes tipos:

    • Clave administrada por AWSpara Amazon EFS— Esta es la clave administrada por el cliente predeterminada,aws/elasticfilesystem. No se le cobrará por crear ni almacenar una clave administrada por el cliente, pero sí por utilizarla. Para obtener más información, consulteAWS Key Management Servicede IPAM.

    • Clave administrada por el cliente: se trata de la clave de KMS más flexible, ya que puede configurar las políticas de claves y concesiones para varios usuarios o servicios. Para obtener más información sobre cómo crear claves administradas por el cliente, consulteCrear clavesen la AWS Key Management ServiceGuía para desarrolladores de .

      Si utiliza una clave administrada por el cliente para el cifrado y descifrado de datos de archivo, puede activar la rotación de claves. Cuando se activa la rotación de claves, AWS KMS rota automáticamente su clave una vez al año. Además, una clave administrada por el cliente le permite elegir el momento en que desea deshabilitar, volver a habilitar, eliminar o revocar el acceso a la clave administrada por el cliente. Para obtener más información, consulte Deshabilitar, eliminar o revocar el acceso a la clave de KMS para un sistema de archivos.

importante

Amazon EFS solo acepta claves simétricas administradas por el cliente. No puede usar claves asimétricas administradas por el cliente con Amazon EFS.

El cifrado y descifrado de datos en reposo se administran de forma transparente. Sin embargo,AWSlos ID de cuenta específicos de Amazon EFS aparecen en suAWS CloudTrailregistros relacionados conAWS KMSacciones. Para obtener más información, consulte Entradas de archivos de registro de Amazon EFS para sistemas de archivos cifrados en reposo.

Políticas clave de Amazon EFS paraAWS KMS

Las políticas de claves son la forma principal de controlar el acceso a las claves administradas por el cliente. Para obtener más información acerca de políticas de claves, consulteUso de políticas de claves enAWS KMSen laAWS Key Management ServiceGuía para desarrolladores de .En la siguiente lista se describen todas lasAWS KMSpermisos relacionados con que Amazon EFS necesita o admite de otro modo para sistemas de archivos cifrados en reposo:

  • kms:Encrypt: (opcional) cifra texto no cifrado en texto cifrado. Este permiso está incluido en la política de claves predeterminada.

  • kms:Decrypt: (obligatorio) descifra texto cifrado. El texto cifrado es texto no cifrado que se ha cifrado previamente. Este permiso está incluido en la política de claves predeterminada.

  • kms:ReEncrypt- (opcional) cifra datos del lado del servidor con una clave administrada por el cliente nueva sin exponer el texto no cifrado de los datos en el lado del cliente. Los datos se descifran en primer lugar y luego se vuelven a cifrar. Este permiso está incluido en la política de claves predeterminada.

  • kms:GenerateDataKeyWithoutPlaintext- (obligatorio) devuelve una clave de cifrado de datos cifrada con una clave administrada por el cliente. Este permiso está incluido en la política de claves predeterminada enkms:GenerateDataKey*.

  • kms:CreateGrant: (obligatorio) añade una concesión a una clave para especificar quién puede utilizar la clave y en qué condiciones. Las concesiones son mecanismos de permiso alternativo para las políticas de claves. Para obtener más información acerca de concesiones, consulteUso de concesionesen laAWS Key Management ServiceGuía para desarrolladores de . Este permiso está incluido en la política de claves predeterminada.

  • kms:DescribeKey: (obligatorio) proporciona información detallada acerca de la clave administrada por el cliente especificada. Este permiso está incluido en la política de claves predeterminada.

  • kms:ListAliases: (opcional) muestra todos los alias de clave de la cuenta. Cuando utiliza la consola para crear un sistema de archivos cifrados, este permiso rellena elSeleccione de KMSlista. Le recomendamos que utilice este permiso para proporcionar la mejor experiencia de usuario. Este permiso está incluido en la política de claves predeterminada.

Clave administrada por AWSde KMS de Amazon EFS

El JSON de política de KMS paraClave administrada por AWSpara Amazon EFS,aws/elasticfilesystemes de la siguiente manera:

{ "Version": "2012-10-17", "Id": "auto-elasticfilesystem-1", "Statement": [ { "Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:CreateGrant", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com", "kms:CallerAccount": "111122223333" } } }, { "Sid": "Allow direct access to key metadata to the account", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": [ "kms:Describe*", "kms:Get*", "kms:List*", "kms:RevokeGrant" ], "Resource": "*" } ] }