Cifrado de datos en reposo - Amazon Elastic File System

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado de datos en reposo

Al igual que ocurre con los sistemas de archivos sin cifrar, puede crear sistemas de archivos cifrados mediante laAWS Management Console, elAWS CLI, o mediante programación a través de la API de Amazon EFS o una de lasAWSSDK. Su organización podría necesitar el cifrado en reposo de todos los datos que cumplan una clasificación específica o que se asocien a una determinada aplicación, carga de trabajo o entorno.

nota

LaAWSutiliza algoritmos criptográficos aprobados Federal Information Processing Standards (FIPS) 140-2. La infraestructura se adhiere a las recomendaciones del National Institute of Standards and Technology (NIST) 800-57.

Aplicación de la creación de sistemas de archivos de Amazon EFS cifrados en reposo

Puede utilizar elelasticfilesystem:EncryptedClave de condición de IAM enAWS Identity and Access Management(IAM) para controlar si los usuarios pueden crear sistemas de archivos de Amazon EFS cifrados en reposo. Para obtener más información sobre el uso de la clave de condición, consulteUso de IAM para imponer la creación de sistemas de archivos cifrados.

También puede definir políticas de control de servicios (SCP) enAWS Organizationspara aplicar el cifrado EFS para todos los Cuenta de AWS en su organización. Para obtener más información acerca de las políticas de control de servicios enAWS Organizations, consultePolíticas de control de serviciosen laAWS OrganizationsGuía del usuario.

Cifrar un sistema de archivos en reposo mediante la consola

De forma predeterminada, cuando se crea un nuevo sistema de archivos mediante la consola de Amazon EFS, el cifrado en reposo se habilita de forma predeterminada. El siguiente procedimiento describe cómo habilitar el cifrado de un nuevo sistema de archivos cuando se crea desde la consola.

nota

El cifrado en reposo no se habilita de forma predeterminada al crear un nuevo sistema de archivos mediante laAWS CLI, API y SDK. Para obtener más información, consulte Crear un sistema de archivos mediante laAWS CLI.

Para cifrar un nuevo sistema de archivos mediante la consola EFS

  1. Abra la Amazon Elastic File Systemhttps://console.aws.amazon.com/efs/.

  2. SeleccionarCrear sistema de archivos dePara abrir elCrear sistema de archivos de(cuadro de diálogo).

  3. (Opcional) Introduzca unNombrepara su sistema de archivos de.

  4. ParaVirtual Private Cloud (VPC), elija su VPC o manténgala configurada en su VPC predeterminada.

  5. SeleccionarCrearpara crear un sistema de archivos que utilice la siguiente configuración recomendada por el servicio:

    • Cifrado de datos en reposo habilitado con la clave predeterminada para Amazon EFS (aws/elasticfilesystem).

    • Copias de seguridad automáticas activadas: Para obtener más información, consulteUsoAWS BackupAmazon EFS.

    • Destinos de montaje: Amazon EFS crea destinos de montaje con la siguiente configuración:

      • Se encuentra en cada zona de disponibilidad de la región en la que se crea el sistema de archivos de.

      • Se encuentra en las subredes predeterminadas de la VPC seleccionada.

      • Utilice el grupo de seguridad predeterminado de la VPC. Puede administrar grupos de seguridad después de crear el sistema de archivos de.

      Para obtener más información, consulte Gestión de la accesibilidad de red del sistema de.

    • Modo de rendimiento de uso general: Para obtener más información, consulteModos de rendimiento.

    • Modo de rendimiento de fragmentación: Para obtener más información, consulteModos de rendimiento.

    • Administración del ciclo de vida habilitada con una política de 30 días: Para obtener más información, consulteAdministración del ciclo de vida de Amazon EFS.

  6. LaSistemas de archivosaparece con un banner en la parte superior que muestra el estado del sistema de archivos que ha creado. Un vínculo para acceder a la página de detalles del sistema de archivos aparece en el banner cuando el sistema de archivos esté disponible.

    
                Página de detalles del sistema de archivos que muestra el sistema de archivos recién creado y sus detalles de configuración.

Ahora tiene un nuevo sistema de archivos con cifrado en reposo.

Cómo funciona el cifrado en reposo

En un sistema de archivos cifrados, los datos y los metadatos se cifran automáticamente antes de escribirse en el sistema de archivos. Del mismo modo, cuando se leen los datos y metadatos, se descifran automáticamente antes de que se presenten a la aplicación. Estos procesos los administra Amazon EFS de forma transparente, por lo que no tiene que modificar sus aplicaciones.

Amazon EFS utiliza un algoritmo de cifrado AES-256 EFS estándar de la industria para cifrar datos y metadatos en reposo. Para obtener más información, consulteConceptos básicos de la criptografíaen laAWS Key Management ServiceGuía para desarrolladores.

Cómo utiliza Amazon EFSAWS KMS

Amazon EFS se integra conAWS Key Management Service(AWS KMS) para la administración de claves. Amazon EFS utiliza claves maestras de cliente (CMK) para cifrar el sistema de archivos de la siguiente forma:

  • Cifrado de metadatos en reposo— Amazon EFS utiliza el métodoAWSCMK administrada para Amazon EFS,aws/elasticfilesystemPara cifrar y descifrar metadatos del sistema de archivos (es decir, nombres de archivo, nombres de directorio y contenido de los directorios).

  • Cifrado de datos de archivos en reposoPara, elija la CMK usada para cifrar y descifrar los datos de archivo (es decir, el contenido de los archivos). Puede habilitar, deshabilitar o revocar concesiones en esta CMK. Esta CMK puede ser de uno de los dos siguientes tipos:

    • AWSCMK administrada para Amazon EFS— Este es el CMK predeterminado,aws/elasticfilesystem. No se le cobrará por crear ni almacenar una CMK, pero sí por utilizarla. Para obtener más información, consulteAWS Key Management ServicePrecios de.

    • CMK administradas por el clientePara varios usuarios o servicios, se trata de la clave maestra más flexible, ya que puede configurar las políticas de claves y concesiones para varios usuarios o servicios. Para obtener más información acerca de la creación de CMK, consulteCreación de clavesen la AWS Key Management ServiceGuía para desarrolladores de .

      Si utiliza una CMK administrada por el cliente como clave maestra para el cifrado y descifrado de datos de archivo, puede activar la rotación de claves. Cuando se activa la rotación de claves, AWS KMS rota automáticamente su clave una vez al año. Además, una CMK administrada por el cliente le permite elegir el momento en que desea deshabilitar, volver a habilitar, eliminar o revocar el acceso a su CMK. Para obtener más información, consulte Desactivar, eliminar o revocar el acceso a la CMK para un sistema de archivos.

importante

Amazon EFS solo acepta CMK simétricas. No se pueden utilizar CMK asimétricos con Amazon EFS.

El cifrado y descifrado de datos en reposo se administran de forma transparente. Sin embargo,AWSLos identificadores de cuenta específicos de Amazon EFS aparecen en suAWS CloudTrailregistros relacionados conAWS KMSLas acciones de. Para obtener más información, consulte Entradas de archivos de registro de Amazon EFS para sistemas de archivos cifrados en reposo.

Políticas clave de Amazon EFS paraAWS KMS

Las políticas de claves son la forma principal de controlar el acceso a las CMK. Para obtener más información acerca de políticas de claves, consulteUso de políticas de claves enAWS KMSen laAWS Key Management ServiceGuía para desarrolladores de .En la siguiente lista se describen todos losAWS KMS: permisos relacionados con que admite Amazon EFS para sistemas de archivos cifrados en reposo:

  • kms:Encrypt— (opcional) cifra texto sin formato en texto cifrado. Este permiso está incluido en la política de claves predeterminada.

  • kms:Decrypt— (Necesario) Descifra texto cifrado. El texto cifrado es texto no cifrado que se ha cifrado previamente. Este permiso está incluido en la política de claves predeterminada.

  • KMS:volver a cifrarCifrado de datos del lado del servidor con una nueva clave maestra de cliente (CMK) sin exponer el texto no cifrado de los datos en el lado del cliente. Los datos se descifran en primer lugar y luego se vuelven a cifrar. Este permiso está incluido en la política de claves predeterminada.

  • kms:GenerateDataKeyWithoutPlainText— (obligatorio) devuelve una clave de cifrado de datos cifrada en un CMK. Este permiso está incluido en la política de claves predeterminada en kms:GenerateDataKey*.

  • kms:CreateGrant— (obligatorio) añade una concesión a una clave para especificar quién puede utilizar la clave y en qué condiciones. Las concesiones son mecanismos de permiso alternativo para las políticas de claves. Para obtener más información acerca de concesiones, consulte.Uso de concesionesen laAWS Key Management ServiceGuía para desarrolladores de . Este permiso está incluido en la política de claves predeterminada.

  • kms:DescribeKey— (obligatorio) proporciona información detallada acerca de la clave maestra de cliente especificada. Este permiso está incluido en la política de claves predeterminada.

  • kms:ListAliases— (opcional) muestra todos los alias de clave de la cuenta. Si utiliza la consola para crear un sistema de archivos cifrados, este permiso rellena la lista Select KMS master key (Seleccionar clave maestra de KMS). Le recomendamos que utilice este permiso para proporcionar la mejor experiencia de usuario. Este permiso está incluido en la política de claves predeterminada.