Administración del acceso a los sistemas de archivos cifrados

Con Amazon EFS puede crear sistemas de archivos cifrados. Amazon EFS admite dos formas de cifrado para sistemas de archivos, el cifrado en tránsito y en reposo. Cualquier administración de claves que tenga que hacer solo está relacionada con el cifrado en reposo. Amazon EFS administra automáticamente las claves del cifrado en tránsito.

Si crea un sistema de archivos que utiliza el cifrado en reposo, los datos y los metadatos se cifran en reposo. Amazon EFS usa AWS Key Management Service (AWS KMS) para la administración de claves. Al crear un sistema de archivos mediante el cifrado en reposo, debe especificar una AWS KMS key. La clave de KMS puede ser aws/elasticfilesystem (la Clave administrada de AWS de Amazon EFS) o puede ser una clave administrada por el cliente que usted administre.

Los datos de archivos, el contenido de sus archivos, se cifran en reposo con la clave de CMK que especificó al crear el sistema de archivos. Los metadatos, nombres de archivo, nombres de directorio y contenido del directorio, se cifran con una clave que Amazon EFS administra.

La Clave administrada de AWS de EFS para su sistema de archivos se utiliza como la clave maestra para los metadatos de su sistema de archivos, por ejemplo, nombres de archivo, nombres de directorio y contenido de los directorios. Usted es el propietario de la clave gestionada por el usuario que se utiliza para cifrar datos de archivos (el contenido de los archivos) en reposo.

Puede administrar quién tiene acceso a las las claves KMS y al contenido de los sistemas de archivos cifrados. Este acceso se controla mediante las políticas de AWS Identity and Access Management (IAM) y AWS KMS. Las políticas de IAM controlan el acceso de los usuarios a las acciones de la API de Amazon EFS. Las políticas de claves de AWS KMS controlan el acceso de un usuario a la clave de KMS que especificó al crear el sistema de archivos. Para más información, consulte los siguientes temas:

Usuarios de IAM en la Guía del usuario de IAM
Políticas de claves en AWS KMS en la Guía para desarrolladores de AWS Key Management Service
Concesiones en AWS KMS en la Guía del desarrollador de AWS Key Management Service.

Como administrador de claves, puede importar las claves externas. También puede habilitar, deshabilitar o eliminar las claves, modificándolas de este modo. El estado de la clave KMS que especificó (cuando creó el sistema de archivos con cifrado en reposo) afecta al acceso a su contenido. La clave KMS debe encontrarse en el estado enabled para que los usuarios tengan acceso al contenido de un sistema de archivos cifrados en reposo.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Configuración de políticas de ciclo de vida

Administración de claves de KMS para sistemas de archivos de EFS