Administración del acceso a sistemas de archivos cifrados - Amazon Elastic File System

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administración del acceso a sistemas de archivos cifrados

Con Amazon EFS, puede crear sistemas de archivos cifrados. Amazon EFS admite dos formas de cifrado para sistemas de archivos: cifrado en tránsito y cifrado en reposo. Cualquier administración de claves que necesite realizar está relacionada únicamente con el cifrado en reposo. Amazon EFS administra automáticamente las claves para el cifrado en tránsito.

Si crea un sistema de archivos que utiliza el cifrado en reposo, los datos y los metadatos se cifran en reposo. Amazon EFS usaAWS Key Management Service (AWS KMS) para la administración de claves. Al crear un sistema de archivos mediante el cifrado en reposo, se especifica unAWS KMS key. La clave de KMS puede seraws/elasticfilesystem (laClave administrada por AWS de Amazon EFS) o puede ser una clave gestionada por el cliente que usted administre.

Los datos del archivo (el contenido de los archivos) se cifran en reposo mediante la clave KMS que especificó al crear el sistema de archivos. Los metadatos (nombres de archivos, nombres de directorios y contenido de directorios) se cifran mediante una clave que administra Amazon EFS.

El EFSClave administrada por AWS del sistema de archivos se utiliza como clave de KMS para cifrar los metadatos del sistema de archivos, por ejemplo, los nombres de los archivos, los nombres de los directorios y el contenido de los directorios. Usted es el propietario de la clave gestionada por el cliente que se utiliza para cifrar los datos de los archivos (el contenido de los archivos) en reposo.

Usted administra quién tiene acceso a sus claves de KMS y al contenido de sus sistemas de archivos cifrados. Este acceso está controlado tanto por las políticasAWS Identity and Access Management (IAM) como porAWS KMS. Las políticas de IAM controlan el acceso de los usuarios a las acciones de la API de Amazon EFS. AWS KMSlas políticas clave controlan el acceso del usuario a la clave de KMS que especificó cuando se creó el sistema de archivos. Para obtener más información, consulte los siguientes enlaces:

Como administrador de claves, puede importar las claves externas. También puede habilitar, deshabilitar o eliminar las claves, modificándolas de este modo. El estado de la clave de KMS que especificó (al crear el sistema de archivos con cifrado en reposo) afecta al acceso a su contenido. La clave de KMS debe estar en elenabled estado para que los usuarios tengan acceso al contenido de un sistema de encrypted-at-rest archivos cifrado con esa clave.

Realizar acciones administrativas en las claves de Amazon EFS KMS

A continuación, encontrará cómo habilitar, deshabilitar o eliminar las claves de KMS asociadas a su sistema de archivos de Amazon EFS. También puede saber qué comportamiento se espera de un sistema de archivos al realizar estas acciones.

Deshabilitar, eliminar o revocar el acceso a la clave KMS de un sistema de archivos

Puede deshabilitar o eliminar las claves de KMS administradas por el cliente, o puede revocar el acceso de Amazon EFS a sus claves de KMS. Inhabilitar y revocar el acceso de Amazon EFS a sus claves son acciones reversibles. Tenga mucho cuidado al eliminar las claves de KMS. La eliminación de una clave de KMS es una acción irreversible.

Si deshabilita o elimina la clave KMS utilizada en el sistema de archivos montado, se cumple lo siguiente:

  • Esa clave de KMS no se puede usar como clave para sistemas de encrypted-at-rest archivos nuevos.

  • Los sistemas de encrypted-at-rest archivos existentes que utilizan esa clave de KMS dejan de funcionar después de un período de tiempo.

Si revoca el acceso de Amazon EFS a una concesión para cualquier sistema de archivos montado existente, el comportamiento es el mismo que si deshabilitara o eliminara la clave de KMS asociada. En otras palabras, el sistema de encrypted-at-rest archivos sigue funcionando, pero deja de funcionar después de un período de tiempo.

Puede impedir el acceso a un sistema de encrypted-at-rest archivos montado que tenga una clave de KMS que haya desactivado, eliminado o revocado el acceso a Amazon EFS. Para ello, desmonte el sistema de archivos y elimine sus destinos de montaje de Amazon EFS.

No puedes eliminar un archivo inmediatamenteAWS KMS key, pero puedes programarlo para que se elimine en un plazo de entre 7 y 30 días. Aunque una clave de KMS está programada para eliminación, no puede utilizarla para operaciones criptográficas. También puede cancelar la eliminación programada de una clave de KMS.

Para obtener información sobre cómo deshabilitar y volver a habilitar las claves de KMS administradas por el cliente, consulte Habilitar y deshabilitar claves en la Guía paraAWS Key Management Service desarrolladores. Para obtener información sobre cómo programar la eliminación de las claves de KMS administradas por el cliente, consulte Eliminar claves de KMS en la Guía paraAWS Key Management Service desarrolladores.