Creación de un sistema de archivos cifrado - Cifrado de datos de archivos con Amazon Elastic File System

Creación de un sistema de archivos cifrado

Puede crear un sistema de archivos cifrados mediante la consola de administración de AWS, AWS CLI, la API de Amazon EFS o los SDK de AWS. Solo se puede habilitar el cifrado para un sistema de archivos cuando se crea.

Amazon EFS se integra con AWS KMS para la administración de claves y utiliza una CMK para cifrar el sistema de archivos. Los metadatos del sistema de archivos, como los nombres de archivos, los nombres de directorios y el contenido del directorio, se cifran y descifran mediante una CMK administrada por AWS.

El contenido de los archivos o datos de archivo, se cifra y descifra mediante una CMK que se elija. La CMK puede ser de tres tipos:

  • Una CMK administrada por AWS para Amazon EFS

  • Una CMK administrada por el cliente desde su cuenta de AWS

  • Una CMK administrada por el cliente desde una cuenta de AWS diferente

La organización puede estar sujeta a políticas corporativas o regulatorias que requieran un control total en términos de creación, rotación y eliminación, así como la política de uso y control de acceso para las CMK. Si así fuera, recomendamos utilizar una CMK administrada por el cliente. En otros escenarios, se puede usar una CMK administrada por AWS.

Todos los usuarios tienen una CMK administrada por AWS para Amazon EFS, cuyo alias es aws/elasticfilesystem. AWS administra la política de claves de esta CMK y no puede cambiarla. La creación y el almacenamiento de CMK administradas por AWS no tienen ningún coste.

Si se decide utilizar una CMK administrada por el cliente para cifrar el sistema de archivos, hay que seleccionar el alias de clave de la CMK administrada por el cliente de la que se sea propietario. Como alternativa, se puede introducir el nombre de recurso de Amazon (ARN) de una CMK administrada por el cliente que sea propiedad de otra cuenta. Con una CMK administrada por el cliente propia, se controla qué usuarios y servicios pueden usar la clave a través de políticas de claves y concesiones de claves.

También se puede controlar la duración y la rotación de estas claves eligiendo cuándo deshabilitarlas, volver a habilitarlas, eliminarlas o revocar el acceso a ellas. Para obtener información sobre cómo administrar el acceso a las claves en otras cuentas de AWS, consulte Cambiar una política de claves en la Guía para desarrolladores de AWS KMS.

Para obtener más información sobre cómo administrar las CMK administradas por el cliente, consulte Claves maestras de clientes (CMK) en la Guía para desarrolladores de AWS KMS.

En las siguientes secciones se explica cómo crear un sistema de archivos cifrados con la consola de administración de AWS y con AWS CLI.