Chiffrement de données au repos - Amazon Elastic File System
Imposer la création de systèmes de fichiers Amazon EFS chiffrés au reposChiffrement d'un système de fichiers au repos à l'aide de la consoleComment fonctionne le chiffrement au repos ?

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement de données au repos

Vous pouvez créer des systèmes de fichiers chiffrés à l'aide du AWS Management Console AWS CLI, ou par programmation via l'API Amazon EFS ou l'un des SDK. AWS Votre organisation peut exiger le chiffrement de toutes les données qui répondent à une classification spécifique ou qui sont associées à une application, une charge de travail ou un environnement spécifique.

Une fois que vous avez créé un système de fichiers EFS, vous ne pouvez pas modifier ses paramètres de chiffrement. Cela signifie que vous ne pouvez pas modifier un système de fichiers non chiffré pour le chiffrer. À la place, vous devez créer un système de fichiers chiffré.

Note

L'infrastructure de gestion des AWS clés utilise des algorithmes cryptographiques approuvés par les Federal Information Processing Standards (FIPS) 140-2. Cette infrastructure est conforme aux recommandations NIST (National Institute of Standards and Technology) 800-57.

Imposer la création de systèmes de fichiers Amazon EFS chiffrés au repos

Vous pouvez utiliser la clé de condition elasticfilesystem:Encrypted IAM dans les politiques basées sur l'identité AWS Identity and Access Management (IAM) pour contrôler si les utilisateurs peuvent créer des systèmes de fichiers Amazon EFS chiffrés au repos. Pour de plus amples informations sur l'utilisation de la clé de condition , veuillez consulter Exemple : imposer la création de systèmes de fichiers chiffrés.

Vous pouvez également définir des politiques de contrôle des services (SCP) internes AWS Organizations pour appliquer le chiffrement EFS à tous les Compte AWS membres de votre organisation. Pour plus d'informations sur les politiques de contrôle des services dans AWS Organizations, voir Politiques de contrôle des services dans le Guide de AWS Organizations l'utilisateur.

Chiffrement d'un système de fichiers au repos à l'aide de la console

Lorsque vous créez un nouveau système de fichiers à l'aide de la console Amazon EFS, le chiffrement au repos est activé par défaut. La procédure suivante décrit comment activer le chiffrement pour un nouveau système de fichiers lorsque vous le créez à partir de la console.

Note

Le chiffrement au repos n'est pas activé par défaut lors de la création d'un nouveau système de fichiers à l'aide de AWS CLI, l'API et des SDK. Pour de plus amples informations, veuillez consulter Création d'un système de fichiers à l'aide de l' AWS CLI.

Pour chiffrer un nouveau système de fichiers à l'aide de la console EFS

  1. Ouvrez la console Amazon Elastic File System à l'adresse https://console.aws.amazon.com/efs/.

  2. Choisissez Créer un système de fichiers pour ouvrir l'assistant de création de système de fichiers.

  3. (Facultatif) Entrez un Nom pour votre système de fichiers.

  4. Pour cloud privé virtuel (VPC), choisissez votre VPC, ou conservez-le comme VPC par défaut.

  5. Choisissez Créer pour créer un système de fichiers utilisant les paramètres recommandés par le service suivants :

    • Le chiffrement des données au repos est activé à l'aide de votre option par défaut AWS KMS key pour Amazon EFS (aws/elasticfilesystem).

    • Sauvegardes automatiques activées - Pour plus d'informations, consultez Sauvegarde de vos systèmes de fichiers Amazon EFS.

    • Cibles de montage : Amazon EFS crée des cibles de montage avec les paramètres suivants :

      • Situé dans chaque zone de disponibilité dans Région AWS laquelle le système de fichiers est créé.

      • Situé dans les sous-réseaux par défaut du VPC que vous avez sélectionné.

      • Utiliser le groupe de sécurité par défaut du VPC. Vous pouvez gérer les groupes de sécurité une fois le système de fichiers créé.

      Pour de plus amples informations, veuillez consulter Gestion de l'accessibilité réseau du système de fichiers.

    • Mode performance à usage général — Pour plus d'informations, consultez Modes de performances.

    • Débit élastique – Pour plus d'informations, consultez Modes de débit.

    • Gestion du cycle de vie activée avec une stratégie à 30 jours — Pour plus d'informations, consultez Gestion du stockage du système de fichiers.

  6. La page Systèmes de fichiers apparaît avec une bannière en haut indiquant l'état du système de fichiers que vous avez créé. Un lien permettant d'accéder à la page de détails du système de fichiers apparaît dans la bannière lorsque ce dernier est disponible.

Vous disposez désormais d'un nouveau système de encrypted-at-rest fichiers.

Comment fonctionne le chiffrement au repos ?

Dans un système de fichiers chiffré, les données et les métadonnées sont automatiquement chiffrées avant d'être écrites dans le système de fichiers. De même, au fur et à mesure que les données et les métadonnées sont lues, elles sont automatiquement déchiffrées avant d'être présentées à l'application. Ces processus sont gérés de façon transparente par Amazon EFS. Vous n'avez donc pas besoin de modifier vos applications.

Amazon EFS utilise l'algorithme de chiffrement AES-256 standard pour chiffrer les données et métadonnées EFS au repos. Pour de plus amples informations, consultez Principes de base du chiffrement dans le AWS Key Management Service Guide du développeur.

Comment Amazon EFS utilise AWS KMS

Amazon EFS s'intègre à AWS Key Management Service (AWS KMS) pour la gestion des clés. Amazon EFS utilise des clés principales client (clés CMK) pour chiffrer votre système de fichiers de la façon suivante :

  • Chiffrement des métadonnées au repos : Amazon EFS utilise Amazon EFS Clé gérée par AWS pour chiffrer et déchiffrer les métadonnées du système de fichiers (c'est-à-dire les noms de fichiers, les noms de répertoire et le contenu des répertoires). aws/elasticfilesystem

  • Chiffrement de données au repos de fichier – Vous choisissez la clé gérée par le client utilisée pour chiffrer et déchiffrer les données des fichiers (c'est-à-dire le contenu de vos fichiers). Vous pouvez activer, désactiver ou révoquer les subventions sur cette clé gérée par le client. Cette clé gérée côté client peut être l'un des deux types suivants :

    • Clé gérée par AWS pour Amazon EFS — Il s'agit de la clé gérée par le client par défaut,aws/elasticfilesystem. La création et le stockage d'une clé gérée par le client ne sont pas facturés, mais il y a des frais d'utilisation. Pour en savoir plus, consultez la page Tarification AWS Key Management Service.

    • Clé gérée par le client – Il s'agit de la clé KMS la plus souple à utiliser, car vous pouvez configurer ses stratégies de clé et ses octrois pour plusieurs utilisateurs ou services. Pour plus d'informations sur la création de clés gérées par le client, consultez la section Création de clés dans le guide du AWS Key Management Service développeur.

      Vous pouvez activer la rotation des clés si vous utilisez une clé gérée par le client pour le chiffrement des données et le déchiffrement des données des fichiers. Lorsque vous activez la rotation des clés, elle fait AWS KMS automatiquement pivoter votre clé une fois par an. De plus, avec une clé gérée par le client, vous pouvez choisir à tout moment de désactiver, réactiver, supprimer ou révoquer l'accès à votre clé gérée par le client. Pour de plus amples informations, veuillez consulter Désactiver, supprimer ou révoquer l'accès à la clé KMS d'un système de fichiers.

Important

Amazon EFS accepte uniquement les clés symétriques gérées côté client. Vous ne pouvez pas utiliser de clés asymétriques gérées par le client avec Amazon EFS.

Le chiffrement et le déchiffrement des données au repos sont gérés de façon transparente. Cependant, les identifiants de AWS compte spécifiques à Amazon EFS apparaissent dans vos AWS CloudTrail journaux relatifs aux AWS KMS actions. Pour de plus amples informations, veuillez consulter Entrées du fichier journal Amazon EFS pour les systèmes de encrypted-at-rest fichiers.

Politiques clés d'Amazon EFS pour AWS KMS

Les stratégies de clé constituent le principal moyen de contrôler l'accès aux clés gérées par le client. Pour plus d'informations sur les stratégie de clé, consultez Stratégie de clé AWS KMSdans le AWS Key Management Service Guide du développeur. La liste suivante décrit toutes les autorisations AWS KMS associées requises ou prises en charge par Amazon EFS pour les systèmes de fichiers chiffrés au repos :

  • kms:Encrypt - (Facultatif) Chiffre le texte brut en texte chiffré. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms:Decrypt - (Obligatoire) Déchiffre le texte chiffré. Le texte chiffré est du texte brut qui a été précédemment chiffré. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms : ReEncrypt — (Facultatif) Chiffre les données côté serveur avec une nouvelle clé gérée par le client, sans exposer le texte clair des données côté client. Les données sont d'abord déchiffrées, puis chiffrées à nouveau. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms : GenerateDataKeyWithoutPlaintext — (Obligatoire) Renvoie une clé de chiffrement des données chiffrée sous une clé gérée par le client. Cette autorisation est incluse dans la politique clé par défaut sous kms : GenerateDataKey *.

  • kms : CreateGrant — (Obligatoire) Ajoute une autorisation à une clé pour spécifier qui peut utiliser la clé et dans quelles conditions. Les octrois sont des mécanismes d'autorisation alternatifs aux stratégies de clé. Pour plus d'informations sur les octrois, consultez Utilisation d'octrois dans le AWS Key Management Service Guide du développeur. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms : DescribeKey — (Obligatoire) Fournit des informations détaillées sur la clé gérée par le client spécifiée. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms : ListAliases — (Facultatif) Répertorie tous les alias clés du compte. Lorsque vous utilisez la console pour créer un système de fichiers chiffré, cette autorisation renseigne la liste Sélectionner une clé principale KMS. Nous vous recommandons d'utiliser cette autorisation pour offrir un confort d'utilisation maximal. Cette autorisation est incluse dans la stratégie de clé par défaut.

Clé gérée par AWS pour la politique KMS d'Amazon EFS

La politique JSON de politique KMS Clé gérée par AWS pour Amazon EFS aws/elasticfilesystem est la suivante :

{
    "Version": "2012-10-17",
    "Id": "auto-elasticfilesystem-1",
    "Statement": [
        {
            "Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com",
                    "kms:CallerAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "Allow direct access to key metadata to the account",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "kms:Describe*",
                "kms:Get*",
                "kms:List*",
                "kms:RevokeGrant"
            ],
            "Resource": "*"
        }
    ]
}