Amazon Elastic File System
Guide de l'utilisateur

Chiffrement des données et métadonnées dans EFS

Amazon EFS prend en charge deux formes de chiffrement pour les systèmes de fichiers, le chiffrement des données en transit et le chiffrement des données au repos. Vous pouvez activer le chiffrement des données au repos lors de la création du système de fichiers Amazon EFS. Vous pouvez activer le chiffrement des données en transit lors du montage du système de fichiers.

Quand utiliser le chiffrement ?

Si votre organisation est soumise à des politiques d'entreprise ou des réglementations nécessitant le chiffrement des données et des métadonnées au repos, nous vous recommandons de créer un système de fichiers chiffré en montant votre système de fichiers à l'aide du chiffrement des données en transit.

Chiffrement des données en transit

Vous pouvez chiffrer les données en transit à l'aide d'un système de fichiers Amazon EFS, sans avoir besoin de modifier vos applications.

Chiffrement des données en transit avec TLS

L'activation du chiffrement des données en transit pour votre système de fichiers Amazon EFS s'effectue en activant le protocole TLS (Transport Layer Security) lors du montage de votre système de fichiers à l'aide de l'assistant de montage Amazon EFS. Pour plus d'informations, consultez Montage avec l'assistant de montage EFS.

Lorsque le chiffrement des données en transit est déclaré en tant qu'option de montage pour votre système de fichiers Amazon EFS, l'assistant de montage initialise un processus stunnel client. Stunnel est un relais réseau multifonctionnel en open source. Le processus stunnel client écoute le trafic entrant sur un port local et l'assistant de montage redirige le trafic client NFS vers ce port. L'assistant de montage utilise la version 1.2 de TLS (Transport Layer Security) pour communiquer avec votre système de fichiers.

Montage de votre système de fichiers Amazon EFS avec l'assistant de montage en ayant préalablement activé le chiffrement des données en transit

  1. Accédez au terminal pour votre instance via SSH (Secure Shell) et connectez-vous avec le nom d'utilisateur approprié. Pour plus d'informations sur cette procédure, consultez Connexion à votre instance Linux à l'aide de SSH dans le Amazon EC2 Guide de l'utilisateur pour les instances Linux.

  2. Exécutez la commande suivante pour monter votre système de fichiers.

    sudo mount -t efs -o tls fs-12345678:/ /mnt/efs

Comment fonctionne le chiffrement des données en transit ?

Le chiffrement des données en transit est activé en se connectant à Amazon EFS à l'aide du protocole TLS. Nous vous recommandons d'utiliser l'assistant de montage, car il s'agit de l'option la plus simple.

Vous pouvez tout de même activer le chiffrement des données en transit sans utiliser l'assistant de montage. Les étapes générales à suivre sont les suivantes :

Pour activer le chiffrement des données en transit sans l'aide de l'assistant de montage

  1. Téléchargez et installez stunnel, et notez le port sur lequel l'application est à l'écoute.

  2. Exécutez stunnel pour vous connecter à votre système de fichiers Amazon EFS sur le port 2049 à l'aide du protocole TLS.

  3. En utilisant le client NFS, montez localhost:port, où port est le port que vous avez noté au cours de la première étape.

Étant donné que le chiffrement des données en transit est configuré en mode par connexion, chaque montage configuré possède un processus stunnel dédié s'exécutant sur l'instance. Par défaut, le processus stunnel utilisé par l'assistant de montage est à l'écoute sur les ports locaux 20049 et 20449, et il se connecte à Amazon EFS sur le port 2049.

Note

Par défaut, lorsque vous utilisez l'assistant de montage Amazon EFS avec TLS, celui-ci procède à la vérification du nom d'hôte du certificat. L'assistant de montage Amazon EFS utilise le programme stunnel pour sa fonctionnalité TLS. Notez que certaines versions de Linux n'incluent pas une version de stunnel prenant en charge ces fonctionnalités TLS par défaut. Lorsque vous utilisez l'une de ces versions de Linux, le montage d'un système de fichiers Amazon EFS à l'aide de TLS échoue.

Une fois que vous avez installé le package amazon-efs-utils, pour mettre à niveau la version de stunnel de votre système, consultez Mise à niveau de stunnel.

Pour tout problème lié au chiffrement, consultez Résolution des problèmes de chiffrement.

Lorsque vous utilisez le chiffrement des données en transit, la configuration du client NFS est modifiée. Lorsque vous examinez vos systèmes de fichiers montés, vous en voyez un monté sur 127.0.0.1, ou localhost, comme dans l'exemple suivant :

$ mount | column -t 127.0.0.1:/ on /home/ec2-user/efs type nfs4 (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)

Lorsque vous effectuez le montage avec TLS et avec l'assistant de montage Amazon EFS, vous reconfigurez en fait votre client NFS pour le monter sur un port local. L'assistant de montage démarre un processus stunnel client qui est à l'écoute de ce port local et stunnel ouvre une connexion chiffrée avec EFS à l'aide du protocole TLS. L'assistant de montage EFS est responsable de la configuration et de la gestion de cette connexion chiffrée et de la configuration associée.

Pour connaître l'ID du système de fichiers Amazon EFS correspondant au point de montage local, vous pouvez utiliser la commande suivante. N'oubliez pas de remplacer efs-mount-point par le chemin d'accès local dans lequel vous avez monté votre système de fichiers.

grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1

Lorsque vous utilisez l'assistant de montage pour le chiffrement des données en transit, il crée également un processus appelé amazon-efs-mount-watchdog. Ce processus garantit que chaque processus stunnel de montage est en cours d'exécution et arrête le stunnel lorsque le système de fichiers Amazon EFS est démonté. Si, pour une raison quelconque, un processus stunnel est interrompu de manière inattendue, le processus de surveillance le redémarre.

Chiffrement de données au repos

Comme pour les systèmes de fichiers non chiffrés, vous pouvez créer des systèmes de fichiers chiffrés via l'AWS Management Console, l'AWS CLI ou par programmation via l'API Amazon EFS ou l'un des kits SDK AWS. Votre organisation peut exiger le chiffrement de toutes les données qui répondent à une classification spécifique ou qui sont associées à une application, une charge de travail ou un environnement spécifique.

Vous pouvez appliquer les stratégies de chiffrement de données pour les systèmes de fichiers Amazon EFS en utilisant Amazon CloudWatch et AWS CloudTrail pour détecter la création d'un système de fichiers et vérifier que le chiffrement est activé. Pour plus d'informations, consultez Procédure : Application du chiffrement sur un système de fichiers Amazon EFS au repos.

Note

L'infrastructure de gestion des clés AWS utilise les algorithmes de chiffrement agréés pour la norme FIPS (Federal Information Processing Standards) 140-2. Cette infrastructure est conforme aux recommandations NIST (National Institute of Standards and Technology) 800-57.

Chiffrement d'un système de fichiers au repos à l'aide de la console

Vous pouvez choisir d'activer le chiffrement au repos pour un système de fichiers lors de sa création. La procédure suivante décrit comment activer le chiffrement pour un nouveau système de fichiers lorsque vous le créez à partir de la console.

Pour chiffrer un nouveau système de fichiers sur la console

  1. Ouvrez la console Amazon Elastic File System à l'adresse https://console.aws.amazon.com/efs/.

  2. Choisissez Créer un système de fichiers pour ouvrir l'assistant de création de système de fichiers.

  3. Pour Étape 1 : Configurez l'accès au système de fichiers, choisissez le VPC, créez vos cibles de montage, puis choisissez Étape suivante.

  4. Pour Étape 2 : Configurez les paramètres facultatifs, ajoutez des balises, choisissez votre mode de performance, cochez la case permettant de chiffrer votre système de fichiers, puis choisissez Étape suivante.

  5. Pour Étape 3 : Vérifiez et créez, passez en revue vos paramètres, puis choisissez Créer un système de fichiers.

Vous avez maintenant un nouveau système de fichiers chiffré au repos.

Comment fonctionne le chiffrement au repos ?

Dans un système de fichiers chiffré au repos, les données et métadonnées sont automatiquement chiffrées avant d'être écrites dans le système de fichiers. De même, au fur et à mesure que les données et les métadonnées sont lues, elles sont automatiquement déchiffrées avant d'être présentées à l'application. Ces processus sont gérés de façon transparente par Amazon EFS. Vous n'avez donc pas besoin de modifier vos applications.

Amazon EFS utilise un algorithme de chiffrement AES-256 standard pour chiffrer les données et métadonnées EFS au repos. Pour plus d'informations, consultez Principes de base du chiffrement dans le AWS Key Management Service Developer Guide.

Comment Amazon EFS utilise AWS KMS

Amazon EFS s'intègre à AWS Key Management Service (AWS KMS) pour la gestion des clés. Amazon EFS utilise des clés principales client (clés CMK) pour chiffrer votre système de fichiers de la façon suivante :

  • Chiffrement des métadonnées au repos – Amazon EFS utilise une clé principale client unique (la clé CMK gérée par AWS pour Amazon EFS ou une clé CMK personnalisée) pour chiffrer et déchiffrer les métadonnées du système de fichiers (c'est-à-dire, les noms de fichier, les noms de répertoire et le contenu du répertoire).

  • Chiffrement de données de fichier au repos – Vous choisissez la clé CMK utilisée pour chiffrer et déchiffrer les données de fichier (c'est-à-dire, le contenu de vos fichiers). Vous pouvez activer, désactiver ou révoquer les octrois sur cette clé CMK. Cette clé CMK peut avoir l'un des deux types suivants :

    • Clé CMK gérée par AWS pour Amazon EFS– Il s'agit de la clé CMK par défaut. La création et le stockage d'une clé CMK ne vous sont pas facturés, mais des frais d'utilisation sont facturés. Pour en savoir plus, consultez la page Tarification d'AWS Key Management Service.

    • Clé CMK gérée par le client – Il s'agit de la clé principale la plus souple à utiliser, car vous pouvez configurer ses stratégies de clé et ses octrois pour plusieurs utilisateurs ou services. Pour plus d'informations sur la création de clés CMK, consultez Création de clés dans le AWS Key Management Service Developer Guide.

      Si vous utilisez une clé CMK gérée par le client en tant que clé principale pour le chiffrement et le déchiffrement des données de fichier, vous pouvez activer la rotation des clés. Lorsque vous activez la rotation des clés, AWS KMS effectue automatiquement une rotation de votre clé une fois par an. De plus, avec une clé CMK gérée par le client, vous pouvez à tout instant choisir le moment auquel désactiver, réactiver, supprimer ou révoquer l'accès à votre clé CMK. Pour plus d'informations, consultez Désactivation, suppression ou révocation de l'accès à la clé CMK pour un système de fichiers.

Le chiffrement et le déchiffrement des données au repos sont gérés de façon transparente. Cependant, les ID des comptes AWS spécifiques à Amazon EFS apparaissent dans vos journaux AWS CloudTrail liés aux actions AWS KMS. Pour plus d'informations, consultez Entrées des fichiers journaux Amazon EFS pour les systèmes de fichiers chiffrés au repos.

Stratégies de clé Amazon EFS pour AWS KMS

Les stratégies de clé constituent le principal moyen de contrôler l'accès aux clés CMK. Pour plus d'informations sur les stratégies de clé, consultez Utilisation des stratégies de clé dans AWS KMS dans le AWS Key Management Service Developer Guide. La liste suivante décrit toutes les autorisations liées à AWS KMS prises en charge par Amazon EFS pour les systèmes de fichiers chiffrés au repos :

  • kms:Encrypt – (Facultatif) Chiffre le texte brut en texte chiffré. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms:Decrypt – (Obligatoire) Déchiffre le texte chiffré. Le texte chiffré est du texte brut qui a été précédemment chiffré. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms:ReEncrypt – (Facultatif) Chiffre les données côté serveur avec une nouvelle clé principale client (CMK), sans exposer le texte brut des données côté client. Les données sont d'abord déchiffrées, puis chiffrées à nouveau. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms:GenerateDataKeyWithoutPlaintext – (Obligatoire) Renvoie une clé de chiffrement des données chiffrées sous une clé CMK. Cette autorisation est incluse dans la stratégie de clé par défaut sous kms:GenerateDataKey*.

  • kms:CreateGrant – (Obligatoire) Ajoute un octroi à une clé pour spécifier qui peut utiliser la clé et dans quelles conditions. Les octrois sont des mécanismes d'autorisation alternatifs aux stratégies de clé. Pour plus d'informations sur les octrois, consultez Utilisation d'octrois dans le AWS Key Management Service Developer Guide. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms:DescribeKey – (Obligatoire) Fournit des informations détaillées sur la clé principale client spécifiée. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms:ListAliases – (Facultatif) Répertorie tous les alias de clé dans le compte. Lorsque vous utilisez la console pour créer un système de fichiers chiffré, cette autorisation renseigne la liste Select KMS master key (Sélectionner une clé principale KMS). Nous vous recommandons d'utiliser cette autorisation pour offrir un confort d'utilisation maximal. Cette autorisation est incluse dans la stratégie de clé par défaut.

Rubriques connexes

Pour plus d'informations sur le chiffrement avec Amazon EFS, consultez les rubriques connexes :