Chiffrement au repos - Amazon FSx for Windows File Server
Comment Amazon FSx utilise AWS KMSPolitiques clés d'Amazon FSx pour AWS KMS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement au repos

Tous les systèmes de fichiers Amazon FSx sont chiffrés au repos avec des clés gérées à l'aide de AWS Key Management Service ()AWS KMS. Les données sont automatiquement cryptées avant d'être écrites dans le système de fichiers et déchiffrées automatiquement au fur et à mesure de leur lecture. Ces processus sont gérés de manière transparente par Amazon FSx, de sorte que vous n'avez pas à modifier vos applications.

Amazon FSx utilise un algorithme de chiffrement AES-256 conforme aux normes du secteur pour chiffrer les données et métadonnées Amazon FSx au repos. Pour de plus amples informations, consultez Principes de base du chiffrement dans le Guide du développeur AWS Key Management Service .

Note

L'infrastructure de gestion des AWS clés utilise des algorithmes cryptographiques approuvés par les Federal Information Processing Standards (FIPS) 140-2. Cette infrastructure est conforme aux recommandations NIST (National Institute of Standards and Technology) 800-57.

Comment Amazon FSx utilise AWS KMS

Amazon FSx s'intègre à la gestion AWS KMS des clés. Amazon FSx utilise un AWS KMS key pour chiffrer votre système de fichiers. Vous choisissez la clé KMS utilisée pour chiffrer et déchiffrer les systèmes de fichiers (données et métadonnées). Vous pouvez activer, désactiver ou révoquer les autorisations sur cette clé KMS. Cette clé KMS peut être de l'un des deux types suivants :

  • Clé gérée par AWS— Il s'agit de la clé KMS par défaut, dont l'utilisation est gratuite.

  • Clé gérée par le client – Il s’agit de la clé KMS la plus souple à utiliser, car vous pouvez configurer ses stratégies de clé et ses octrois pour plusieurs utilisateurs ou services. Pour plus d'informations sur la création de clés gérées par le client, consultez la section Création de clés dans le guide du AWS Key Management Service développeur.

Si vous utilisez une clé gérée par le client comme clé KMS pour le chiffrement et le déchiffrement des données de fichiers, vous pouvez activer la rotation des clés. Lorsque vous activez la rotation des clés, AWS KMS effectue automatiquement une rotation de votre clé une fois par an. En outre, avec une clé gérée par le client, vous pouvez choisir à tout moment à quel moment désactiver, réactiver, supprimer ou révoquer l'accès à votre clé KMS. Pour plus d'informations, consultez Rotating AWS KMS keys dans le guide du AWS Key Management Service développeur.

Le chiffrement et le déchiffrement du système de fichiers au repos sont gérés de manière transparente. Cependant, Compte AWS les identifiants spécifiques à Amazon FSx apparaissent dans vos AWS CloudTrail journaux relatifs aux AWS KMS actions.

Politiques clés d'Amazon FSx pour AWS KMS

Les politiques de clé constituent le principal moyen de contrôler l'accès aux clés KMS. Pour plus d'informations sur les politiques clés, consultez la section Utilisation des politiques clés AWS KMS dans le Guide du AWS Key Management Service développeur.La liste suivante décrit toutes les autorisations AWS KMS associées prises en charge par Amazon FSx pour les systèmes de fichiers chiffrés au repos :

  • kms:Encrypt - (Facultatif) Chiffre le texte brut en texte chiffré. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms:Decrypt - (Obligatoire) Déchiffre le texte chiffré. Le texte chiffré est du texte brut qui a été précédemment chiffré. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms : ReEncrypt — (Facultatif) Chiffre les données côté serveur avec une nouvelle clé KMS, sans exposer le texte clair des données côté client. Les données sont d’abord déchiffrées, puis chiffrées à nouveau. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms : GenerateData KeyWithout Plaintext — (Obligatoire) Renvoie une clé de chiffrement des données chiffrée sous une clé KMS. Cette autorisation est incluse dans la politique de clé par défaut sous kms : GenerateData Key*.

  • kms : CreateGrant — (Obligatoire) Ajoute une autorisation à une clé pour spécifier qui peut utiliser la clé et dans quelles conditions. Les octrois sont des mécanismes d’autorisation alternatifs aux stratégies de clé. Pour plus d'informations sur les subventions, consultez la section Utilisation des subventions dans le Guide du AWS Key Management Service développeur. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms : DescribeKey — (Obligatoire) Fournit des informations détaillées sur la clé KMS spécifiée. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms : ListAliases — (Facultatif) Répertorie tous les alias clés du compte. Lorsque vous utilisez la console pour créer un système de fichiers chiffré, cette autorisation alimente la liste des clés KMS. Nous vous recommandons d’utiliser cette autorisation pour offrir un confort d’utilisation maximal. Cette autorisation est incluse dans la stratégie de clé par défaut.