Chiffrement en transit

Le chiffrement des données en transit est pris en charge sur les partages de fichiers mappés sur une instance de calcul compatible avec le protocole SMB 3.0 ou une version ultérieure. Cela inclut toutes les versions de Windows à partir de Windows Server 2012 et Windows 8, ainsi que tous les clients Linux dotés du client Samba version 4.2 ou ultérieure. Amazon FSx for Windows File Server chiffre automatiquement les données en transit à l'aide du chiffrement SMB lorsque vous accédez à votre système de fichiers sans avoir à modifier vos applications.

Le chiffrement SMB utilise l'algorithme AES-128-GCM ou AES-128-CCM (la variante GCM étant choisie si le client prend en charge SMB 3.1.1) comme algorithme de chiffrement, et assure également l'intégrité des données lors de la signature à l'aide des clés de session Kerberos SMB. L'utilisation de l'AES-128-GCM améliore les performances, par exemple en multipliant par deux les performances lors de la copie de fichiers volumineux via des connexions SMB cryptées.

Pour répondre aux exigences de conformité relatives au chiffrement permanent data-in-transit, vous pouvez limiter l'accès au système de fichiers afin de n'autoriser l'accès qu'aux clients qui prennent en charge le chiffrement des PME. Vous pouvez également activer ou désactiver le chiffrement en transit par partage de fichiers ou pour l'ensemble du système de fichiers. Cela vous permet d'avoir un mélange de partages de fichiers chiffrés et non chiffrés sur le même système de fichiers.

Gestion du chiffrement en transit

Vous pouvez utiliser un ensemble de PowerShell commandes personnalisées pour contrôler le chiffrement de vos données en transit entre votre système de fichiers FSx for Windows File Server et les clients. Vous pouvez limiter l'accès au système de fichiers aux seuls clients prenant en charge le chiffrement SMB afin que celui-ci data-in-transit soit toujours chiffré. Lorsque l'application du chiffrement est activée data-in-transit, les utilisateurs accédant au système de fichiers depuis des clients qui ne prennent pas en charge le chiffrement SMB 3.0 ne pourront pas accéder aux partages de fichiers pour lesquels le chiffrement est activé.

Vous pouvez également contrôler le chiffrement au niveau du data-in-transit partage de fichiers plutôt qu'au niveau du serveur de fichiers. Vous pouvez utiliser les contrôles de chiffrement au niveau du partage de fichiers pour associer des partages de fichiers chiffrés et non chiffrés sur le même système de fichiers si vous souhaitez appliquer le chiffrement en transit à certains partages de fichiers contenant des données sensibles et permettre à tous les utilisateurs d'accéder à d'autres partages de fichiers. Le chiffrement à l'échelle du serveur a priorité sur le chiffrement au niveau du partage. Si le chiffrement global est activé, vous ne pouvez pas désactiver le chiffrement de manière sélective pour certains partages.

Vous pouvez gérer le chiffrement des utilisateurs en transit sur votre système de fichiers à l'aide de l'interface de ligne de commande Amazon FSx pour la gestion à distance PowerShell sur. Pour savoir comment utiliser cette CLI, consultezUtiliser Amazon FSx CLI pour PowerShell.

Vous trouverez ci-dessous les commandes que vous pouvez utiliser pour gérer le chiffrement des utilisateurs en transit sur votre système de fichiers.

Chiffrement dans Transit Command Description

Chiffrement dans Transit Command	Description
Get-FSxSmbServerConfiguration	Récupère la configuration du serveur SMB (Server Message Block). Dans la réponse du système, vous pouvez déterminer les paramètres de chiffrement en transit pour votre système de fichiers en fonction des valeurs des `RejectUnencryptedAccess` propriétés `EncryptData` et.
Set-FSxSmbServerConfiguration	Cette commande propose deux options pour configurer le chiffrement en transit : `-EncryptData $True\|$False`— Définissez ce paramètre sur pour `True` activer le chiffrement des données en transit. Définissez ce paramètre sur `False` pour désactiver le chiffrement des données en transit. `-RejectUnencryptedAccess $True\|$False`— Définissez ce paramètre sur pour `True` interdire aux clients qui ne prennent pas en charge le chiffrement d'accéder au système de fichiers. Définissez ce paramètre sur `False` pour autoriser les clients qui ne prennent pas en charge le chiffrement à accéder au système de fichiers.

Get-FSxSmbServerConfiguration

Récupère la configuration du serveur SMB (Server Message Block). Dans la réponse du système, vous pouvez déterminer les paramètres de chiffrement en transit pour votre système de fichiers en fonction des valeurs des RejectUnencryptedAccess propriétés EncryptData et.

Set-FSxSmbServerConfiguration

Cette commande propose deux options pour configurer le chiffrement en transit :

-EncryptData $True|$False— Définissez ce paramètre sur pour True activer le chiffrement des données en transit. Définissez ce paramètre sur False pour désactiver le chiffrement des données en transit.
-RejectUnencryptedAccess $True|$False— Définissez ce paramètre sur pour True interdire aux clients qui ne prennent pas en charge le chiffrement d'accéder au système de fichiers. Définissez ce paramètre sur False pour autoriser les clients qui ne prennent pas en charge le chiffrement à accéder au système de fichiers.

L'aide en ligne de chaque commande fournit une référence de toutes les options de commande. Pour accéder à cette aide, exécutez la commande avec-?, par exempleGet-FSxSmbServerConfiguration -?.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Chiffrement au repos

ACL Windows