Concepts de base et terminologie - Chiffrement des données de fichier avec Amazon Elastic File System

Concepts de base et terminologie

Cette section définit les concepts et la terminologie référencés dans ce livre blanc.

  • Amazon Elastic File System (Amazon EFS) : service hautement disponible et hautement durable qui fournit un stockage de fichiers partagés simple, évolutif et dans AWS Cloud. Amazon EFS fournit une interface et une sémantique de système de fichiers standard. Vous pouvez stocker une quantité pratiquement illimitée de données sur un nombre illimité de serveurs de stockage dans plusieurs zones de disponibilité.

  • AWS Identity and Access Management (IAM) : service qui vous permet de contrôler en toute sécurité l'accès précis aux API de service AWS. Les politiques sont créées et utilisées pour limiter l'accès à des utilisateurs, des groupes et des rôles individuels. Vous pouvez gérer vos clés AWS KMS via la console IAM.

  • AWS KMS : service géré qui facilite la création et le contrôle des clés principales client (CMK), les clés de chiffrement utilisées pour chiffrer vos données. Les clés CMK AWS KMS sont protégées par des modules de sécurité matériels (HSM) qui sont validés par le programme de validation des modules cryptographiques FIPS 140-2 sauf dans les régions Chine (Pékin) et Chine (Ningxia). AWS KMS est intégré à d'autres services AWS qui chiffrent vos données. Il est également entièrement intégré à AWS CloudTrail pour fournir des journaux des appels d'API effectués par AWS KMS en votre nom, ce qui peut être utile pour répondre aux exigences de conformité ou réglementaires applicables à votre organisation.

  • Clé principale client (CMK) : représente le sommet de votre hiérarchie de clés. Elle contient des éléments de clé pour chiffrer et déchiffrer les données. AWS KMS peut générer ces éléments de clé, ou vous pouvez les générer puis les importer dans AWS KMS. Les clés CMK sont spécifiques à un compte AWS et à une région AWS et peuvent être gérées par le client ou par AWS.

  • Clé CMK gérée par AWS : clé CMK générée par AWS en votre nom. Une clé CMK gérée par AWS est créée lorsque vous activez le chiffrement pour une ressource d'un service AWS intégré. Les politiques de clé CMK gérées par AWS sont gérées par AWS et vous ne pouvez pas les modifier. La création ou le stockage de clés CMK gérées par AWS sont gratuits.

  • Clé CMK gérée par le client : clé CMK que vous créez à l'aide d'AWS Management Console, de l'API AWS, d'AWS CLI ou des kits SDK. Vous pouvez utiliser une clé CMK gérée par le client lorsque vous avez besoin d'un contrôle plus détaillé sur la clé CMK.

  • Politique de clé KMS : politique de ressources qui contrôle l'accès à une clé CMK gérée par le client. Les clients définissent ces autorisations à l'aide de la politique de clé ou d'une combinaison de politiques IAM et de politique de clé. Pour de plus amples informations, consultez Aperçu de la gestion de l'accès dans le Guide du développeur AWS KMS.

  • Clés de données : clés cryptographiques générées par AWS KMS pour chiffrer les données en dehors d'AWS KMS. AWS KMS permet aux entités autorisées (utilisateurs ou services) d'obtenir des clés de données protégées par une clé CMK.

  • Protocole TLS (Transport Layer Security) : successeur du protocole SSL (Secure Sockets Layer, couche de sockets sécurisés), TLS est un protocole cryptographique essentiel au chiffrement des informations échangées sur un réseau.

  • Assistant de montage EFS : agent client Linux (amazon-efs-utils) utilisé pour simplifier le montage des systèmes de fichiers EFS. Il peut être utilisé pour configurer, gérer et acheminer tout le trafic NFS via un tunnel TLS.

Pour de plus amples informations sur les concepts de base et la terminologie, consultez Concepts d'AWS Key Management Service dans le Guide du développeur AWS KMS.