Création d'un système de fichiers chiffrés - Chiffrement des données de fichier avec Amazon Elastic File System

Création d'un système de fichiers chiffrés

Vous pouvez créer un système de fichiers chiffrés à l'aide de l'AWS Management Console, de l'AWS CLI, de l'API Amazon EFS ou des kits SDK AWS. Vous ne pouvez activer le chiffrement d'un système de fichiers que lorsque vous le créez.

Amazon EFS s'intègre à AWS KMS pour la gestion des clés et utilise une clé CMK pour chiffrer le système de fichiers. Les métadonnées du système de fichiers, telles que les noms de fichiers, les noms de répertoires et le contenu des répertoires, sont chiffrées et déchiffrées à l'aide d'une clé CMK gérée par AWS.

Le contenu de vos fichiers, ou données de fichiers, est chiffré et déchiffré à l'aide d'une clé CMK de votre choix. Il existe trois types de clé CMK :

  • Une clé CMK gérée par AWS pour Amazon EFS

  • Une clé CMK gérée par le client à partir de votre compte AWS

  • Une clé CMK gérée par le client à partir d'un autre compte AWS

Votre organisation peut être soumise à des politiques d'entreprise ou réglementaires qui nécessitent un contrôle total en termes de création, de rotation, de suppression ainsi que le contrôle d'accès et la politique d'utilisation des clés CMK. Si c'est le cas, nous vous recommandons d'utiliser une clé CMK gérée par le client. Dans d'autres scénarios, vous pouvez utiliser une clé CMK gérée par AWS.

Tous les utilisateurs disposent d'une clé CMK gérée par AWS pour Amazon EFS, dont l'alias est aws/elasticfilesystem. AWS gère la politique de clé de cette clé CMK et vous ne pouvez pas la modifier. La création et le stockage des clés CMK gérées par AWS sont gratuits.

Si vous décidez d'utiliser une clé CMK gérée par le client pour chiffrer votre système de fichiers, sélectionnez l'alias de clé de la clé CMK gérée par le client que vous possédez. Vous pouvez également saisir l'Amazon Resource Name (ARN) d'une clé CMK gérée par le client détenue par un autre compte. Avec une clé CMK gérée par le client dont vous êtes propriétaire, vous contrôlez quels utilisateurs et services peuvent utiliser la clé par le biais de politiques de clé et d'octroi de clés.

Vous pouvez également contrôler la durée de vie et la rotation de ces clés en choisissant quand désactiver, réactiver, supprimer ou révoquer l'accès à celles-ci. Pour de plus amples informations sur la gestion de l'accès aux clés d'autres comptes AWS, consultez Modification d'une politique de clé dans le Guide du développeur AWS KMS.

Pour de plus amples informations sur la façon de gérer les clés CMK gérées par le client, consultez Clés principales client (CMK) dans le Guide du développeur AWS KMS.

Les sections suivantes expliquent comment créer un système de fichiers chiffrés à l'aide de l'AWS Management Console et de l'AWS CLI.