Application du chiffrement des données au repos - Chiffrement des données de fichier avec Amazon Elastic File System

Application du chiffrement des données au repos

Le chiffrement a un effet minime sur la latence et le débit des I/O. Le chiffrement et le déchiffrement sont transparents pour les utilisateurs, les applications et les services. Toutes les données et métadonnées sont chiffrées par Amazon EFS en votre nom avant d'être écrites sur le disque et déchiffrées avant d'être lues par les clients. Il n'est pas nécessaire de modifier les outils, les applications ou les services du client pour accéder à un système de fichiers chiffrés.

Votre organisation peut exiger le chiffrement de toutes les données qui répondent à une classification spécifique ou qui sont associées à une application, une charge de travail ou un environnement spécifique. Vous pouvez utiliser des politiques basées sur l'identité AWS Identity and Access Management (IAM) pour appliquer le chiffrement des données au repos pour les ressources de votre système de fichiers Amazon EFS. En utilisant une clé de condition IAM, vous pouvez empêcher les utilisateurs de créer des systèmes de fichiers EFS non chiffrés.

Par exemple, une politique IAM qui autorise explicitement les utilisateurs à créer uniquement des systèmes de fichiers EFS chiffrés utilise la combinaison suivante d'effet, d'action et de condition :

  • Le Effect est Allow.

  • Le Action est elasticfilesystem:CreateFileSystem.

  • Le Condition elasticfilesystem:Encrypted est true.

L'exemple suivant illustre une politique basée sur l'identité IAM qui autorise les principaux à créer uniquement des systèmes de fichiers chiffrés.

{
  “Version”: “2012-10-17”,
  “Statement”: [
    {
      “Sid”: “VisualEditior0”,
      “Effect”: “Allow”,
      “Action”: “elasticfilesystem:CreateFileSystem”,
      “Condition”: {
        “Bool”: {
          “elasticfilesystem:Encrypted”: “true”
        }
      },
      “Resource”: “*”
    }
}

L'attribut Resource défini sur * signifie que la politique IAM s'applique à toutes les ressources EFS créées. Vous pouvez ajouter des attributs conditionnels supplémentaires basés sur des identifications afin de les appliquer uniquement pour un sous-ensemble de ressources EFS nécessitant une classification des données.

Vous pouvez également appliquer la création de systèmes de fichiers Amazon EFS chiffrés au niveau d'AWS Organizations en utilisant des stratégies de contrôle des services pour tous les comptes AWS ou unités d'organisation de votre organisation. Pour de plus amples informations sur les stratégies de contrôle des services dans AWS Organizations, consultez Stratégies de contrôle des services dans le Guide de l'utilisateur AWS Organizations.