Mengenkripsi data saat istirahat - Amazon Elastic File System

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengenkripsi data saat istirahat

Anda dapat membuat sistem file terenkripsi menggunakan, file AWS Management Console AWS CLI, atau terprogram melalui Amazon EFS API atau salah satu SDK. AWS Organisasi Anda mungkin memerlukan enkripsi semua data yang sesuai dengan klasifikasi tertentu atau yang diasosiasikan dengan aplikasi, beban kerja, atau lingkungan tertentu.

Setelah Anda membuat sistem file EFS, Anda tidak dapat mengubah pengaturan enkripsi. Ini berarti Anda tidak dapat memodifikasi sistem file yang tidak terenkripsi untuk membuatnya terenkripsi. Sebagai gantinya, Anda perlu membuat sistem file baru yang dienkripsi.

catatan

Infrastruktur manajemen AWS kunci menggunakan Federal Information Processing Standards (FIPS) 140-2 algoritma kriptografi yang disetujui. Infrastruktur ini konsisten dengan rekomendasi National Institute of Standard and Technology (NIST) 800-57.

Menegakkan pembuatan sistem file Amazon EFS yang dienkripsi saat istirahat

Anda dapat menggunakan kebijakan berbasis identitas elasticfilesystem:Encrypted IAM condition key in AWS Identity and Access Management (IAM) untuk mengontrol apakah pengguna dapat membuat sistem file Amazon EFS yang dienkripsi saat istirahat. Untuk informasi selengkapnya tentang menggunakan kunci kondisi, lihatContoh: Menegakkan pembuatan sistem file terenkripsi.

Anda juga dapat menentukan kebijakan kontrol layanan (SCP) di dalam AWS Organizations untuk menerapkan enkripsi EFS untuk semua Akun AWS s di organisasi Anda. Untuk informasi selengkapnya tentang kebijakan kontrol layanan AWS Organizations, lihat Kebijakan kontrol layanan di Panduan AWS Organizations Pengguna.

Mengenkripsi sistem file saat istirahat menggunakan konsol

Saat Anda membuat sistem file baru menggunakan konsol Amazon EFS, enkripsi saat istirahat diaktifkan secara default. Prosedur berikut menjelaskan cara mengaktifkan enkripsi untuk sistem file baru saat Anda membuatnya dari konsol.

catatan

Enkripsi saat istirahat tidak diaktifkan secara default saat membuat sistem file baru menggunakan AWS CLI, API, dan SDK. Untuk informasi selengkapnya, lihat Membuat sistem file dengan menggunakan AWS CLI.

Untuk mengenkripsi sistem file baru menggunakan konsol EFS
  1. Buka konsol Amazon Elastic File System di https://console.aws.amazon.com/efs/.

  2. Pilih Buat sistem file untuk membuka kotak dialog Buat sistem file.

  3. (Opsional) Masukkan Nama untuk sistem file Anda.

  4. Untuk Virtual Private Cloud (VPC), pilih VPC Anda, atau tetapkan ke VPC default Anda.

  5. Pilih Buat untuk membuat sistem file yang menggunakan pengaturan yang direkomendasikan layanan berikut:

    • Enkripsi data saat istirahat diaktifkan menggunakan default Anda AWS KMS key untuk Amazon EFS (aws/elasticfilesystem).

    • Pencadangan otomatis diaktifkan — Untuk informasi selengkapnya, lihat. Mencadangkan sistem file Amazon EFS Anda

    • Target pemasangan — Amazon EFS membuat target mount dengan pengaturan berikut:

      • Terletak di setiap Availability Zone di Wilayah AWS mana sistem file dibuat.

      • Terletak di subnet default VPC yang Anda pilih.

      • Gunakan grup keamanan default VPC. Anda dapat mengelola grup keamanan setelah sistem file dibuat.

      Untuk informasi selengkapnya, lihat Mengelola aksesibilitas jaringan sistem file.

    • Mode kinerja Tujuan Umum - Untuk informasi selengkapnya, lihatMode kinerja.

    • Mode throughput elastis — Untuk informasi lebih lanjut, lihatMode throughput.

    • Manajemen siklus hidup diaktifkan dengan kebijakan 30 hari — Untuk informasi selengkapnya, lihat. Mengelola penyimpanan sistem file

  6. Halaman sistem File muncul dengan spanduk di bagian atas yang menunjukkan status sistem file yang Anda buat. Tautan untuk mengakses halaman detail sistem file muncul di spanduk saat sistem file tersedia.

Anda sekarang memiliki sistem encrypted-at-rest file baru.

Cara kerja enkripsi saat istirahat

Dalam sistem file yang dienkripsi, data dan metadata dienkripsi secara otomatis sebelum ditulis ke sistem file. Demikian pula, ketika data dan metadata terbaca, mereka secara otomatis didekripsi sebelum ditampilkan ke aplikasi. Proses ini ditangani secara transparan oleh Amazon EFS, jadi Anda tidak perlu memodifikasi aplikasi Anda.

Amazon EFS menggunakan algoritma enkripsi AES-256 standar industri untuk mengenkripsi data EFS dan metadata saat istirahat. Untuk informasi selengkapnya, lihat Dasar-dasar kriptografi di Panduan AWS Key Management Service Pengembang.

Bagaimana Amazon EFS menggunakan AWS KMS

Amazon EFS terintegrasi dengan AWS Key Management Service (AWS KMS) untuk manajemen kunci. Amazon EFS menggunakan kunci yang dikelola pelanggan untuk mengenkripsi sistem file Anda dengan cara berikut:

  • Mengenkripsi metadata saat istirahat — Amazon EFS menggunakan for Kunci yang dikelola AWS Amazon EFS,aws/elasticfilesystem, untuk mengenkripsi dan mendekripsi metadata sistem file (yaitu, nama file, nama direktori, dan konten direktori).

  • Mengenkripsi data file saat istirahat — Anda memilih kunci yang dikelola pelanggan yang digunakan untuk mengenkripsi dan mendekripsi data file (yaitu, isi file Anda). Anda dapat mengaktifkan, menonaktifkan, atau mencabut hibah pada kunci yang dikelola pelanggan ini. Kunci yang dikelola pelanggan ini dapat menjadi salah satu dari dua jenis berikut:

    • Kunci yang dikelola AWS untuk Amazon EFS — Ini adalah kunci terkelola pelanggan default,aws/elasticfilesystem. Anda tidak dikenakan biaya untuk membuat dan menyimpan kunci yang dikelola pelanggan, tetapi ada biaya penggunaan. Untuk mempelajari lebih lanjut, lihat AWS Key Management Service harga.

    • Kunci terkelola pelanggan - Ini adalah kunci KMS yang paling fleksibel untuk digunakan, karena Anda dapat mengonfigurasi kebijakan dan hibah utamanya untuk beberapa pengguna atau layanan. Untuk informasi selengkapnya tentang membuat kunci terkelola pelanggan, lihat Membuat kunci di Panduan AWS Key Management Service Pengembang.

      Jika Anda menggunakan kunci yang dikelola pelanggan untuk enkripsi dan dekripsi data file, Anda dapat mengaktifkan rotasi kunci. Ketika Anda mengaktifkan rotasi kunci, AWS KMS secara otomatis memutar kunci Anda sekali per tahun. Selain itu, dengan kunci yang dikelola pelanggan, Anda dapat memilih kapan harus menonaktifkan, mengaktifkan kembali, menghapus, atau mencabut akses ke kunci yang dikelola pelanggan kapan saja. Untuk informasi selengkapnya, lihat Menonaktifkan, menghapus, atau mencabut akses ke kunci KMS untuk sistem file.

penting

Amazon EFS hanya menerima kunci terkelola pelanggan simetris. Anda tidak dapat menggunakan kunci terkelola pelanggan asimetris dengan Amazon EFS.

Enkripsi data dan dekripsi saat istirahat ditangani secara transparan. Namun, ID AWS akun khusus untuk Amazon EFS muncul di AWS CloudTrail log Anda yang terkait dengan AWS KMS tindakan. Untuk informasi selengkapnya, lihat Entri file log Amazon EFS untuk sistem encrypted-at-rest file.

Kebijakan utama Amazon EFS untuk AWS KMS

Kebijakan utama adalah cara utama untuk mengontrol akses ke kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang kebijakan utama, lihat Kebijakan utama AWS KMS di Panduan AWS Key Management Service Pengembang.Daftar berikut menjelaskan semua izin AWS KMS terkait —yang diperlukan atau didukung oleh Amazon EFS untuk sistem file terenkripsi saat istirahat:

  • kms:Encrypt – (Opsional) Mengenkripsi plaintext ke ciphertext. Izin ini termasuk dalam kebijakan kunci default.

  • kms:Decrypt – (Wajib) Mendekripsi ciphertext. Ciphertext adalah plaintext yang telah dienkripsi sebelumnya. Izin ini termasuk dalam kebijakan kunci default.

  • kms: ReEncrypt — (Opsional) Mengenkripsi data di sisi server dengan kunci yang dikelola pelanggan baru, tanpa mengekspos plaintext data di sisi klien. Data pertama kali didekripsi dan kemudian dienkripsi ulang. Izin ini termasuk dalam kebijakan kunci default.

  • kms: GenerateDataKeyWithoutPlaintext — (Diperlukan) Mengembalikan kunci enkripsi data yang dienkripsi di bawah kunci yang dikelola pelanggan. Izin ini disertakan dalam kebijakan kunci default di bawah kms: GenerateDataKey *.

  • kms: CreateGrant — (Diperlukan) Menambahkan hibah ke kunci untuk menentukan siapa yang dapat menggunakan kunci dan dalam kondisi apa. Hibah adalah mekanisme izin lainnya untuk kebijakan kunci. Untuk informasi lebih lanjut tentang hibah, lihat Menggunakan Pemberian di Panduan Developer AWS Key Management Service . Izin ini termasuk dalam kebijakan kunci default.

  • kms: DescribeKey — (Diperlukan) Memberikan informasi rinci tentang kunci terkelola pelanggan yang ditentukan. Izin ini termasuk dalam kebijakan kunci default.

  • kms: ListAliases — (Opsional) Daftar semua alias kunci di akun. Saat Anda menggunakan konsol untuk membuat sistem file terenkripsi, izin ini mengisi daftar kunci Select KMS. Kami merekomendasikan untuk menggunakan izin ini untuk memberikan pengalaman pengguna yang terbaik. Izin ini termasuk dalam kebijakan kunci default.

Kunci yang dikelola AWS untuk kebijakan Amazon EFS KMS

Kebijakan KMS JSON untuk Kunci yang dikelola AWS Amazon EFS, aws/elasticfilesystem adalah sebagai berikut:

{ "Version": "2012-10-17", "Id": "auto-elasticfilesystem-1", "Statement": [ { "Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:CreateGrant", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com", "kms:CallerAccount": "111122223333" } } }, { "Sid": "Allow direct access to key metadata to the account", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": [ "kms:Describe*", "kms:Get*", "kms:List*", "kms:RevokeGrant" ], "Resource": "*" } ] }