Melakukan tindakan administratif pada kunci Amazon EFS KMS Topik terkait

Mengelola akses ke sistem file terenkripsi

Menggunakan Amazon EFS, Anda dapat membuat sistem file terenkripsi. Amazon EFS mendukung dua bentuk enkripsi untuk sistem file, enkripsi dalam perjalanan dan enkripsi saat istirahat. Manajemen kunci apa pun yang perlu Anda lakukan hanya terkait dengan enkripsi saat istirahat. Amazon EFS secara otomatis mengelola kunci untuk enkripsi dalam perjalanan.

Jika Anda membuat sistem file yang menggunakan enkripsi saat istirahat, data dan metadata dienkripsi saat istirahat. Amazon EFS menggunakan AWS Key Management Service (AWS KMS) untuk manajemen kunci. Saat Anda membuat sistem file menggunakan enkripsi saat istirahat, Anda menentukan file AWS KMS key. Kunci KMS dapat berupa aws/elasticfilesystem ( Kunci yang dikelola AWS untuk Amazon EFS), atau dapat menjadi kunci yang dikelola pelanggan yang Anda kelola.

Data file — isi file Anda — dienkripsi saat istirahat menggunakan kunci KMS yang Anda tentukan saat Anda membuat sistem file Anda. Metadata—nama file, nama direktori, dan konten direktori—dienkripsi menggunakan kunci yang dikelola Amazon EFS.

EFS Kunci yang dikelola AWS untuk sistem file Anda digunakan sebagai kunci KMS untuk mengenkripsi metadata dalam sistem file Anda, misalnya nama file, nama direktori, dan konten direktori. Anda memiliki kunci terkelola pelanggan yang digunakan untuk mengenkripsi data file (isi file Anda) saat istirahat.

Anda mengelola siapa yang memiliki akses ke kunci KMS Anda dan konten sistem file terenkripsi Anda. Akses ini dikendalikan oleh kebijakan AWS Identity and Access Management (IAM) dan AWS KMS. Kebijakan IAM mengontrol akses pengguna ke tindakan Amazon EFS API. AWS KMS kebijakan kunci mengontrol akses pengguna ke kunci KMS yang Anda tentukan saat sistem file dibuat. Untuk informasi selengkapnya, lihat hal berikut:

Pengguna IAM di Panduan Pengguna IAM
Menggunakan kebijakan kunci dalam AWS KMS dalam Panduan Developer AWS Key Management Service
Menggunakan hibah di Panduan AWS Key Management Service Pengembang.

Sebagai administrator kunci, Anda dapat mengimpor kunci eksternal. Anda juga dapat memodifikasi kunci dengan mengaktifkannya, menonaktifkannya, atau menghapusnya. Status kunci KMS yang Anda tentukan (saat Anda membuat sistem file dengan enkripsi saat istirahat) memengaruhi akses ke isinya. Kunci KMS harus dalam enabled keadaan agar pengguna memiliki akses ke konten sistem encrypted-at-rest file yang dienkripsi menggunakan kunci itu.

Melakukan tindakan administratif pada kunci Amazon EFS KMS

Setelah itu, Anda dapat menemukan cara mengaktifkan, menonaktifkan, atau menghapus kunci KMS yang terkait dengan sistem file Amazon EFS Anda. Anda juga dapat mempelajari perilaku yang diharapkan dari sistem file Anda ketika Anda melakukan tindakan ini.

Menonaktifkan, menghapus, atau mencabut akses ke kunci KMS untuk sistem file

Anda dapat menonaktifkan atau menghapus kunci KMS yang dikelola pelanggan, atau Anda dapat mencabut akses Amazon EFS ke kunci KMS Anda. Menonaktifkan dan mencabut akses Amazon EFS ke kunci Anda adalah tindakan yang dapat dibalik. Berhati-hatilah saat menghapus kunci KMS. Menghapus kunci KMS adalah tindakan yang tidak dapat diubah.

Jika Anda menonaktifkan atau menghapus kunci KMS yang digunakan untuk sistem file yang dipasang, berikut ini benar:

Kunci KMS itu tidak dapat digunakan sebagai kunci untuk sistem encrypted-at-rest file baru.
Sistem encrypted-at-rest file yang ada yang menggunakan kunci KMS berhenti bekerja setelah jangka waktu tertentu.

Jika Anda mencabut akses Amazon EFS ke hibah untuk sistem file terpasang yang ada, perilakunya sama seperti jika Anda menonaktifkan atau menghapus kunci KMS terkait. Dengan kata lain, sistem encrypted-at-rest file terus berfungsi, tetapi berhenti bekerja setelah jangka waktu tertentu.

Anda dapat mencegah akses ke sistem encrypted-at-rest file terpasang yang memiliki kunci KMS yang Anda nonaktifkan, hapus, atau cabut akses Amazon EFS. Untuk melakukan ini, lepaskan sistem file dan hapus target pemasangan Amazon EFS Anda.

Anda tidak dapat segera menghapus AWS KMS key, tetapi Anda dapat menjadwalkannya untuk dihapus dalam 7-30 hari. Sementara kunci KMS dijadwalkan untuk dihapus, Anda tidak dapat menggunakannya untuk operasi kriptografi. Anda juga dapat membatalkan penghapusan terjadwal kunci KMS.

Untuk mempelajari cara menonaktifkan dan mengaktifkan kembali kunci KMS yang dikelola pelanggan, lihat Mengaktifkan dan menonaktifkan kunci di Panduan Pengembang. AWS Key Management Service Untuk mempelajari cara menjadwalkan penghapusan kunci KMS yang dikelola pelanggan, lihat Menghapus kunci KMS di Panduan Pengembang. AWS Key Management Service

Untuk informasi selengkapnya tentang data terenkripsi dan metadata saat istirahat di Amazon EFS, lihat. Enkripsi data di Amazon EFS
Misalnya kebijakan utama, lihatKebijakan utama Amazon EFS untuk AWS KMS.
Untuk daftar entri AWS CloudTrail log yang terkait dengan sistem file terenkripsi, lihat. Entri file log Amazon EFS untuk sistem encrypted-at-rest file
Untuk informasi selengkapnya tentang menentukan akun dan layanan apa yang memiliki akses ke kunci KMS Anda, lihat Menentukan akses ke AWS KMS key dalam Panduan AWS Key Management Service Pengembang.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Mengelola penyimpanan sistem file

Pengukuran sistem file