Mengelola akses ke sistem file terenkripsi - Amazon Elastic File System

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola akses ke sistem file terenkripsi

Menggunakan AmazonEFS, Anda dapat membuat sistem file terenkripsi. Amazon EFS mendukung dua bentuk enkripsi untuk sistem file, enkripsi dalam perjalanan dan enkripsi saat istirahat. Manajemen kunci apa pun yang perlu Anda lakukan hanya terkait dengan enkripsi saat istirahat. Amazon EFS secara otomatis mengelola kunci untuk enkripsi dalam perjalanan.

Jika Anda membuat sistem file yang menggunakan enkripsi saat istirahat, data dan metadata dienkripsi saat istirahat. Amazon EFS menggunakan AWS Key Management Service (AWS KMS) untuk manajemen kunci. Saat Anda membuat sistem file menggunakan enkripsi saat istirahat, Anda menentukan file AWS KMS key. KMSKuncinya bisa aws/elasticfilesystem ( Kunci yang dikelola AWS untuk AmazonEFS), atau bisa juga menjadi kunci yang dikelola pelanggan yang Anda kelola.

Data file — isi file Anda — dienkripsi saat istirahat menggunakan KMS kunci yang Anda tentukan saat Anda membuat sistem file Anda. Metadata—nama file, nama direktori, dan konten direktori—dienkripsi menggunakan kunci yang dikelola Amazon. EFS

EFS Kunci yang dikelola AWS Untuk sistem file Anda digunakan sebagai KMS kunci untuk mengenkripsi metadata dalam sistem file Anda, misalnya nama file, nama direktori, dan konten direktori. Anda memiliki kunci terkelola pelanggan yang digunakan untuk mengenkripsi data file (isi file Anda) saat istirahat.

Anda mengelola siapa yang memiliki akses ke KMS kunci Anda dan konten sistem file terenkripsi Anda. Akses ini dikendalikan oleh kebijakan AWS Identity and Access Management (IAM) dan AWS KMS. IAMkebijakan mengontrol akses pengguna ke EFS API tindakan Amazon. AWS KMS kebijakan kunci mengontrol akses pengguna ke KMS kunci yang Anda tentukan saat sistem file dibuat. Untuk informasi selengkapnya, lihat berikut ini:

Sebagai administrator kunci, Anda dapat mengimpor kunci eksternal. Anda juga dapat memodifikasi kunci dengan mengaktifkannya, menonaktifkannya, atau menghapusnya. Status KMS kunci yang Anda tentukan (saat Anda membuat sistem file dengan enkripsi saat istirahat) memengaruhi akses ke isinya. KMSKunci harus dalam enabled keadaan agar pengguna memiliki akses ke konten sistem encrypted-at-rest file yang dienkripsi menggunakan kunci itu.