Mengelola akses ke sistem file terenkripsi - Amazon Elastic File System

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola akses ke sistem file terenkripsi

Dengan menggunakan Amazon EFS, Anda dapat membuat sistem file terenkripsi. Amazon EFS mensupport dua bentuk enkripsi untuk sistem file, enkripsi saat transit dan enkripsi saat istirahat. Manajemen kunci apa pun yang perlu Anda lakukan hanya terkait dengan enkripsi saat istirahat. Amazon EFS secara otomatis mengelola kunci untuk enkripsi saat transit.

Jika Anda membuat sistem file yang menggunakan enkripsi saat istirahat, data dan metadata dienkripsi saat istirahat. Amazon EFSAWS Key Management Service(AWS KMS) untuk manajemen kunci. Saat Anda membuat sistem file menggunakan enkripsi saat istirahat, Anda menentukanAWS KMS key. Kunci KMSaws/elasticfilesystem(yangKunci yang dikelola AWSuntuk Amazon EFS), atau dapat menjadi kunci terkelola pelanggan yang Anda kelola.

Data file—isi file Anda—dienkripsi saat diam menggunakan kunci KMS yang Anda tentukan saat membuat sistem file. Metadata—nama file, nama direktori, dan konten direktori—dienkripsi menggunakan kunci yang dikelola Amazon EFS.

EFSKunci yang dikelola AWSuntuk sistem file Anda digunakan sebagai kunci KMS untuk mengenkripsi metadata dalam sistem file Anda, misalnya nama file, nama direktori, dan isi direktori. Anda memiliki kunci yang dikelola pelanggan yang digunakan untuk mengenkripsi data file (isi file Anda) saat istirahat.

Anda mengelola siapa yang memiliki akses ke kunci KMS Anda dan isi sistem file terenkripsi Anda. Akses ini dikendalikan oleh keduanyaAWS Identity and Access Management(IAM) kebijakan danAWS KMS. Kebijakan IAM mengontrol akses pengguna ke tindakan API Amazon EFS.AWS KMSkebijakan kunci mengontrol akses pengguna ke kunci KMS yang Anda tentukan saat sistem file dibuat. Untuk informasi selengkapnya, lihat yang berikut:

Sebagai administrator kunci, Anda dapat mengimpor kunci eksternal. Anda juga dapat memodifikasi kunci dengan mengaktifkannya, menonaktifkannya, atau menghapusnya. Keadaan kunci KMS yang Anda tentukan (saat Anda membuat sistem file dengan enkripsi saat istirahat) memengaruhi akses ke isinya. Kunci KMS harus berada dienablednegara bagi pengguna untuk memiliki akses ke isi dari encrypted-at-rest sistem file yang dienkripsi menggunakan kunci itu.

Melakukan tindakan administratif pada kunci Amazon EFS KMS

Setelah itu, Anda dapat menemukan cara mengaktifkan, menonaktifkan, atau menghapus kunci KMS yang terkait dengan sistem file Amazon EFS Anda. Anda juga dapat mempelajari tentang perilaku yang diharapkan dari sistem file Anda ketika Anda melakukan tindakan ini.

Menonaktifkan, menghapus, atau mencabut akses ke kunci KMS untuk sistem file

Anda dapat menonaktifkan atau menghapus kunci KMS yang dikelola pelanggan, atau Anda dapat mencabut akses Amazon EFS ke kunci KMS Anda. Menonaktifkan dan mencabut akses Amazon EFS ke kunci Anda adalah tindakan yang dapat dibalik. Berhati-hatilah saat menghapus kunci KMS. Menghapus kunci KMS adalah tindakan ireversibel.

Jika Anda menonaktifkan atau menghapus kunci KMS yang digunakan untuk sistem file yang terpasang, berikut ini benar:

  • Kunci KMS itu tidak dapat digunakan sebagai kunci untuk yang baru encrypted-at-rest sistem file

  • ADA encrypted-at-rest sistem file yang menggunakan kunci KMS berhenti bekerja setelah jangka waktu tertentu.

Jika Anda mencabut akses Amazon EFS ke hibah untuk sistem file terpasang yang ada, perilakunya sama seperti jika Anda menonaktifkan atau menghapus kunci KMS terkait. Dengan kata lain, encrypted-at-rest sistem file terus berfungsi, tetapi berhenti bekerja setelah jangka waktu tertentu.

Anda dapat mencegah akses ke mount encrypted-at-rest sistem file yang memiliki kunci KMS yang Anda nonaktifkan, dihapus, atau dicabut akses Amazon EFS. Untuk melakukannya, lepaskan sistem file dan hapus target pemasangan Amazon EFS Anda.

Anda tidak dapat segera menghapusAWS KMS key, tetapi Anda dapat menjadwalkannya untuk dihapus dalam 7-30 hari. Sementara kunci KMS dijadwalkan untuk penghapusan, Anda tidak dapat menggunakannya untuk operasi kriptografi. Anda juga dapat membatalkan penghapusan terjadwal kunci KMS.

Untuk mempelajari cara menonaktifkan dan mengaktifkan kembali kunci KMS yang dikelola pelanggan, lihatMengaktifkan dan menonaktifkan kuncidi dalamAWS Key Management ServicePanduan Developer. Untuk mempelajari cara menjadwalkan penghapusan kunci KMS yang dikelola pelanggan, lihatMenghapus kunci KMSdi dalamAWS Key Management ServicePanduan Developer.