Mengenkripsi data saat istirahat - FSx for Lustre
Cara kerja enkripsi saat istirahatAWS KMS manajemen kunci

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengenkripsi data saat istirahat

Enkripsi data saat istirahat diaktifkan secara otomatis saat Anda membuat sistem file Amazon FSx for Lustre melalui AWS CLI,, atau secara terprogram AWS Management Console melalui Amazon FSx API atau salah satu SDK. AWS Organisasi Anda mungkin memerlukan enkripsi semua data yang sesuai dengan klasifikasi tertentu atau yang diasosiasikan dengan aplikasi, beban kerja, atau lingkungan tertentu. Jika Anda membuat sistem file persisten, Anda dapat menentukan AWS KMS kunci untuk mengenkripsi data. Jika Anda membuat sistem file scratch, data tersebut dienkripsi menggunakan kunci yang dikelola oleh Amazon FSx. Untuk informasi selengkapnya tentang membuat sistem file yang dienkripsi saat istirahat menggunakan konsol, lihat Membuat sistem file Amazon FSx for Lustre.

catatan

Infrastruktur manajemen AWS kunci menggunakan Federal Information Processing Standards (FIPS) 140-2 algoritma kriptografi yang disetujui. Infrastruktur ini konsisten dengan rekomendasi National Institute of Standard and Technology (NIST) 800-57.

Untuk informasi lebih lanjut tentang bagaimana FSx for AWS KMS Lustre menggunakan, lihat. Bagaimana Amazon FSx for Lustre menggunakan AWS KMS

Cara kerja enkripsi saat istirahat

Dalam sistem file yang dienkripsi, data dan metadata dienkripsi secara otomatis sebelum ditulis ke sistem file. Demikian pula, ketika data dan metadata terbaca, mereka secara otomatis didekripsi sebelum ditampilkan ke aplikasi. Proses ini ditangani secara transparan oleh Amazon FSx for Lustre, sehingga Anda tidak perlu memodifikasi aplikasi Anda.

Amazon FSx for Lustre menggunakan enkripsi algoritme standar industri AES-256 untuk mengenkripsi sistem file data at rest. Untuk informasi selengkapnya, lihat Dasar-dasar Kriptografi di Panduan Developer AWS Key Management Service .

Bagaimana Amazon FSx for Lustre menggunakan AWS KMS

Amazon FSx for Lustre mengenkripsi data secara otomatis sebelum ditulis ke sistem file, dan secara otomatis mendekripsi data saat dibaca. Data dienkripsi menggunakan cipher blok XTS-AES-256. Semua sistem file FSx for Lustre scratch dienkripsi saat istirahat dengan kunci yang dikelola oleh. AWS KMS Amazon FSx for Lustre AWS KMS terintegrasi dengan manajemen kunci. Kunci yang digunakan untuk mengenkripsi sistem file scratch saat istirahat unik per sistem file nya, dan akan hancur setelah sistem file dihapus. Untuk sistem file persisten, Anda memilih kunci KMS yang digunakan untuk mengenkripsi dan mendekripsi data. Anda menentukan kunci mana yang akan digunakan saat Anda membuat sistem file tetap. Anda dapat mengaktifkan, menonaktifkan, atau mencabut hibah pada kunci KMS ini. Kunci KMS ini dapat menjadi salah satu dari dua jenis berikut:

  • Kunci yang dikelola AWS untuk Amazon FSx - Ini adalah kunci KMS default. Anda tidak dikenakan biaya untuk membuat dan menyimpan kunci KMS, tetapi ada biaya penggunaan. Untuk informasi selengkapnya, lihat harga AWS Key Management Service.

  • Kunci terkelola pelanggan - Ini adalah kunci KMS yang paling fleksibel untuk digunakan, karena Anda dapat mengonfigurasi kebijakan dan hibah utamanya untuk beberapa pengguna atau layanan. Untuk informasi selengkapnya tentang membuat kunci terkelola pelanggan, lihat Membuat kunci di Panduan AWS Key Management Service Pengembang.

Jika Anda menggunakan kunci yang dikelola pelanggan sebagai kunci KMS Anda untuk enkripsi dan dekripsi data file, Anda dapat mengaktifkan rotasi kunci. Ketika Anda mengaktifkan rotasi kunci, AWS KMS secara otomatis memutar kunci Anda sekali per tahun. Selain itu, dengan kunci yang dikelola pelanggan, Anda dapat memilih kapan harus menonaktifkan, mengaktifkan kembali, menghapus, atau mencabut akses ke kunci yang dikelola pelanggan kapan saja.

penting

Amazon FSx hanya menerima kunci KMS enkripsi simetris. Anda tidak dapat menggunakan kunci KMS asimetris dengan Amazon FSx.

Kebijakan utama Amazon FSx untuk AWS KMS

Kebijakan utama adalah cara utama untuk mengontrol akses ke kunci KMS. Untuk informasi selengkapnya tentang kebijakan kunci, lihat Menggunakan kebijakan kunci di AWS KMS dalam Panduan Developer AWS Key Management Service . Daftar berikut menjelaskan semua izin terkait AWS KMS yang didukung oleh Amazon FSx untuk sistem file at rest terenkripsi:

  • kms:Encrypt – (Opsional) Mengenkripsi plaintext ke ciphertext. Izin ini termasuk dalam kebijakan kunci default.

  • kms:Decrypt – (Wajib) Mendekripsi ciphertext. Ciphertext adalah plaintext yang telah dienkripsi sebelumnya. Izin ini termasuk dalam kebijakan kunci default.

  • kms: ReEncrypt — (Opsional) Mengenkripsi data di sisi server dengan kunci KMS baru, tanpa mengekspos plaintext data di sisi klien. Data pertama kali didekripsi dan kemudian dienkripsi ulang. Izin ini termasuk dalam kebijakan kunci default.

  • kms: GenerateDataKeyWithoutPlaintext — (Diperlukan) Mengembalikan kunci enkripsi data yang dienkripsi di bawah kunci KMS. Izin ini disertakan dalam kebijakan kunci default di bawah kms: GenerateDataKey *.

  • kms: CreateGrant — (Diperlukan) Menambahkan hibah ke kunci untuk menentukan siapa yang dapat menggunakan kunci dan dalam kondisi apa. Hibah adalah mekanisme izin lainnya untuk kebijakan kunci. Untuk informasi selengkapnya tentang hibah, lihat Menggunakan hibah di Panduan AWS Key Management Service Pengembang. Izin ini termasuk dalam kebijakan kunci default.

  • kms: DescribeKey - (Diperlukan) Memberikan informasi rinci tentang kunci KMS yang ditentukan. Izin ini termasuk dalam kebijakan kunci default.

  • kms: ListAliases — (Opsional) Daftar semua alias kunci di akun. Saat Anda menggunakan konsol untuk membuat sistem file terenkripsi, izin ini mengisi daftar untuk memilih kunci KMS. Kami merekomendasikan untuk menggunakan izin ini untuk memberikan pengalaman pengguna yang terbaik. Izin ini termasuk dalam kebijakan kunci default.