Enkripsi data saat tidak digunakan - FSx for ONTAP

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi data saat tidak digunakan

FSx NetApp Sistem file ONTAP dienkripsi saat istirahat dengan kunci yang dikelola menggunakanAWS Key Management Service(AWS KMS). Data dienkripsi secara otomatis sebelum ditulis ke sistem file, dan secara otomatis didekripsi saat dibaca. Proses ini ditangani secara transparan oleh Amazon FSx, sehingga Anda tidak perlu memodifikasi aplikasi Anda.

Amazon FSx menggunakan algoritme enkripsi AES-256 standar industri untuk mengenkripsi data dan metadata Amazon FSx saat istirahat. Untuk informasi selengkapnya, lihat Dasar-dasar kriptografi dalam Panduan Developer AWS Key Management Service.

catatan

Infrastruktur manajemen kunci AWS menggunakan Standar Pengolahan Informasi Federal (FIPS) 140-2 yang disetujui algoritma kriptografi. Infrastruktur ini selaras dengan rekomendasi Institut Standar dan Teknologi Nasional (NIST) 800-57.

Bagaimana Amazon FSx menggunakanAWS KMS

Amazon FSx terintegrasi dengan AWS KMS untuk manajemen kunci. Amazon FSx menggunakan kunci KMS untuk mengenkripsi sistem file Anda. Anda memilih kunci KMS yang digunakan untuk mengenkripsi dan mendekripsi sistem file (data dan metadata). Anda dapat mengaktifkan, me-nonaktifkan, atau mencabut izin di kunci KMS ini. Kunci KMS ini bisa jadi salah satu dari dua jenis berikut:

  • AWS-kunci KMS dikelola- Ini adalah kunci KMS default, dan gratis untuk digunakan.

  • Kunci KMS yang dikelola pelanggan— Ini adalah kunci KMS paling fleksibel untuk digunakan, karena Anda dapat mengonfigurasi kebijakan kunci dan izin untuk beberapa pengguna atau layanan. Untuk informasi selengkapnya tentang cara membuat kunci KMS, lihatMembuat kuncidi dalam AWS Key Management ServicePanduan Pengembang.

Jika Anda menggunakan kunci KMS yang dikelola pelanggan sebagai kunci KMS untuk enkripsi data file dan dekripsi, Anda dapat mengaktifkan rotasi kunci. Bila Anda mengaktifkan rotasi kunci, AWS KMS secara otomatis akan merotasi kunci Anda satu kali per tahun. Sebagai tambahan, dengan kunci KMS yang dikelola pelanggan, Anda dapat memilih kapan harus me-nonaktifkan, mengaktifkan kembali, menghapus, atau mencabut kunci KMS Anda kapan saja. Untuk informasi selengkapnya, lihatMemutarAWS KMS keysdanMengaktifkan dan menonaktifkan kuncidi dalamAWS Key Management ServicePanduan Pengembang.

Enkripsi dan dekripsi sistem file saat istirahat ditangani secara transparan. Namun,ID akun AWS yang khusus untuk Amazon FSx muncul di log AWS CloudTrail yang terkait dengan tindakan AWS KMS.

Kebijakan utama Amazon FSx untukAWS KMS

Kebijakan kunci adalah cara utama untuk mengendalikan akses ke kunci KMS. Untuk informasi selengkapnya tentang kebijakan kunci, lihat Menggunakan kebijakan kunci di AWS KMS dalam Panduan Developer AWS Key Management Service. Daftar berikut menjelaskan semua izin terkait AWS KMS yang didukung oleh Amazon FSx untuk sistem file yang dienkripsi saat istirahat:

  • kms:Enkripsi - (Opsional) Mengenkripsi plaintext ke ciphertext. Izin ini termasuk dalam kebijakan kunci default.

  • kms:Decrypt – (Wajib) Mendekripsi ciphertext. Ciphertext adalah plaintext yang telah dienkripsi sebelumnya. Izin ini termasuk dalam kebijakan kunci default.

  • KMS:ReEncrypt- (Opsional) Mengenkripsi data di sisi server dengan yang baruAWS KMS key, tanpa mengekspos plaintext data di sisi klien. Data pertama kali didekripsi dan kemudian dienkripsi ulang. Izin ini termasuk dalam kebijakan kunci default.

  • KMS:GenerateDataKeyWithoutPlaintext— (Diwajibkan) Mengembalikan kunci enkripsi data yang dienkripsi di bawah kunci KMS. Izin ini disertakan dalam kebijakan kunci default di bawahKMS:GenerateDataKey*.

  • KMS:CreateGrant— (Wajib) Menambahkan pemberian pada kunci untuk menentukan siapa yang dapat menggunakan kunci dan dengan syarat apa. Hibah adalah mekanisme izin lainnya untuk kebijakan kunci. Untuk informasi lebih lanjut tentang hibah, lihat Menggunakan Pemberian di Panduan Developer AWS Key Management Service. Izin ini termasuk dalam kebijakan kunci default.

  • KMS:DescribeKey— (Diwajibkan) Menyediakan informasi detail tentang kunci KMS yang ditentukan. Izin ini termasuk dalam kebijakan kunci default.

  • KMS:ListAliases— (Opsional) Cantumkan semua alias kunci di akun. Saat Anda menggunakan konsol untuk membuat sistem file terenkripsi, izin ini mengisi daftar kunci KMS. Kami merekomendasikan untuk menggunakan izin ini untuk memberikan pengalaman pengguna yang terbaik. Izin ini termasuk dalam kebijakan kunci default.