Enkripsi saat Data Tidak Berpindah - Amazon FSx for Windows File Server
Bagaimana Amazon FSx menggunakan AWS KMSKebijakan Utama Amazon FSx untuk AWS KMS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi saat Data Tidak Berpindah

Semua sistem file Amazon FSx dienkripsi saat istirahat dengan kunci yang dikelola menggunakan AWS Key Management Service (AWS KMS). Data dienkripsi secara otomatis sebelum ditulis ke sistem file, dan secara otomatis didekripsi saat dibaca. Proses ini ditangani secara transparan oleh Amazon FSx, sehingga Anda tidak perlu memodifikasi aplikasi Anda.

Amazon FSx menggunakan algoritme enkripsi AES-256 standar industri untuk mengenkripsi data dan metadata Amazon FSx saat istirahat. Untuk informasi selengkapnya, lihat Dasar-dasar kriptografi dalam Panduan Developer AWS Key Management Service .

catatan

Infrastruktur manajemen AWS kunci menggunakan Federal Information Processing Standards (FIPS) 140-2 algoritma kriptografi yang disetujui. Infrastruktur ini konsisten dengan rekomendasi National Institute of Standard and Technology (NIST) 800-57.

Bagaimana Amazon FSx menggunakan AWS KMS

Amazon FSx terintegrasi dengan AWS KMS untuk manajemen kunci. Amazon FSx menggunakan AWS KMS key untuk mengenkripsi sistem file Anda. Anda memilih kunci KMS yang digunakan untuk mengenkripsi dan mendekripsi sistem file (baik data maupun metadata). Anda dapat mengaktifkan, menonaktifkan, atau mencabut hibah pada kunci KMS ini. Kunci KMS ini dapat menjadi salah satu dari dua jenis berikut:

  • Kunci yang dikelola AWS— Ini adalah kunci KMS default, dan gratis untuk digunakan.

  • Kunci terkelola pelanggan - Ini adalah kunci KMS yang paling fleksibel untuk digunakan, karena Anda dapat mengonfigurasi kebijakan dan hibah utamanya untuk beberapa pengguna atau layanan. Untuk informasi selengkapnya tentang membuat kunci terkelola pelanggan, lihat Membuat kunci di Panduan AWS Key Management Service Pengembang.

Jika Anda menggunakan kunci yang dikelola pelanggan sebagai kunci KMS Anda untuk enkripsi dan dekripsi data file, Anda dapat mengaktifkan rotasi kunci. Bila Anda mengaktifkan rotasi kunci, AWS KMS secara otomatis akan merotasi kunci Anda satu kali per tahun. Selain itu, dengan kunci yang dikelola pelanggan, Anda dapat memilih kapan harus menonaktifkan, mengaktifkan kembali, menghapus, atau mencabut akses ke kunci KMS Anda kapan saja. Untuk informasi selengkapnya, lihat Memutar AWS KMS keys di Panduan AWS Key Management Service Pengembang.

Enkripsi dan dekripsi sistem file saat istirahat ditangani secara transparan. Namun, Akun AWS ID khusus untuk Amazon FSx muncul di AWS CloudTrail log Anda yang terkait AWS KMS dengan tindakan.

Kebijakan Utama Amazon FSx untuk AWS KMS

Kebijakan utama adalah cara utama untuk mengontrol akses ke kunci KMS. Untuk informasi selengkapnya tentang kebijakan kunci, lihat Menggunakan kebijakan kunci di AWS KMS dalam Panduan Developer AWS Key Management Service . Daftar berikut menjelaskan semua izin AWS KMS terkait yang didukung oleh Amazon FSx untuk sistem file terenkripsi saat istirahat:

  • kms:Encrypt – (Opsional) Mengenkripsi plaintext ke ciphertext. Izin ini termasuk dalam kebijakan kunci default.

  • kms:Decrypt – (Wajib) Mendekripsi ciphertext. Ciphertext adalah plaintext yang telah dienkripsi sebelumnya. Izin ini termasuk dalam kebijakan kunci default.

  • kms: ReEncrypt — (Opsional) Mengenkripsi data di sisi server dengan kunci KMS baru, tanpa mengekspos plaintext data di sisi klien. Data pertama kali didekripsi dan kemudian dienkripsi ulang. Izin ini termasuk dalam kebijakan kunci default.

  • kms: GenerateDataKeyWithoutPlaintext — (Diperlukan) Mengembalikan kunci enkripsi data yang dienkripsi di bawah kunci KMS. Izin ini disertakan dalam kebijakan kunci default di bawah kms: GenerateDataKey *.

  • kms: CreateGrant — (Diperlukan) Menambahkan hibah ke kunci untuk menentukan siapa yang dapat menggunakan kunci dan dalam kondisi apa. Hibah adalah mekanisme izin lainnya untuk kebijakan kunci. Untuk informasi selengkapnya tentang hibah, lihat Menggunakan hibah di Panduan AWS Key Management Service Pengembang. Izin ini termasuk dalam kebijakan kunci default.

  • kms: DescribeKey - (Diperlukan) Memberikan informasi rinci tentang kunci KMS yang ditentukan. Izin ini termasuk dalam kebijakan kunci default.

  • kms: ListAliases — (Opsional) Daftar semua alias kunci di akun. Saat Anda menggunakan konsol untuk membuat sistem file terenkripsi, izin ini mengisi daftar kunci KMS. Kami merekomendasikan untuk menggunakan izin ini untuk memberikan pengalaman pengguna yang terbaik. Izin ini termasuk dalam kebijakan kunci default.