Membuat Sistem File Terenkripsi - Mengenkripsi Data File dengan Amazon Elastic File System

Membuat Sistem File Terenkripsi

Anda dapat membuat sistem file terenkripsi menggunakan Konsol Manajemen AWS, AWS CLI, Amazon EFS API, atau SDK AWS. Anda hanya dapat mengaktifkan enkripsi untuk sistem file saat Anda membuatnya.

Amazon EFS terintegrasi dengan AWS KMS untuk manajemen kunci dan menggunakan CMK untuk mengenkripsi sistem file. Metadata sistem file, seperti nama file, nama direktori, dan konten direktori, dienkripsi dan didekripsi menggunakan CMK yang dikelola AWS.

Konten file Anda, atau data file, dienkripsi dan didekripsi menggunakan CMK yang Anda pilih. CMK bisa berupa salah satu dari tiga jenis berikut:

  • CMK yang dikelola AWS untuk Amazon EFS

  • CMK yang dikelola pelanggan dari akun AWS Anda

  • CMK yang dikelola pelanggan dari akun AWS yang berbeda

Organisasi Anda mungkin tunduk pada kebijakan korporasi atau peraturan yang mewajibkan kontrol penuh dalam hal pembuatan, rotasi, penghapusan, serta kontrol akses dan kebijakan penggunaan untuk CMK. Jika demikian, kami sarankan Anda menggunakan CMK yang dikelola pelanggan. Dalam skenario lain, Anda dapat menggunakan CMK yang dikelola AWS.

Semua pengguna memiliki CMK yang dikelola AWS untuk Amazon EFS, yang aliasnya adalah aws/elasticfilesystem. AWS mengelola kebijakan kunci CMK ini dan Anda tidak dapat mengubahnya. Tidak ada biaya untuk membuat dan menyimpan CMK yang dikelola AWS.

Jika Anda memutuskan untuk menggunakan CMK yang dikelola pelanggan untuk mengenkripsi sistem file Anda, pilih alias kunci CMK yang dikelola pelanggan yang Anda miliki. Atau, Anda dapat memasukkan Amazon Resource Name (ARN) dari CMK yang dikelola pelanggan yang dimiliki oleh akun yang berbeda. Dengan CMK yang dikelola pelanggan yang Anda miliki, Anda mengontrol pengguna dan layanan mana yang dapat menggunakan kunci ini melalui kebijakan kunci dan pemberian kunci.

Anda juga mengontrol masa aktif dan rotasi kunci ini dengan memilih kapan harus menonaktifkan, mengaktifkan kembali, menghapus, atau mencabut akses ke kunci tersebut. Untuk informasi tentang mengelola akses ke kunci di akun AWS lainnya, lihat Mengubah kebijakan kunci dalam Panduan Developer AWS KMS.

Untuk informasi selengkapnya tentang cara mengelola CMK yang dikelola pelanggan, lihat Kunci utama pelanggan (CMK) dalam Panduan Developer AWS KMS.

Bagian berikut membahas cara membuat sistem file terenkripsi menggunakan Konsol Manajemen AWS dan menggunakan AWS CLI.