Memberlakukan Enkripsi Data at Rest
Enkripsi memiliki efek minimal pada latensi dan throughput I/O. Enkripsi dan dekripsi akan terlihat untuk pengguna, aplikasi, dan layanan. Semua data dan metadata dienkripsi oleh Amazon EFS atas nama Anda sebelum ditulis ke disk dan didekripsi sebelum dibaca oleh klien. Anda tidak perlu mengubah alat klien, aplikasi, atau layanan untuk mengakses sistem file terenkripsi.
Organisasi Anda mungkin mewajibkan enkripsi terhadap semua data yang memenuhi klasifikasi tertentu atau terkait dengan aplikasi, beban kerja, atau lingkungan tertentu. Anda dapat menggunakan kebijakan berbasis identitas AWS Identity and Access Management
Misalnya, kebijakan IAM yang secara eksplisit memungkinkan pengguna untuk membuat hanya sistem file EFS terenkripsi akan menggunakan kombinasi efek, tindakan, dan kondisi berikut:
EffectadalahAllow.Actionadalahelasticfilesystem:CreateFileSystem.Condition elasticfilesystem:Encryptedadalahtrue.
Contoh berikut menggambarkan kebijakan berbasis identitas IAM yang mengotorisasi principal untuk membuat hanya sistem file terenkripsi.
{ “Version”: “2012-10-17”, “Statement”: [ { “Sid”: “VisualEditior0”, “Effect”: “Allow”, “Action”: “elasticfilesystem:CreateFileSystem”, “Condition”: { “Bool”: { “elasticfilesystem:Encrypted”: “true” } }, “Resource”: “*” } }
Atribut Resource yang diatur ke * berarti bahwa kebijakan IAM berlaku untuk semua sumber daya EFS yang dibuat. Anda dapat menambahkan atribut kondisional tambahan berdasarkan tag guna memberlakukannya hanya untuk subset sumber daya EFS dengan kebutuhan klasifikasi data.
Anda juga dapat menerapkan pembuatan sistem file Amazon EFS terenkripsi di tingkat AWS Organizations dengan menggunakan kebijakan kontrol layanan untuk semua Akun AWS atau OU di organisasi Anda. Untuk informasi selengkapnya tentang kebijakan kontrol layanan di AWS Organizations, lihat Kebijakan kontrol layanan dalam Panduan Pengguna AWS Organizations.
