Enkripsi Data At Rest

Mengenkripsi data at rest sangat penting untuk kepatuhan peraturan dan perlindungan data. Ini membantu memastikan bahwa data sensitif yang disimpan pada disk tidak dapat dibaca oleh pengguna atau aplikasi tanpa kunci yang valid. AWS menyediakan beberapa opsi untuk enkripsi at rest dan manajemen kunci enkripsi. Misalnya, Anda dapat menggunakan SDK AWS Encryption dengan CMK yang dibuat dan dikelola AWS KMS untuk mengenkripsi data arbitrer.

Data terenkripsi dapat disimpan dengan aman secara at rest dan dapat didekripsi hanya oleh pihak dengan akses resmi ke CMK. Sebagai hasilnya, Anda mendapatkan data rahasia yang dienkripsi dengan envelope, mekanisme kebijakan untuk otorisasi dan enkripsi yang diautentikasi, dan pencatatan log audit melalui AWS CloudTrail. Sebagian layanan fondasi AWS memiliki fitur enkripsi at rest bawaan, sehingga memberikan opsi untuk mengenkripsi data sebelum ditulis ke penyimpanan non-volatil. Contohnya, Anda bisa mengenkripsi volume Amazon EBS dan mengonfigurasi bucket Amazon S3 untuk Enkripsi Sisi Server (SSE) menggunakan enkripsi AES-256. Amazon S3 juga mendukung enkripsi sisi klien, yang memungkinkan Anda mengenkripsi data sebelum mengirimkannya ke Amazon S3. SDK AWS mendukung enkripsi sisi klien untuk memfasilitasi operasi enkripsi dan dekripsi objek. Amazon RDS juga mendukung Enkripsi Data Transparan (TDE).

Enkripsi data dapat dilakukan di penyimpanan instans Linux Amazon EC2 dengan menggunakan pustaka Linux bawaan. Metode ini mengenkripsi file secara transparan yang melindungi data rahasia. Hasilnya, aplikasi yang memproses data tidak mengetahui enkripsi tingkat disk.

Anda dapat menggunakan dua metode untuk mengenkripsi file di penyimpanan instans:

Enkripsi tingkat disk — Dengan metode ini, seluruh disk, atau blok dalam disk, dienkripsi menggunakan satu atau beberapa kunci enkripsi. Enkripsi disk, yang beroperasi di bawah tingkat sistem file, bersifat agnostik sistem operasi, serta menyembunyikan informasi direktori dan file seperti nama dan ukuran. Enkripsi Sistem File, misalnya, adalah ekstensi Microsoft untuk New Technology File System (NTFS) sistem operasi Windows NT yang menyediakan enkripsi disk.
Enkripsi tingkat sistem file — Dengan metode ini, file dan direktori dienkripsi, tetapi tidak seluruh disk atau partisi. Enkripsi tingkat sistem file beroperasi di atas sistem file dan bersifat portabel di seluruh sistem operasi.

Untuk volume penyimpanan instans SSD Non-Volatile Memory express (NVMe), enkripsi tingkat disk adalah opsi default. Data dalam penyimpanan instans NVMe dienkripsi menggunakan cipher blok XTS-AES-256 yang diimplementasikan dalam modul perangkat keras pada instans. Kunci enkripsi dihasilkan menggunakan modul perangkat keras dan bersifat unik untuk setiap perangkat penyimpanan instans NVMe. Semua kunci enkripsi dimusnahkan ketika instans dihentikan atau diakhiri, serta tidak dapat dipulihkan. Anda tidak dapat menggunakan kunci enkripsi Anda sendiri.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Melindungi Data Anda di AWS

Enkripsi Data in Transit