Crittografia dei dati a riposo - Amazon Elastic File System
Imposizione della creazione di EFS file system Amazon crittografati a riposoCrittografia di un file system memorizzato su disco tramite l'utilizzo della consoleCome funziona la crittografia dei dati memorizzati su disco

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia dei dati a riposo

Puoi creare file system crittografati utilizzando AWS Management Console, il AWS CLI, o programmaticamente tramite Amazon EFS API o uno dei. AWS SDKs Un'azienda potrebbe richiedere la crittografia di tutti i dati che soddisfano una determinata classificazione o sono associati a una determinata applicazione, carico di lavoro o ambiente.

Una volta creato un EFS file system, non è possibile modificarne le impostazioni di crittografia. Ciò significa che non è possibile modificare un file system non crittografato per renderlo crittografato. Invece, è necessario creare un nuovo file system crittografato.

Nota

L'infrastruttura di gestione delle AWS chiavi utilizza algoritmi crittografici approvati dal Federal Information Processing Standards (FIPS) 140-2. L'infrastruttura è coerente con le raccomandazioni del National Institute of Standards and Technology (NIST) 800-57.

Imposizione della creazione di EFS file system Amazon crittografati a riposo

Puoi utilizzare la chiave di elasticfilesystem:Encrypted IAM condizione nelle politiche basate sull'identità AWS Identity and Access Management (IAM) per controllare se gli utenti possono creare EFS file system Amazon crittografati a riposo. Per ulteriori informazioni su come utilizzare la chiave di condizione, consulta Esempio: applicazione della creazione di file system crittografati.

Puoi anche definire politiche di controllo del servizio (SCPs) all'interno AWS Organizations per applicare la EFS crittografia a tutti Account AWS i membri della tua organizzazione. Per ulteriori informazioni sulle politiche di controllo del servizio in AWS Organizations, consulta le politiche di controllo dei servizi nella Guida per l'AWS Organizations utente.

Crittografia di un file system memorizzato su disco tramite l'utilizzo della console

Quando crei un nuovo file system utilizzando la EFS console Amazon, la crittografia a riposo è abilitata per impostazione predefinita. La procedura seguente descrive come abilitare la crittografia per un nuovo file system al momento della sua creazione tramite la console.

Nota

La crittografia a riposo non è abilitata per impostazione predefinita quando si crea un nuovo file system utilizzando AWS CLI API, eSDKs. Per ulteriori informazioni, consulta Crea un file system (AWS CLI).

Per crittografare un nuovo file system utilizzando la console EFS

  1. Apri la console Amazon Elastic File System all'indirizzo https://console.aws.amazon.com/efs/.

  2. Scegli Crea file system per aprire la finestra di dialogo Crea file system.

  3. (Facoltativo) Immetti un Nome per il file system.

  4. Per Virtual Private Cloud (VPC), scegli il tuo VPC o mantienilo impostato sui valori predefinitiVPC.

  5. Scegli Crea per creare un file system che utilizzi le seguenti impostazioni consigliate dal servizio:

    • La crittografia dei dati inattivi è abilitata utilizzando l'impostazione predefinita AWS KMS key per Amazon EFS (aws/elasticfilesystem).

    • Backup automatici attivati - Per ulteriori informazioni, consulta Backup dei EFS file system.

    • Obiettivi di montaggio: Amazon EFS crea obiettivi di montaggio con le seguenti impostazioni:

      • Situati in ogni zona di disponibilità in Regione AWS cui viene creato il file system.

      • Si trova nelle sottoreti predefinite di VPC quella selezionata.

      • Usa il gruppo VPC di sicurezza predefinito. È possibile gestire i gruppi di sicurezza dopo aver creato il file system.

      Per ulteriori informazioni, consulta Gestione dei target di montaggio.

    • Per ulteriori informazioni sulle prestazioni a scopi generali, consulta Modalità prestazionali.

    • Per ulteriori informazioni sul Throughput Elastic, consulta Modalità di velocità di trasmissione effettiva.

    • Gestione del ciclo di vita abilitata con una policy di 30 giorni: per ulteriori informazioni, consulta la sezione Gestione del ciclo di vita dello storage per i file system EFS.

  6. La pagina File system viene visualizzata con un banner nella parte superiore che mostra lo stato del file system creato. Quando il file system diventa disponibile, nel banner viene visualizzato un collegamento per accedere alla pagina dei dettagli del file system.

Ora hai un nuovo encrypted-at-rest file system.

Come funziona la crittografia dei dati memorizzati su disco

In un file system crittografato, i dati e i metadati vengono automaticamente crittografati prima di essere scritti sul file system. Analogamente, quando i dati e i metadati vengono letti, sono automaticamente decifrati prima di essere presentati all'applicazione. Questi processi sono gestiti in modo trasparente da AmazonEFS, quindi non devi modificare le tue applicazioni.

Amazon EFS utilizza l'algoritmo di crittografia AES -256 standard del settore per crittografare EFS dati e metadati inattivi. Per ulteriori informazioni, consulta Elementi di base di crittografia nella Guida per sviluppatori di AWS Key Management Service .

Come EFS utilizza Amazon AWS KMS

Amazon EFS si integra con AWS Key Management Service (AWS KMS) per la gestione delle chiavi. Amazon EFS utilizza chiavi gestite dal cliente per crittografare il file system nel modo seguente:

  • Crittografia dei metadati inattivi: Amazon EFS utilizza Chiave gestita da AWS for Amazon EFS per crittografare e decrittografare i metadati del file system (ovvero nomi di file, nomi di directory e contenuti delle directory). aws/elasticfilesystem

  • Crittografia dei dati a riposo - L'utente sceglie la chiave gestita dal cliente utilizzata per crittografare e decifrare i file di dati (ovvero i contenuti dei file). È possibile attivare, disattivare o revocare le concessioni su questa chiave gestita dal cliente. Questa chiave gestita dal cliente può essere dei due tipi seguenti:

    • Chiave gestita da AWS per Amazon EFS: questa è la chiave gestita dal cliente predefinita,aws/elasticfilesystem. Non viene addebitato alcun costo per creare e archiviare una chiave gestita dal cliente, ma sono previsti costi di utilizzo. Per ulteriori informazioni, consulta Prezzi di AWS Key Management Service.

    • Chiave gestita dal cliente: questa è la KMS chiave più flessibile da utilizzare, poiché puoi configurarne le politiche e le concessioni chiave per più utenti o servizi. Per ulteriori informazioni sulla creazione di chiavi gestite dal cliente, consulta Creazione di chiavi nella Guida per gli AWS Key Management Service sviluppatori.

      Se si utilizza una chiave gestita dal cliente per la crittografia e la decrittografia dei dati dei file, è possibile attivare la rotazione delle chiavi. Quando abiliti la rotazione dei tasti, ruota AWS KMS automaticamente la chiave una volta all'anno. Inoltre, con una chiave gestita dal cliente, è possibile scegliere quando disattivare, riattivare, eliminare o revocare l'accesso alla chiave gestita dal cliente in qualsiasi momento. Per ulteriori informazioni, consulta Gestione dell'accesso ai file system crittografati.

Importante

Amazon EFS accetta solo chiavi simmetriche gestite dal cliente. Non puoi utilizzare chiavi asimmetriche gestite dai clienti con Amazon. EFS

La crittografia e la decifratura dei dati memorizzati su disco sono gestite in modo trasparente. Tuttavia, nei AWS CloudTrail registri relativi alle AWS KMS azioni EFS vengono visualizzati AWS account IDs specifici di Amazon. Per ulteriori informazioni, consulta Voci dei file di EFS log di Amazon per i encrypted-at-rest file system.

Politiche EFS chiave di Amazon per AWS KMS

Le policy delle chiavi sono il modo principale per controllare l'accesso alle chiavi gestite dai clienti. Per ulteriori informazioni sulle policy delle chiavi, consulta Policy delle chiavi in AWS KMS nella Guida per gli sviluppatori di AWS Key Management Service .L'elenco seguente descrive tutte le autorizzazioni AWS KMS correlate richieste o altrimenti supportate da Amazon EFS per i file system crittografati a riposo:

  • kms:Encrypt - (Facoltativa) Crittografa testo normale in testo criptato. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.

  • kms:Decrypt - (Obbligatoria) Decifra il testo criptato. Il testo cifrato è un testo normale che è stato precedentemente crittografato. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.

  • kms: ReEncrypt — (Facoltativo) Crittografa i dati sul lato server con una nuova chiave gestita dal cliente, senza esporre il testo in chiaro dei dati sul lato client. I dati sono prima decifrati e quindi nuovamente crittografati. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.

  • kms: GenerateDataKeyWithoutPlaintext — (Obbligatorio) Restituisce una chiave di crittografia dei dati crittografata con una chiave gestita dal cliente. Questa autorizzazione è inclusa nella politica delle chiavi predefinita in kms: GenerateDataKey *.

  • kms: CreateGrant — (Obbligatorio) Aggiunge una concessione a una chiave per specificare chi può utilizzare la chiave e in quali condizioni. I grant sono meccanismi di autorizzazioni alternative alle policy sulle chiavi. Per ulteriori informazioni sulle autorizzazioni, consulta Utilizzo delle autorizzazioni nella Guida per gli sviluppatori di AWS Key Management Service . Questa autorizzazione è inclusa nella policy sulla chiave predefinita.

  • kms: DescribeKey — (Obbligatorio) Fornisce informazioni dettagliate sulla chiave gestita dal cliente specificata. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.

  • kms: ListAliases — (Facoltativo) Elenca tutti gli alias chiave dell'account. Quando si utilizza la console per creare un file system crittografato, questa autorizzazione compila l'elenco delle chiavi di selezione KMS. Consigliamo di usare questa autorizzazione per garantire la migliore esperienza utente. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.

Chiave gestita da AWS per la EFS KMS politica di Amazon

La KMS politica JSON Chiave gestita da AWS per Amazon aws/elasticfilesystem è EFS la seguente:

{
    "Version": "2012-10-17",
    "Id": "auto-elasticfilesystem-1",
    "Statement": [
        {
            "Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com",
                    "kms:CallerAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "Allow direct access to key metadata to the account",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "kms:Describe*",
                "kms:Get*",
                "kms:List*",
                "kms:RevokeGrant"
            ],
            "Resource": "*"
        }
    ]
}