Gestione dell'accesso ai file system crittografati

Con AmazonEFS, puoi creare file system crittografati. Amazon EFS supporta due forme di crittografia per i file system, la crittografia in transito e la crittografia a riposo. Qualsiasi gestione delle chiavi richiesta è esclusivamente legata alla crittografia dei dati inattivi. Amazon gestisce EFS automaticamente le chiavi per la crittografia in transito.

Se si crea un file system che utilizza la crittografia dei dati memorizzati su disco, i dati e i metadati sono crittografati in locale. Amazon EFS utilizza AWS Key Management Service (AWS KMS) per la gestione delle chiavi. Quando si crea un file system utilizzando la crittografia dei dati inattivi, è necessario specificare AWS KMS key. La KMS chiave può essere aws/elasticfilesystem ( Chiave gestita da AWS per AmazonEFS) o può essere una chiave gestita dai clienti che gestisci tu.

I dati dei file, i contenuti dei tuoi file, vengono crittografati quando sono inattivi utilizzando la KMS chiave che hai specificato al momento della creazione del file system. I metadati (nomi di file, nomi di directory e contenuto delle directory) vengono crittografati utilizzando una chiave gestita da Amazon. EFS

La chiave EFS Chiave gestita da AWS for your file system viene utilizzata come KMS chiave per crittografare i metadati nel file system, ad esempio nomi di file, nomi di directory e contenuti delle directory. L'utente è in possesso della chiave gestita dal cliente utilizzata per crittografare i dati dei file (i contenuti dei file) inattivi.

Sei tu a gestire chi ha accesso alle tue KMS chiavi e al contenuto dei tuoi file system crittografati. Questo accesso è controllato sia da AWS Identity and Access Management (IAM) policy che da AWS KMS. IAMle politiche controllano l'accesso di un utente alle EFS API azioni di Amazon. AWS KMS le politiche chiave controllano l'accesso di un utente alla KMS chiave specificata al momento della creazione del file system. Per ulteriori informazioni, consulta gli argomenti seguenti:

IAMUtenti nella Guida per l'IAMutente
Le politiche principali sono AWS KMS contenute nella Guida per AWS Key Management Service gli sviluppatori
Le sovvenzioni sono AWS KMS disponibili nella Guida per gli AWS Key Management Service sviluppatori.

In qualità di amministratore di chiavi, puoi importare le chiavi esterne. Puoi anche modificare le chiavi abilitandole, disabilitandole o eliminandole. Lo stato della KMS chiave specificata (quando è stato creato il file system con crittografia inattiva) influisce sull'accesso al suo contenuto. enabledLo stato della KMS chiave deve essere tale da consentire agli utenti di accedere ai contenuti di un encrypted-at-rest file system crittografato utilizzando tale chiave.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Gestione delle policy del ciclo di vita per un file system

Gestione delle KMS chiavi per i EFS file system