Concetti di base e terminologia - Crittografia dei dati dei file con Amazon Elastic File System

Concetti di base e terminologia

Questa sezione definisce i concetti e la terminologia a cui fa riferimento questo whitepaper.

  • Amazon Elastic File System (Amazon EFS): un servizio altamente disponibile ed estremamente durevole che fornisce un servizio di archiviazione di file condiviso semplice e scalabile in AWS Cloud. Amazon EFS fornisce un'interfaccia e semantica standard da file system. È possibile archiviare una quantità praticamente illimitata di dati su un numero illimitato di server di archiviazione in molteplici zone di disponibilità.

  • AWS Identity and Access Management (IAM): un servizio che consente di controllare in modo sicuro l'accesso granulare alle API dei servizi AWS. Le policy vengono create e utilizzate per limitare l'accesso a singoli utenti, gruppi e ruoli. Tramite la console IAM è possibile gestire le chiavi AWS KMS.

  • AWS KMS : un servizio gestito che semplifica la creazione e il controllo delle chiavi master del cliente (CMK), le chiavi crittografiche utilizzate per la crittografia dei dati. Le CMK di AWS KMS sono protette da moduli di sicurezza hardware (HSM) che sono convalidati dal FIPS 140-2 Cryptographic Module Validation Program tranne nelle regioni Cina (Pechino) e Cina (Ningxia). AWS KMS è integrato con altri servizi AWS che crittografano i dati. È inoltre completamente integrato con AWS CloudTrail per fornire i log delle chiamate API effettuate da AWS KMS per conto dell'utente, che possono essere utili per soddisfare i requisiti di conformità o normativi applicabili alla sua organizzazione.

  • Chiave master del cliente (CMK): rappresenta l'apice della gerarchia delle chiavi. Contiene la chiave materiale per crittografare e decrittografare i dati. Questa chiave materiale può essere generata da AWS KMS oppure è possibile generarla e importarla in AWS KMS. Le CMK sono specifiche di un account AWS e di una regione AWS e possono essere gestite dall'utente o da AWS.

  • CMK gestita da AWS: una CMK generata da AWS per conto dell'utente. Una CMK gestita da AWS viene creata quando si abilita la crittografia per una risorsa di un servizio AWS integrato. Le policy della chiave CMK gestite da AWS sono gestite da AWS e non è possibile modificarle. Non sono previsti costi per la creazione o l'archiviazione di CMK gestite da AWS.

  • CMK gestita dall'utente: una CMK creata utilizzando la console di gestione AWS o l'API AWS, l'AWS CLI o gli SDK. È possibile utilizzare una CMK gestita dall'utente quando è necessario un controllo più granulare sulla CMK.

  • Policy della chiave KMS: una policy basata sulla risorsa che controlla l'accesso a una CMK gestita dall'utente. I clienti definiscono queste autorizzazioni utilizzando la policy della chiave o una combinazione di policy IAM e policy della chiave. Per ulteriori informazioni, consultare la Panoramica della gestione dell'accesso nella Guida per gli sviluppatori di AWS KMS.

  • Chiavi dati: chiavi crittografiche generate da AWS KMS per crittografare i dati al di fuori di AWS KMS. AWS KMS consente alle entità autorizzate (utenti o servizi) di ottenere chiavi di dati protette da una CMK.

  • Transport Layer Security (TLS): Il successore di Secure Sockets Layer (SSL), TLS è un protocollo crittografico essenziale per crittografare le informazioni che vengono scambiate su una rete.

  • Assistente per il montaggio di EFS : Un agente client Linux (amazon-efs-utils) utilizzato per semplificare il montaggio dei file system EFS. Può essere utilizzato per impostare, mantenere e instradare tutto il traffico NFS su un tunnel TLS.

Per ulteriori informazioni sui concetti di base e sulla terminologia, consultare Concetti di AWS Key Management Service nella Guida per gli sviluppatori di AWS KMS.