Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

AWS KMS

PDF
RSS
Modo de foco
AWS KMS - Amazon Elastic File System
Políticas-chave do Amazon EFS para AWS KMS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

O Amazon EFS se integra com AWS Key Management Service (AWS KMS) para gerenciamento de chaves. O Amazon EFS usa chaves gerenciadas pelo cliente para criptografar seu sistema de arquivos da seguinte maneira:

  • Criptografar metadados em repouso: o Amazon EFS usa Chave gerenciada pela AWS para o Amazon EFS, aws/elasticfilesystem, para criptografar e descriptografar metadados do sistema de arquivos (ou seja, nomes de arquivos, nomes de diretórios e conteúdo de diretórios).

  • Criptografar dados em repouso: você escolhe a chave gerenciada pelo cliente usada para criptografar e descriptografar os dados do arquivo (ou seja, o conteúdo dos seus arquivos). Você pode ativar, desativar ou revogar concessões nesta chave gerenciada pelo cliente. Essa chave gerenciada pelo cliente pode ser um destes dois:

    • Chave gerenciada pela AWS para Amazon EFS — Essa é a chave padrão gerenciada pelo cliente,aws/elasticfilesystem. Você não é cobrado para criar e armazenar uma chave gerenciada pelo cliente, mas há cobranças de uso. Para saber mais, consulte Definição de preços do AWS Key Management Service.

    • Chave gerenciada pelo cliente: esta é a chave KMS mais flexível para usar, porque você pode configurar suas principais políticas de chave e concessões para vários usuários ou serviços. Para obter mais informações sobre a criação de chaves gerenciadas pelo cliente, consulte Criação de chaves no Guia do AWS Key Management Service desenvolvedor.

      Se você usar uma chave gerenciada pelo cliente para criptografia de dados e descriptografia de arquivos, poderá ativar a rotação de chaves. Quando você ativa a rotação de chaves, gira AWS KMS automaticamente sua chave uma vez por ano. Além disso, com uma chave gerenciada pelo cliente, você pode escolher quando desabilitar, reativar, excluir ou revogar o acesso à sua chave gerenciada pelo cliente a qualquer momento. Para obter mais informações, consulte Gerenciar o acesso aos sistemas de arquivos criptografados.

Importante

O Amazon EFS aceita somente chaves gerenciadas pelo cliente (CMK) simétricas. Você não pode usar chaves gerenciadas pelo cliente assimétricas com o Amazon EFS.

A criptografia e a descriptografia de dados em repouso são gerenciadas de modo transparente. No entanto, AWS contas IDs específicas do Amazon EFS aparecem em seus AWS CloudTrail registros relacionados às AWS KMS ações. Para obter mais informações, consulte Entradas de arquivo de log do Amazon EFS para sistemas de encrypted-at-rest arquivos.

Políticas-chave do Amazon EFS para AWS KMS

As políticas de chave são a principal forma de controlar o acesso às chaves gerenciadas pelo cliente. Para obter mais informações sobre políticas de chave, consulte Políticas de chave em AWS KMS no Guia do desenvolvedor do AWS Key Management Service .A lista a seguir descreve todas as permissões relacionadas ao AWS KMS compatíveis com o Amazon EFS para sistemas de arquivos criptografados em repouso:

  • kms:Encrypt - (Opcional) Criptografa texto simples em texto cifrado. Essa permissão está incluída na política de chaves padrão.

  • kms:Decrypt - (Obrigatório) Descriptografa texto cifrado. O texto cifrado é o texto simples que já foi criptografado. Essa permissão está incluída na política de chaves padrão.

  • kms: ReEncrypt — (Opcional) Criptografa dados no lado do servidor com uma nova chave gerenciada pelo cliente, sem expor o texto simples dos dados no lado do cliente. Primeiro os dados são descriptografados e, depois, recriptografados. Essa permissão está incluída na política de chaves padrão.

  • kms: GenerateDataKeyWithoutPlaintext — (Obrigatório) Retorna uma chave de criptografia de dados criptografada sob uma chave gerenciada pelo cliente. Essa permissão está incluída na política de chaves padrão em kms: GenerateDataKey *.

  • kms: CreateGrant — (Obrigatório) Adiciona uma concessão a uma chave para especificar quem pode usar a chave e sob quais condições. Concessões são mecanismos de permissão alternativos para políticas de chaves. Para obter mais informações sobre concessões, consulte Usar concessões no Guia do desenvolvedor do AWS Key Management Service . Essa permissão está incluída na política de chaves padrão.

  • kms: DescribeKey — (Obrigatório) Fornece informações detalhadas sobre a chave gerenciada pelo cliente especificada. Essa permissão está incluída na política de chaves padrão.

  • kms: ListAliases — (Opcional) Lista todos os aliases de chave na conta. Quando você usa o console para criar um sistema de arquivos criptografado, essa permissão preenche a lista Selecionar chave mestra do KMS. Recomendamos usar essa permissão para proporcionar a melhor experiência do usuário. Essa permissão está incluída na política de chaves padrão.

Chave gerenciada pela AWS para a política do Amazon EFS KMS

A política JSON do KMS para o Chave gerenciada pela AWS Amazon EFS aws/elasticfilesystem é a seguinte:

{
    "Version": "2012-10-17",
    "Id": "auto-elasticfilesystem-1",
    "Statement": [
        {
            "Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com",
                    "kms:CallerAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "Allow direct access to key metadata to the account",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "kms:Describe*",
                "kms:Get*",
                "kms:List*",
                "kms:RevokeGrant"
            ],
            "Resource": "*"
        }
    ]
}

Nesta página

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.