Criptografar dados em repouso - Amazon Elastic File System
Impondo a criação de sistemas de EFS arquivos da Amazon criptografados em repousoCriptografar um sistema de arquivos em repouso usando o consoleComo funciona a criptografia em repouso

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografar dados em repouso

Você pode criar sistemas de arquivos criptografados usando o AWS Management Console AWS CLI, o ou programaticamente por meio da Amazon EFS API ou de um dos. AWS SDKs Sua organização pode exigir a criptografia de todos os dados que atendem a uma classificação específica ou estejam associados a um determinado aplicativo, workload ou ambiente.

Depois de criar um sistema de EFS arquivos, você não pode alterar sua configuração de criptografia. Isso significa que você não pode modificar um sistema de arquivos não criptografado para torná-lo criptografado. Em vez disso, você precisará criar um novo sistema de arquivos criptografado.

nota

A infraestrutura de gerenciamento de AWS chaves usa algoritmos criptográficos aprovados pelos Padrões Federais de Processamento de Informações (FIPS) 140-2. A infraestrutura é consistente com as recomendações 800-57 do Instituto Nacional de Padrões e Tecnologia (NIST).

Impondo a criação de sistemas de EFS arquivos da Amazon criptografados em repouso

Você pode usar a chave de elasticfilesystem:Encrypted IAM condição em AWS Identity and Access Management (IAM) políticas baseadas em identidade para controlar se os usuários podem criar sistemas de EFS arquivos da Amazon criptografados em repouso. Para mais informações sobre o uso da chave de condição, consulte Exemplo: impor a criação de sistemas de arquivos criptografados.

Você também pode definir políticas de controle de serviço (SCPs) internas AWS Organizations para aplicar a EFS criptografia para todos os Conta da AWS s em sua organização. Para obter mais informações sobre políticas de controle de serviço em AWS Organizations, consulte Políticas de controle de serviço no Guia AWS Organizations do usuário.

Criptografar um sistema de arquivos em repouso usando o console

Quando você cria um novo sistema de arquivos usando o EFS console da Amazon, a criptografia em repouso é ativada por padrão. O procedimento a seguir descreve como habilitar a criptografia para um novo sistema de arquivos ao criá-lo no console.

nota

A criptografia em repouso não é habilitada por padrão ao criar um novo sistema de arquivos usando o AWS CLI API, SDKs e. Para ter mais informações, consulte Crie um sistema de arquivos (AWS CLI).

Para criptografar um novo sistema de arquivos usando o console EFS

  1. Abra o console do Amazon Elastic File System em https://console.aws.amazon.com/efs/.

  2. Escolha Criar sistema de arquivos para abrir a caixa de diálogo Criar sistemas de arquivos.

  3. (Opcional) Insira um Nome para o sistema de arquivos.

  4. Para Virtual Private Cloud (VPC), escolha sua VPC ou mantenha-a definida como padrãoVPC.

  5. Escolha Criar para criar um sistema de arquivos que use as seguintes configurações de serviço recomendadas:

    • Criptografia de dados em repouso ativada usando seu padrão AWS KMS key para Amazon EFS (aws/elasticfilesystem).

    • Backups automáticos ativados: para obter mais informações, consulte Fazendo backup de sistemas de EFS arquivos.

    • Alvos de montagem — EFS A Amazon cria alvos de montagem com as seguintes configurações:

      • Localizado em cada zona de disponibilidade em Região da AWS que o sistema de arquivos é criado.

      • Localizado nas sub-redes padrão do VPC que você selecionou.

      • Use o grupo VPC de segurança padrão do. Você pode gerenciar grupos de segurança após a criação do sistema de arquivos.

      Para ter mais informações, consulte Como gerenciar destinos da montagem.

    • Modo de desempenho de uso geral: para obter mais informações, consulte Modos de desempenho.

    • Modo Elastic throughput: para obter mais informações, consulte Modos de taxa de transferência.

    • Gerenciamento do ciclo de vida habilitado com uma política de 30 dias. Para obter mais informações, consulte Gerenciamento do armazenamento do sistema de arquivos.

  6. A página Sistemas de arquivos aparece com um banner na parte superior mostrando o status do sistema de arquivos que você criou. Um link para acessar a página de detalhes do sistema de arquivos aparece no banner quando o sistema de arquivos fica disponível.

Agora você tem um novo sistema encrypted-at-rest de arquivos.

Como funciona a criptografia em repouso

Em um sistema de arquivos criptografado, os dados e metadados são criptografados automaticamente antes de serem gravados no sistema de arquivos. De maneira semelhante, à medida que os dados e metadados são lidos, eles são automaticamente descriptografados antes de serem apresentados ao aplicativo. Esses processos são gerenciados de forma transparente pela AmazonEFS, para que você não precise modificar seus aplicativos.

A Amazon EFS usa o algoritmo de criptografia AES -256 padrão do setor para criptografar EFS dados e metadados em repouso. Para obter mais informações, consulte Conceitos básicos da criptografia no Guia do desenvolvedor do AWS Key Management Service .

Como a Amazon EFS usa AWS KMS

A Amazon EFS se integra com AWS Key Management Service (AWS KMS) para gerenciamento de chaves. A Amazon EFS usa chaves gerenciadas pelo cliente para criptografar seu sistema de arquivos da seguinte forma:

  • Criptografando metadados em repouso — A Amazon EFS usa o for Chave gerenciada pela AWS AmazonEFS,aws/elasticfilesystem, para criptografar e descriptografar metadados do sistema de arquivos (ou seja, nomes de arquivos, nomes de diretórios e conteúdos de diretórios).

  • Criptografar dados em repouso: você escolhe a chave gerenciada pelo cliente usada para criptografar e descriptografar os dados do arquivo (ou seja, o conteúdo dos seus arquivos). Você pode ativar, desativar ou revogar concessões nesta chave gerenciada pelo cliente. Essa chave gerenciada pelo cliente pode ser um destes dois:

    • Chave gerenciada pela AWS para Amazon EFS — Essa é a chave padrão gerenciada pelo cliente,aws/elasticfilesystem. Você não é cobrado para criar e armazenar uma chave gerenciada pelo cliente, mas há cobranças de uso. Para saber mais, consulte Definição de preços do AWS Key Management Service.

    • Chave gerenciada pelo cliente — Essa é a KMS chave mais flexível de usar, pois você pode configurar suas principais políticas e concessões para vários usuários ou serviços. Para obter mais informações sobre a criação de chaves gerenciadas pelo cliente, consulte Criação de chaves no Guia do AWS Key Management Service desenvolvedor.

      Se você usar uma chave gerenciada pelo cliente para criptografia de dados e descriptografia de arquivos, poderá ativar a rotação de chaves. Quando você ativa a rotação de chaves, gira AWS KMS automaticamente sua chave uma vez por ano. Além disso, com uma chave gerenciada pelo cliente, você pode escolher quando desabilitar, reativar, excluir ou revogar o acesso à sua chave gerenciada pelo cliente a qualquer momento. Para ter mais informações, consulte Gerenciar o acesso aos sistemas de arquivos criptografados.

Importante

A Amazon EFS aceita somente chaves simétricas gerenciadas pelo cliente. Você não pode usar chaves assimétricas gerenciadas pelo cliente com a Amazon. EFS

A criptografia e a descriptografia de dados em repouso são gerenciadas de modo transparente. No entanto, AWS contas IDs específicas da Amazon EFS aparecem em seus AWS CloudTrail registros relacionados às AWS KMS ações. Para ter mais informações, consulte Entradas de arquivos de EFS log da Amazon para sistemas de encrypted-at-rest arquivos.

EFSPolíticas-chave da Amazon para AWS KMS

As políticas de chave são a principal forma de controlar o acesso às chaves gerenciadas pelo cliente. Para obter mais informações sobre políticas de chave, consulte Políticas de chave em AWS KMS no Guia do desenvolvedor do AWS Key Management Service .A lista a seguir descreve todas as permissões AWS KMS relacionadas que são exigidas ou suportadas pela Amazon EFS para sistemas de arquivos criptografados em repouso:

  • kms:Encrypt - (Opcional) Criptografa texto simples em texto cifrado. Essa permissão está incluída na política de chaves padrão.

  • kms:Decrypt - (Obrigatório) Descriptografa texto cifrado. O texto cifrado é o texto simples que já foi criptografado. Essa permissão está incluída na política de chaves padrão.

  • kms: ReEncrypt — (Opcional) Criptografa dados no lado do servidor com uma nova chave gerenciada pelo cliente, sem expor o texto simples dos dados no lado do cliente. Primeiro os dados são descriptografados e, depois, recriptografados. Essa permissão está incluída na política de chaves padrão.

  • kms: GenerateDataKeyWithoutPlaintext — (Obrigatório) Retorna uma chave de criptografia de dados criptografada sob uma chave gerenciada pelo cliente. Essa permissão está incluída na política de chaves padrão em kms: GenerateDataKey *.

  • kms: CreateGrant — (Obrigatório) Adiciona uma concessão a uma chave para especificar quem pode usar a chave e sob quais condições. Concessões são mecanismos de permissão alternativos para políticas de chaves. Para obter mais informações sobre concessões, consulte Usar concessões no Guia do desenvolvedor do AWS Key Management Service . Essa permissão está incluída na política de chaves padrão.

  • kms: DescribeKey — (Obrigatório) Fornece informações detalhadas sobre a chave gerenciada pelo cliente especificada. Essa permissão está incluída na política de chaves padrão.

  • kms: ListAliases — (Opcional) Lista todos os aliases de chave na conta. Quando você usa o console para criar um sistema de arquivos criptografado, essa permissão preenche a lista Selecionar KMS chave. Recomendamos usar essa permissão para proporcionar a melhor experiência do usuário. Essa permissão está incluída na política de chaves padrão.

Chave gerenciada pela AWS para a EFS KMS política da Amazon

A KMS política JSON Chave gerenciada pela AWS para a Amazon EFS aws/elasticfilesystem é a seguinte:

{
    "Version": "2012-10-17",
    "Id": "auto-elasticfilesystem-1",
    "Statement": [
        {
            "Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com",
                    "kms:CallerAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "Allow direct access to key metadata to the account",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "kms:Describe*",
                "kms:Get*",
                "kms:List*",
                "kms:RevokeGrant"
            ],
            "Resource": "*"
        }
    ]
}