Criptografia de dados em repouso - FSx for ONTAP

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografia de dados em repouso

Todos os sistemas de arquivos do Amazon FSx for NetApp ONTAP são criptografados em repouso com chaves gerenciadas usandoAWS Key Management Service (AWS KMS). Os dados são criptografados automaticamente antes de serem gravados no sistema de arquivos e descriptografados automaticamente à medida que são lidos. Esses processos são gerenciados de forma transparente pelo Amazon FSx, para que você não precise modificar seus aplicativos.

O Amazon FSx usa um algoritmo de criptografia AES-256 padrão do setor para criptografar dados e metadados do Amazon FSx em repouso. Para obter mais informações, consulte Fundamentos da criptografia no Guia doAWS Key Management Service desenvolvedor.

nota

A infraestrutura de gerenciamento deAWS chaves usa algoritmos criptográficos aprovados pelo Federal Information Processing Standards (FIPS) 140-2. A infraestrutura é consistente com as recomendações 800-57 do National Institute of Standards and Technology (NIST).

Como o Amazon FSx usaAWS KMS

O Amazon FSx se integraAWS KMS para gerenciamento de chaves. O Amazon FSx usa chaves KMS para criptografar seu sistema de arquivos. Você escolhe a chave KMS usada para criptografar e descriptografar sistemas de arquivos (dados e metadados). Você pode ativar, desativar ou revogar concessões nessa chave KMS. Essa chave KMS pode ser um dos dois tipos a seguir:

  • AWS-chave KMS gerenciada — Essa é a chave KMS padrão e é de uso gratuito.

  • Chave KMS gerenciada pelo cliente — Essa é a chave KMS mais flexível a ser usada, pois você pode configurar suas principais políticas e concessões para vários usuários ou serviços. Para obter mais informações sobre a criação de chaves KMS, consulte Criação de chaves no Guia doAWS Key Management Service desenvolvedor.

Se você usar uma chave KMS gerenciada pelo cliente como sua chave KMS para criptografia e descriptografia de dados de arquivos, você pode ativar a rotação de chaves. Ao habilitar a rotação de chaves, o AWS KMS gira sua chave automaticamente uma vez por ano. Além disso, com uma chave KMS gerenciada pelo cliente, você pode escolher quando desativar, reativar, excluir ou revogar o acesso à sua chave KMS a qualquer momento. Para obter mais informações, consulte Rotação, ativaçãoAWS KMS keys e desativação de chaves no Guia doAWS Key Management Service desenvolvedor.

A criptografia e a descriptografia do sistema de arquivos em repouso são tratadas de forma transparente. No entanto, IDs deAWS conta específicos do Amazon FSx aparecem em seusAWS CloudTrail registros relacionados àsAWS KMS ações.

Principais políticas do Amazon FSx paraAWS KMS

Políticas de chaves são a principal maneira de controlar o acesso a chaves do KMS. Para obter mais informações sobre políticas de chave do, consulte Usar políticasAWS KMS de chave do AWS Key Management Servicedesenvolvedor do. A lista a seguir descreve todas as permissõesAWS KMS relacionadas suportadas pelo Amazon FSx para sistemas de arquivos criptografados em repouso:

  • kms:Encrypt — (Opcional) Criptografa texto simples em texto cifrado. Essa permissão está incluída na política de chaves padrão.

  • kms:Decrypt — (Obrigatório) Decifra o texto cifrado. O texto cifrado é o texto simples que já foi criptografado. Essa permissão está incluída na política de chaves padrão.

  • kms:ReEncrypt — (Opcional) Criptografa dados no servidor com um novoAWS KMS key, sem expor o texto simples dos dados no lado do cliente. Primeiro os dados são descriptografados e, depois, recriptografados. Essa permissão está incluída na política de chaves padrão.

  • kms:GenerateDataKeyWithoutPlaintext — (Obrigatório) Retorna uma chave de criptografia de dados criptografada sob uma chave KMS. Essa permissão está incluída na política de chave padrão em kms:GenerateDataKey *.

  • kms:CreateGrant — (Obrigatório) Adiciona uma concessão a uma chave para especificar quem pode usar a chave e sob quais condições. Concessões são mecanismos de permissão alternativos para políticas de chaves. Para obter mais informações sobre subsídios, consulte Como usar subsídios no Guia doAWS Key Management Service desenvolvedor. Essa permissão está incluída na política de chaves padrão.

  • kms:DescribeKey — (Obrigatório) Fornece informações detalhadas sobre a chave KMS especificada. Essa permissão está incluída na política de chaves padrão.

  • kms:ListAliases — (Opcional) Lista todos os aliases de chave na conta. Quando você usa o console para criar um sistema de arquivos criptografado, essa permissão preenche a lista de chaves KMS. Recomendamos usar essa permissão para proporcionar a melhor experiência do usuário. Essa permissão está incluída na política de chaves padrão.