Conceitos básicos e terminologia - Criptografar dados de arquivos com o Amazon Elastic File System

Conceitos básicos e terminologia

Esta seção define os conceitos e a terminologia mencionados neste whitepaper.

  • Amazon Elastic File System (Amazon EFS): um serviço altamente disponível e altamente durável que fornece armazenamento de arquivos simples, escalável e compartilhado na Nuvem AWS. O Amazon EFS fornece uma interface de sistema de arquivos e uma semântica padrão do sistema de arquivos. Você pode armazenar praticamente uma quantidade ilimitada de dados em um número ilimitado de servidores de armazenamento em várias zonas de disponibilidade.

  • AWS Identity and Access Management (IAM): um serviço que permite controlar com segurança o acesso refinado às APIs de serviço da AWS. As políticas são criadas e usadas para limitar o acesso a usuários, grupos e funções individuais. Você pode gerenciar suas chaves do AWS KMS por meio do console do IAM.

  • AWS KMS : um serviço gerenciado que facilita a criação e o controle de chaves mestras do cliente (CMKs), as chaves de criptografia usadas para criptografar seus dados. As CMKs do AWS KMS são protegidas por módulos de segurança de hardware (HSMs) validados pelo Cryptographic Module Validation Program FIPS 140-2, exceto nas regiões China (Pequim) e China (Ningxia). O AWS KMS é integrado a outros serviços da AWS que criptografam seus dados. Ele também é totalmente integrado com o AWS CloudTrail para fornecer logs de chamadas de API feitas pelo AWS KMS em seu nome, o que pode ser útil para atender aos requisitos de conformidade ou regulamentares aplicáveis à sua organização.

  • Chave mestra do cliente (CMK): representa o topo da hierarquia de chaves. Ela contém material de chave para criptografar e descriptografar dados. O AWS KMS pode gerar esse material de chaves ou você pode gerá-lo e importá-lo para o AWS KMS. As CMKs são específicas para uma conta e região da AWS e podem ser gerenciadas pelo cliente ou pela AWS.

  • CMK gerenciada pela AWS: uma CMK gerada pela AWS em seu nome. Uma CMK gerenciada pela AWS é criada quando você habilita a criptografia para um recurso de um serviço integrado da AWS. As políticas de chaves da CMK gerenciadas pela AWS são gerenciadas pela AWS e você não pode alterá-las. Não há cobrança pela criação ou armazenamento de CMKs gerenciadas pela AWS.

  • CMK gerenciada pelo cliente: uma CMK que você cria usando o console de gerenciamento da AWS ou API, AWS CLI ou SDKs. Você pode usar uma CMK gerenciada pelo cliente quando precisar de um controle mais granular sobre a CMK.

  • Política de chaves do KMS: uma política de recursos que controla o acesso a uma CMK gerenciada pelo cliente. Os clientes definem essas permissões usando a política de chaves ou uma combinação de políticas do IAM e a política de chaves. Para obter mais informações, consulte Visão geral do gerenciamento de acesso no Guia do desenvolvedor do AWS KMS.

  • Chaves de dados : chaves criptográficas geradas pelo AWS KMS para criptografar dados fora do AWS KMS. O AWS KMS permite que entidades autorizadas (usuários ou serviços) obtenham chaves de dados protegidas por uma CMK.

  • Transport Layer Security (TLS): sucessor do Secure Sockets Layer (SSL), o TLS é um protocolo criptográfico essencial para criptografar informações trocadas em uma rede.

  • Auxiliar de montagem do EFS: um agente cliente Linux (amazon-efs-utils) usado para simplificar a montagem de sistemas de arquivos do EFS. Ele pode ser usado para configurar, manter e encaminhar todo o tráfego NFS em um túnel TLS.

Para obter mais informações sobre conceitos básicos e terminologia, consulte Conceitos do AWS Key Management Service no Guia do desenvolvedor do AWS KMS.