Criar um sistema de arquivos criptografados

Você pode criar um sistema de arquivos criptografados usando o Console de Gerenciamento da AWS, a AWS CLI, a API do Amazon EFS ou os SDKs da AWS. Você só pode habilitar a criptografia para um sistema de arquivos ao criá-lo.

O Amazon EFS se integra ao AWS KMS para gerenciamento de chaves e usa uma CMK para criptografar o sistema de arquivos. Os metadados do sistema de arquivos, como nomes de arquivos, nomes de diretório e conteúdo de diretório, são criptografados e descriptografados usando uma CMK gerenciada pela AWS.

O conteúdo dos seus arquivos, ou dados do arquivo, é criptografado e descriptografado usando uma CMK de sua escolha. A CMK pode ser de um dos três tipos:

Uma CMK gerenciada pela AWS para Amazon EFS
Uma CMK gerenciada pelo cliente da sua conta da AWS
Uma CMK gerenciada pelo cliente a partir de uma conta diferente da AWS

Sua organização pode estar sujeita a políticas corporativas ou regulatórias que exigem controle total em termos de criação, alternância e exclusão, bem como controle de acesso e política de uso para as CMKs. Nesse caso, recomendamos que você use uma CMK gerenciada pelo cliente. Em outros cenários, você pode usar uma CMK gerenciada pela AWS.

Todos os usuários têm uma CMK gerenciada pela AWS para o Amazon EFS, cujo alias é aws/elasticfilesystem. A AWS gerencia essa política de chaves da CMK e você não pode alterá-la. Não há custo para criar e armazenar CMKs gerenciadas pela AWS.

Se você decidir usar uma CMK gerenciada pelo cliente para criptografar seu sistema de arquivos, selecione o alias de chave da CMK gerenciada pelo cliente que você possui. Como alternativa, você pode inserir o nome do recurso da Amazon (ARN) de uma CMK gerenciada pelo cliente que pertence a uma conta diferente. Com uma CMK gerenciada pelo cliente que você possui, você controla quais usuários e serviços podem usar a chave por meio de políticas de chaves e concessões de chave.

Você também controla a vida útil e a alternância dessas chaves escolhendo quando desabilitar, reativar, excluir ou revogar o acesso a elas. Para obter informações sobre como gerenciar o acesso a chaves em outras contas da AWS, consulte Alterar uma política de chaves no Guia do desenvolvedor do AWS KMS.

Para obter mais informações sobre como gerenciar CMKs gerenciadas pelo cliente, consulte Chaves mestras do cliente (CMKs) no Guia do desenvolvedor do AWS KMS.

As seções a seguir discutem como criar um sistema de arquivos criptografados usando o Console de Gerenciamento da AWS e a AWS CLI.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciamento de chaves

Criar um sistema de arquivos criptografados usando o Console de Gerenciamento da AWS