Aplicar criptografia de dados em repouso - Criptografar dados de arquivos com o Amazon Elastic File System

Aplicar criptografia de dados em repouso

A criptografia tem um efeito mínimo na latência de E/S e na taxa de transferência. A criptografia e a descriptografia são transparentes para usuários, aplicações e serviços. Todos os dados e metadados são criptografados pelo Amazon EFS em seu nome antes de serem gravados no disco, e descriptografados antes de serem lidos pelos clientes. Você não precisa alterar as ferramentas do cliente, as aplicações ou os serviços para acessar um sistema de arquivos criptografados.

Sua organização pode exigir a criptografia de todos os dados que atendem a uma classificação específica ou que estejam associados a determinada aplicação, workload ou ambiente. Você pode usar o AWS Identity and Access Management (IAM) e as políticas baseadas em identidade dele para forçar a criptografia de dados em repouso para seus recursos do sistema de arquivos do Amazon EFS. Usando uma chave de condição do IAM, você pode impedir que os usuários criem sistemas de arquivos do EFS que não estejam criptografados.

Por exemplo, uma política do IAM que permite explicitamente que os usuários criem apenas sistemas de arquivos do EFS criptografados usa a seguinte combinação de efeito, ação e condição:

  • O Effect é Allow.

  • O Action é elasticfilesystem:CreateFileSystem.

  • O Condition elasticfilesystem:Encrypted é true.

O exemplo a seguir ilustra uma política baseada em identidade do IAM que autoriza as entidades principais a criar somente sistemas de arquivos criptografados.

{
  “Version”: “2012-10-17”,
  “Statement”: [
    {
      “Sid”: “VisualEditior0”,
      “Effect”: “Allow”,
      “Action”: “elasticfilesystem:CreateFileSystem”,
      “Condition”: {
        “Bool”: {
          “elasticfilesystem:Encrypted”: “true”
        }
      },
      “Resource”: “*”
    }
}

O atributo Resource definido como * significa que a política do IAM se aplica a todos os recursos do EFS criados. Você pode adicionar atributos condicionais adicionais com base em etiquetas para aplicá-lo somente para um subconjunto de recursos do EFS com necessidades de classificação de dados.

Você também pode impor a criação de sistemas de arquivos criptografados do Amazon EFS no nível do AWS Organizations usando políticas de controle de serviço para todas as contas da AWS ou OUs em sua organização. Para obter mais informações sobre políticas de controle de serviço no AWS Organizations, consulte Políticas de controle de serviço no Guia do usuário do AWS Organizations.