Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verschlüsselung
S3 Files bietet umfassende Verschlüsselungsfunktionen, um Ihre Daten sowohl im Speicher als auch bei der Übertragung zu schützen.
Verschlüsselung im Ruhezustand
Ihr S3-Bucket wird mithilfe der Verschlüsselungsmechanismen von Amazon S3 verschlüsselt. Informationen zur Verschlüsselung von Daten in S3 finden Sie unter Daten durch Verschlüsselung schützen.
S3 Files verschlüsselt ruhende Daten im S3-Dateisystem mithilfe serverseitiger Verschlüsselung. Serverseitige Verschlüsselung ist die Verschlüsselung von Daten am Zielort durch die Anwendung oder den Service, der sie erhält. In S3-Dateisystemen werden Daten und Metadaten standardmäßig verschlüsselt, bevor sie in den Speicher geschrieben werden, und beim Lesen automatisch entschlüsselt. Diese Prozesse werden von S3 Files transparent abgewickelt, sodass Sie Ihre Anwendungen nicht ändern müssen. Alle Daten, die sich im Dateisystem befinden, werden mithilfe von AWS Key Management Service (KMS) -Schlüsseln mit einer der folgenden Methoden verschlüsselt:
(Standard) Serverseitige Verschlüsselung mit AWS eigenen KMS-Schlüsseln (SSE-KMS)
Serverseitige Verschlüsselung mit vom Kunden verwalteten KMS-Schlüsseln (SSE-KMS-CMK)
Für die Verwendung von KMS-Schlüsseln fallen zusätzliche Gebühren an. AWS Weitere Informationen finden Sie unter Schlüsselkonzepte von AWS KMS im AWS Key Management Service Developer Guide und unter AWS KMS-Preisgestaltung
Serverseitige Verschlüsselung mit AWS eigenen KMS-Schlüsseln (SSE-KMS)
Dies ist der Standardschlüssel für die Verschlüsselung ruhender Daten in Ihrem S3-Dateisystem. AWS Eigene Schlüssel sind eine Sammlung von KMS-Schlüsseln, die ein AWS Dienst besitzt und verwaltet. S3 Files besitzt und verwaltet die Verschlüsselung Ihrer Daten und Metadaten, die sich in Ihrem S3-Dateisystem befinden, wenn Sie einen AWS eigenen Schlüssel verwenden. Weitere Informationen zu AWS eigenen Schlüsseln finden Sie unter AWS KMS-Schlüssel.
Serverseitige Verschlüsselung mit vom Kunden verwalteten AWS KMS-Schlüsseln (SSE-KMS-CMK)
Bei der Erstellung Ihres Dateisystems können Sie wählen, ob Sie einen AWS Key Management Service (AWS KMS) -Schlüssel konfigurieren möchten, den Sie verwalten. Wenn Sie die SSE-KMS-Verschlüsselung mit einem S3-Dateisystem verwenden, müssen sich die AWS KMS-Schlüssel in derselben Region wie das Dateisystem befinden.
Wichtige Richtlinien für KMS für S3-Dateien AWS
Schlüsselrichtlinien sind die wichtigste Methode zur Kontrolle des Zugriffs auf vom Kunden verwaltete Schlüssel. Weitere Informationen zu wichtigen Richtlinien finden Sie unter Wichtige Richtlinien in AWS KMS im AWS Key Management Service Developer Guide. In der folgenden Liste werden alle AWS KMS-bezogenen Berechtigungen beschrieben, die von S3 Files zur Verschlüsselung von Dateisystemen im Ruhezustand unterstützt werden:
- kms:Encrypt
(Optional) Verschlüsselt Klartext in Chiffretext. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.
- kms:Decrypt
(Erforderlich) Entschlüsselt Chiffretext. Geheimtext ist Klartext, der zuvor verschlüsselt wurde. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.
- km: ReEncrypt
(Optional) Verschlüsselt Daten auf der Serverseite mit einem neuen, vom Kunden verwalteten Schlüssel, ohne dass der Klartext der Daten auf der Clientseite offengelegt wird. Die Daten werden zuerst entschlüsselt und dann neu verschlüsselt. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.
- km: GenerateDataKeyWithoutPlaintext
(Erforderlich) Gibt einen Datenverschlüsselungsschlüssel zurück, der unter einem vom Kunden verwalteten Schlüssel verschlüsselt wurde. Diese Berechtigung ist in der Standardschlüsselrichtlinie unter kms: GenerateDataKey * enthalten.
- km: CreateGrant
(Erforderlich) Fügt einem Schlüssel einen Grant hinzu, um anzugeben, wer den Schlüssel verwenden kann und unter welchen Bedingungen. Erteilungen sind eine alternative Berechtigungsmethode zu Schlüsselrichtlinien. Weitere Informationen zu Zuschüssen finden Sie unter Grants in AWS KMS im AWS Key Management Service Developer Guide. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.
- km: DescribeKey
(Erforderlich) Stellt detaillierte Informationen zum angegebenen vom Kunden verwalteten Schlüssel bereit. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.
- km: ListAliases
(Optional) Listet alle Schlüsselaliase im Konto auf. Wenn Sie die Konsole verwenden, um ein verschlüsseltes Dateisystem zu erstellen, wird mit dieser Berechtigung die Liste KMS-Schlüssel auswählen ausgefüllt. Wir empfehlen für eine optimale Benutzererfahrung diese Berechtigung. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.
Wichtige Zustände und ihre Auswirkungen
Der Status Ihres KMS-Schlüssels wirkt sich direkt auf den Zugriff auf Ihr verschlüsseltes Dateisystem aus:
- Aktiviert
Normaler Betrieb — voller Lese- und Schreibzugriff auf das Dateisystem.
- Disabled
Auf das Dateisystem kann nach einiger Zeit nicht mehr zugegriffen werden. Kann wieder aktiviert werden.
- Löschen ausstehend
Auf das Dateisystem kann nicht mehr zugegriffen werden. Das Löschen kann während der Wartezeit abgebrochen werden. Beachten Sie, dass der Schlüssel nach dem Abbrechen des Löschvorgangs in den aktivierten Zustand versetzt werden muss.
- Gelöscht
Auf das Dateisystem kann dauerhaft nicht zugegriffen werden. Diese Aktion kann nicht rückgängig gemacht werden.
Warnung
Wenn Sie den für Ihr Dateisystem verwendeten KMS-Schlüssel deaktivieren oder löschen oder S3 Files den Zugriff auf den Schlüssel entziehen, kann nicht mehr auf Ihr Dateisystem zugegriffen werden. Dies kann zu Datenverlust führen, wenn Sie keine Backups haben. Stellen Sie immer sicher, dass Sie über die richtigen Backup-Verfahren verfügen, bevor Sie Änderungen an den Verschlüsselungsschlüsseln vornehmen.
Verschlüsselung während der Übertragung
S3-Dateien erfordern die Verschlüsselung von Daten während der Übertragung mit Transport Layer Security (TLS). Wenn Sie Ihr Dateisystem mit dem Mount Helper mounten, werden alle Daten, die zwischen Ihrem Client und dem Dateisystem übertragen werden, mit TLS verschlüsselt. Der Mount-Helper initialisiert den EFS-Proxy-Prozess, um eine sichere TLS-Verbindung mit Ihrem Dateisystem herzustellen. Der Mount-Helper erstellt auch einen Prozess namens amazon-efs-mount-watchdog, der den Zustand von Mounts überwacht und automatisch gestartet wird, wenn ein S3-Dateisystem zum ersten Mal gemountet wird. Er stellt sicher, dass der EFS-Proxy-Prozess jedes Mounts läuft, und stoppt den Prozess, wenn das Dateisystem unmountet wird. Wenn der Prozess aus irgendeinem Grund unerwartet beendet wird, startet der Watchdog-Prozess ihn neu.
Im Folgenden wird beschrieben, wie die TLS-Verschlüsselung bei der Übertragung funktioniert:
Es wird eine sichere TLS-Verbindung zwischen Ihrem Client und dem Dateisystem hergestellt
Der gesamte NFS-Verkehr wird über diese verschlüsselte Verbindung geleitet
Daten werden vor der Übertragung verschlüsselt und beim Empfang entschlüsselt
Durch die Verschlüsselung von Daten während der Übertragung ändert sich Ihr NFS-Client-Setup. In den aktiv gemounteten Dateisystemen ist ein Dateisystem wie im folgenden Beispiel gezeigt als 127.0.0.1 oder localhost gemountet.
$ mount | column -t 127.0.0.1:/ on /home/ec2-user/s3files type nfs4 (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)
Sie mounten Ihr Dateisystem mit dem Mount Helper, der Daten während der Übertragung immer mit TLS verschlüsselt. Daher wird Ihr NFS-Client beim Mounten so umkonfiguriert, dass er an einem lokalen Port gemountet wird.
