Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sie können verschlüsselte Dateisysteme mit der AWS Management Console AWS CLI, oder programmgesteuert über die Amazon EFS-API oder eine der beiden erstellen. AWS SDKs Ihr Unternehmen erfordert möglicherweise die Verschlüsselung aller Daten, die einer bestimmten Klassifizierung entsprechen oder zu einer speziellen Anwendung oder Umgebung bzw. zu einem speziellen Workload gehören.
Sobald Sie ein EFS-Dateisystem erstellt haben, können Sie dessen Verschlüsselungseinstellung nicht mehr ändern. Das bedeutet, dass Sie ein unverschlüsseltes Dateisystem nicht so ändern können, dass es verschlüsselt wird. Stattdessen müssen Sie ein neues, verschlüsseltes Dateisystem erstellen.
Anmerkung
Die Infrastruktur AWS für die Schlüsselverwaltung verwendet von den Federal Information Processing Standards (FIPS) 140-2 anerkannte kryptografische Algorithmen. Die Infrastruktur entspricht den Empfehlungen der National Institute of Standards and Technology (NIST) 800-57.
Erzwingen der Erstellung von EFS-Dateisystemen, die im Ruhezustand verschlüsselt sind
Sie können den elasticfilesystem:Encrypted IAM-Bedingungsschlüssel in AWS Identity and Access Management (IAM) identitätsbasierten Richtlinien verwenden, um zu steuern, ob Benutzer Amazon-EFS-Dateisysteme erstellen können, die im Ruhezustand verschlüsselt sind. Weitere Informationen zum Verwenden des Bedingungsschlüssels finden Sie unter Beispiel: Erzwingen der Erstellung verschlüsselter Dateisysteme.
Sie können auch interne Dienststeuerungsrichtlinien (SCPs) definieren AWS Organizations , um die EFS-Verschlüsselung für alle AWS-Konto s in Ihrer Organisation durchzusetzen. Weitere Informationen zu Dienststeuerungsrichtlinien finden Sie unter Dienststeuerungsrichtlinien im AWS Organizations Benutzerhandbuch. AWS Organizations
Verschlüsselung von Dateisystemen im Ruhezustand mithilfe der Konsole
Wenn Sie mit der Amazon-EFS-Konsole ein neues Dateisystem erstellen, ist die Verschlüsselung im Ruhezustand standardmäßig aktiviert.
Anmerkung
Die Verschlüsselung im Ruhezustand ist standardmäßig nicht aktiviert, wenn ein neues Dateisystem mithilfe der API AWS CLI, und SDKs erstellt wird. Weitere Informationen finden Sie unter Erstellen Sie ein Dateisystem ()AWS CLI.
Funktionsweise der Verschlüsselung im Ruhezustand
Auf einem verschlüsselten Dateisystem werden Daten und Metadaten automatisch verschlüsselt, bevor sie auf das Dateisystem geschrieben werden. Umgekehrt werden bei Lesevorgängen Daten und Metadaten entschlüsselt, bevor sie an die Anwendung gesendet werden. Diese Vorgänge werden transparent von Amazon EFS gehandhabt, so dass Sie Ihre Anwendungen nicht ändern müssen.
Amazon EFS verwendet den branchenüblichen Verschlüsselungsalgorithmus AES-256 zur Verschlüsselung von EFS-Daten und -Metadaten im Ruhezustand. Weitere Informationen finden Sie unter Grundlagen der Kryptographie im AWS Key Management Service -Developer Guide.
