Verschlüsseln von Daten im Ruhezustand - Amazon Elastic File System
Erzwingen der Erstellung von EFS Amazon-Dateisystemen, die im Ruhezustand verschlüsselt sindVerschlüsselung von Dateisystemen im Ruhezustand mithilfe der KonsoleFunktionsweise der Verschlüsselung im Ruhezustand

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsseln von Daten im Ruhezustand

Sie können verschlüsselte Dateisysteme mit dem AWS Management Console AWS CLI, oder programmgesteuert über Amazon EFS API oder eines der erstellen. AWS SDKs Ihr Unternehmen erfordert möglicherweise die Verschlüsselung aller Daten, die einer bestimmten Klassifizierung entsprechen oder zu einer speziellen Anwendung oder Umgebung bzw. zu einem speziellen Workload gehören.

Sobald Sie ein EFS Dateisystem erstellt haben, können Sie dessen Verschlüsselungseinstellung nicht mehr ändern. Das bedeutet, dass Sie ein unverschlüsseltes Dateisystem nicht so ändern können, dass es verschlüsselt wird. Stattdessen müssen Sie ein neues, verschlüsseltes Dateisystem erstellen.

Anmerkung

Die Infrastruktur AWS für die Schlüsselverwaltung verwendet von den Federal Information Processing Standards (FIPS) 140-2 anerkannte kryptografische Algorithmen. Die Infrastruktur entspricht den Empfehlungen 80057 des National Institute of Standards and Technology (NIST).

Erzwingen der Erstellung von EFS Amazon-Dateisystemen, die im Ruhezustand verschlüsselt sind

Sie können den elasticfilesystem:Encrypted IAM Bedingungsschlüssel in identitätsbasierten Richtlinien AWS Identity and Access Management (IAM) verwenden, um zu steuern, ob Benutzer EFS Amazon-Dateisysteme erstellen können, die im Ruhezustand verschlüsselt sind. Weitere Informationen zum Verwenden des Bedingungsschlüssels finden Sie unter Beispiel: Erzwingen der Erstellung verschlüsselter Dateisysteme.

Sie können auch interne Richtlinien zur Servicesteuerung (SCPs) definieren AWS Organizations , um die EFS Verschlüsselung für alle AWS-Konto s in Ihrer Organisation durchzusetzen. Weitere Informationen zu Dienststeuerungsrichtlinien finden Sie unter Dienststeuerungsrichtlinien im AWS Organizations Benutzerhandbuch. AWS Organizations

Verschlüsselung von Dateisystemen im Ruhezustand mithilfe der Konsole

Wenn Sie mit der EFS Amazon-Konsole ein neues Dateisystem erstellen, ist die Verschlüsselung im Ruhezustand standardmäßig aktiviert. Im folgenden Verfahren wird beschrieben, wie Sie für ein neues Dateisystem während der Erstellung in der Konsole die Verschlüsselung aktivieren.

Anmerkung

Die Verschlüsselung im Ruhezustand ist standardmäßig nicht aktiviert, wenn ein neues Dateisystem mithilfe von AWS CLI API, und erstellt wirdSDKs. Weitere Informationen finden Sie unter Erstellen Sie ein Dateisystem (AWS CLI).

Um ein neues Dateisystem mit der EFS Konsole zu verschlüsseln

  1. Öffnen Sie die Amazon Elastic File System-Konsole unter https://console.aws.amazon.com/efs/.

  2. Klicken Sie auf Dateisystem erstellen, um das Dialogfeld Dateisystem erstellen zu öffnen.

  3. (Optional) Geben Sie einen Namen für das Dateisystem ein.

  4. Wählen Sie für Virtual Private Cloud (VPC) Ihre ausVPC, oder lassen Sie sie auf Ihre Standardeinstellung eingestelltVPC.

  5. Wählen Sie Erstellen, um ein Dateisystem zu erstellen, das die folgenden vom Service empfohlenen Einstellungen verwendet:

    • Die Verschlüsselung von Daten im Ruhezustand ist mit Ihrer Standardeinstellung AWS KMS key für Amazon aktiviert EFS (aws/elasticfilesystem).

    • Automatische Backups aktiviert – Weitere Informationen finden Sie unter EFSDateisysteme sichern.

    • Mount-Ziele — Amazon EFS erstellt Mount-Ziele mit den folgenden Einstellungen:

      • Befindet sich in jeder Availability Zone AWS-Region , in der das Dateisystem erstellt wurde.

      • Befindet sich in den Standard-Subnetzen der von VPC Ihnen ausgewählten.

      • Verwenden Sie die Standardsicherheitsgruppe VPC von. Sie können Sicherheitsgruppen verwalten, nachdem das Dateisystem erstellt wurde.

      Weitere Informationen finden Sie unter Verwalten der Mountingziele.

    • General Purpose Performance-Modus – Weitere Informationen finden Sie unter Leistungsmodi.

    • Elastic-Durchsatzmodus – Weitere Informationen finden Sie unterDurchsatzmodi.

    • Lebenszyklusmanagement mit einer 30-Tage-Richtlinie – Weitere Informationen finden Sie unter Verwaltung des Speicherlebenszyklus für EFS Dateisysteme.

  6. Die Seite Dateisysteme erscheint mit einem Banner oben, das den Status des von Ihnen erstellten Dateisystems anzeigt. Wenn das Dateisystem verfügbar ist, erscheint im Banner ein Link, über den Sie die Detailseite des Dateisystems aufrufen können.

Sie haben jetzt ein neues encrypted-at-rest Dateisystem.

Funktionsweise der Verschlüsselung im Ruhezustand

Auf einem verschlüsselten Dateisystem werden Daten und Metadaten automatisch verschlüsselt, bevor sie auf das Dateisystem geschrieben werden. Umgekehrt werden bei Lesevorgängen Daten und Metadaten entschlüsselt, bevor sie an die Anwendung gesendet werden. Diese Prozesse werden von Amazon transparent abgewickeltEFS, sodass Sie Ihre Anwendungen nicht ändern müssen.

Amazon EFS verwendet den Industriestandard-Verschlüsselungsalgorithmus AES -256, um EFS Daten und Metadaten im Ruhezustand zu verschlüsseln. Weitere Informationen finden Sie unter Grundlagen der Kryptographie im AWS Key Management Service -Developer Guide.

So EFS nutzt Amazon AWS KMS

Amazon EFS integriert AWS Key Management Service (AWS KMS) für die Schlüsselverwaltung. Amazon EFS verwendet vom Kunden verwaltete Schlüssel, um Ihr Dateisystem auf folgende Weise zu verschlüsseln:

  • Verschlüsselung von Metadaten im Ruhezustand — Amazon EFS verwendet Von AWS verwalteter Schlüssel for AmazonEFS,aws/elasticfilesystem, um Dateisystem-Metadaten (d. h. Dateinamen, Verzeichnisnamen und Verzeichnisinhalte) zu verschlüsseln und zu entschlüsseln.

  • Verschlüsselung von Dateidaten im Ruhezustand – Sie wählen den vom Kunden verwalteten Schlüssel (CMK), der zur Ver- und Entschlüsselung von Dateidaten (d. h. dem Inhalt Ihrer Dateien) verwendet wird. Sie können Berechtigungen für diesen vom Kunden verwalteten Schlüssel (CMK) aktivieren, deaktivieren oder widerrufen. Dieser von Kunden gemanagte Schlüssel kann einer der beiden folgenden Typen sein:

    • Von AWS verwalteter Schlüssel für Amazon EFS — Dies ist der vom Kunden verwaltete Standardschlüssel,aws/elasticfilesystem. Für die Erstellung und Speicherung eines von Kunden gemanagten Schlüssels fallen keine Gebühren an, aber es fallen Nutzungsgebühren an. Weitere Informationen finden Sie auf der Seite über AWS Key Management Service – Preise.

    • Vom Kunden verwalteter Schlüssel — Dies ist der flexibelste zu verwendende KMS Schlüssel, da Sie die wichtigsten Richtlinien und Berechtigungen für mehrere Benutzer oder Dienste konfigurieren können. Weitere Informationen zur Erstellung von kundenverwalteten Schlüsseln finden Sie unter Creating Keys im AWS Key Management Service Developer Guide.

      Wenn Sie einen vom Kunden verwalteten Schlüssel (CMK) für die Ver- und Entschlüsselung von Dateidaten verwenden, können Sie die Schlüsselrotation aktivieren. Wenn Sie die Schlüsselrotation aktivieren, AWS KMS wird Ihr Schlüssel automatisch einmal pro Jahr rotiert. Darüber hinaus können Sie bei einem vom Kunden verwalteten Schlüssel (CMK) jederzeit entscheiden, wann Sie den Zugriff auf Ihren vom Kunden verwalteten Schlüssel deaktivieren, wieder aktivieren, löschen oder widerrufen möchten. Weitere Informationen finden Sie unter Zugriffsverwaltung auf verschlüsselte Dateisysteme.

Wichtig

Amazon EFS akzeptiert nur symmetrische, vom Kunden verwaltete Schlüssel. Sie können keine asymmetrischen, vom Kunden verwalteten Schlüssel mit Amazon EFS verwenden.

Die Datenverschlüsselung und -entschlüsselung im Ruhezustand erfolgt transparent. IDsAmazon-spezifische AWS Konten EFS erscheinen jedoch in Ihren AWS CloudTrail Protokollen, die sich auf AWS KMS Aktionen beziehen. Weitere Informationen finden Sie unter EFSAmazon-Protokolldateieinträge für encrypted-at-rest Dateisysteme.

EFSWichtige Richtlinien von Amazon für AWS KMS

Schlüsselrichtlinien sind die wichtigste Methode zur Kontrolle des Zugriffs auf vom Kunden verwaltete Schlüssel. Weitere Informationen zu Schlüsselrichtlinien finden Sie unter Schlüsselrichtlinien in AWS KMS im AWS Key Management Service -Entwicklerhandbuch. In der folgenden Liste werden alle Berechtigungen beschrieben, die von Amazon EFS für Dateisysteme AWS KMS mit Verschlüsselung im Ruhezustand erforderlich sind oder anderweitig unterstützt werden:

  • kms:Encrypt – (Optional) Verschlüsselt Klartext in Geheimtext. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.

  • kms:Decrypt – (Erforderlich) Entschlüsselt Geheimtext. Geheimtext ist Klartext, der zuvor verschlüsselt wurde. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.

  • kms: ReEncrypt — (Optional) Verschlüsselt Daten auf der Serverseite mit einem neuen, vom Kunden verwalteten Schlüssel, ohne dass der Klartext der Daten auf der Clientseite offengelegt wird. Die Daten werden zuerst entschlüsselt und dann neu verschlüsselt. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.

  • kms: GenerateDataKeyWithoutPlaintext — (Erforderlich) Gibt einen Datenverschlüsselungsschlüssel zurück, der mit einem vom Kunden verwalteten Schlüssel verschlüsselt wurde. Diese Berechtigung ist in der Standardschlüsselrichtlinie unter kms: GenerateDataKey * enthalten.

  • kms: CreateGrant — (Erforderlich) Fügt einem Schlüssel einen Zuschuss hinzu, um anzugeben, wer den Schlüssel verwenden kann und unter welchen Bedingungen. Erteilungen sind eine alternative Berechtigungsmethode zu Schlüsselrichtlinien. Weitere Informationen zu Grants finden Sie unter Verwendung von Grants im AWS Key Management Service -Entwicklerhandbuch. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.

  • kms: DescribeKey — (Erforderlich) Stellt detaillierte Informationen über den angegebenen, vom Kunden verwalteten Schlüssel bereit. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.

  • kms: ListAliases — (Optional) Listet alle Schlüsselaliase im Konto auf. Wenn Sie die Konsole verwenden, um ein verschlüsseltes Dateisystem zu erstellen, wird mit dieser Berechtigung die Liste „KMSSchlüssel auswählen“ aufgefüllt. Wir empfehlen für eine optimale Benutzererfahrung diese Berechtigung. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.

Von AWS verwalteter Schlüssel für EFS KMS Amazon-Richtlinien

Die KMS Richtlinie JSON Von AWS verwalteter Schlüssel für Amazon EFS aws/elasticfilesystem lautet wie folgt:

{
    "Version": "2012-10-17",
    "Id": "auto-elasticfilesystem-1",
    "Statement": [
        {
            "Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com",
                    "kms:CallerAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "Allow direct access to key metadata to the account",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "kms:Describe*",
                "kms:Get*",
                "kms:List*",
                "kms:RevokeGrant"
            ],
            "Resource": "*"
        }
    ]
}