Verschlüsselung gespeicherter Daten - FSx für ONTAP
So FSx nutzt Amazon AWS KMSFSxWichtige Richtlinien von Amazon für AWS KMS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsselung gespeicherter Daten

Alle Amazon FSx for NetApp ONTAP Dateisysteme sind im Ruhezustand mit Schlüsseln verschlüsselt, die mit AWS Key Management Service (AWS KMS) verwaltet werden. Daten werden automatisch verschlüsselt, bevor sie in das Dateisystem geschrieben werden, und beim Lesen automatisch entschlüsselt. Diese Prozesse werden von Amazon transparent abgewickeltFSx, sodass Sie Ihre Anwendungen nicht ändern müssen.

Amazon FSx verwendet einen branchenüblichen AES -256-Verschlüsselungsalgorithmus, um FSx Amazon-Daten und Metadaten im Ruhezustand zu verschlüsseln. Weitere Informationen finden Sie unter Grundlagen der Kryptographie im AWS Key Management Service -Entwicklerhandbuch.

Anmerkung

Die Infrastruktur AWS für die Schlüsselverwaltung verwendet von den Federal Information Processing Standards (FIPS) 140-2 anerkannte kryptografische Algorithmen. Die Infrastruktur entspricht den Empfehlungen 80057 des National Institute of Standards and Technology (NIST).

So FSx nutzt Amazon AWS KMS

Amazon FSx integriert sich in AWS KMS unsere Schlüsselverwaltung. Amazon FSx verwendet KMS Schlüssel, um Ihr Dateisystem zu verschlüsseln. Sie wählen den KMS Schlüssel, der zum Verschlüsseln und Entschlüsseln von Dateisystemen (sowohl Daten als auch Metadaten) verwendet wird. Sie können Zuschüsse für diesen KMS Schlüssel aktivieren, deaktivieren oder widerrufen. Bei diesem KMS Schlüssel kann es sich um einen der beiden folgenden Typen handeln:

  • AWS-verwalteter KMS Schlüssel — Dies ist der KMS Standardschlüssel, der kostenlos verwendet werden kann.

  • Vom Kunden verwalteter KMS Schlüssel — Dies ist der flexibelste KMS Schlüssel, der verwendet werden kann, da Sie die wichtigsten Richtlinien und Berechtigungen für mehrere Benutzer oder Dienste konfigurieren können. Weitere Informationen zum Erstellen von KMS Schlüsseln finden Sie unter Creating Keys im AWS Key Management Service Developer Guide.

Wichtig

Amazon FSx akzeptiert nur symmetrische KMS Verschlüsselungsschlüssel. Sie können bei Amazon FSx keine asymmetrischen KMS Schlüssel verwenden.

Wenn Sie einen vom Kunden verwalteten KMS Schlüssel als KMS Schlüssel für die Verschlüsselung und Entschlüsselung von Dateidaten verwenden, können Sie die Schlüsselrotation aktivieren. In diesem Fall rotiert AWS KMS Ihren Schlüssel einmal jährlich automatisch. Darüber hinaus können Sie bei einem vom Kunden verwalteten KMS Schlüssel jederzeit wählen, wann Sie Ihren KMS Schlüssel deaktivieren, wieder aktivieren, löschen oder entziehen möchten. Weitere Informationen finden Sie im Entwicklerhandbuch unter Drehen, Aktivieren AWS KMS keys und Deaktivieren von Schlüsseln.AWS Key Management Service

FSxWichtige Richtlinien von Amazon für AWS KMS

Wichtige Richtlinien sind die wichtigste Methode, um den Zugriff auf KMS Schlüssel zu kontrollieren. Weitere Informationen zu wichtigen Richtlinien finden Sie unter Verwenden von Schlüsselrichtlinien AWS KMS im AWS Key Management Service Entwicklerhandbuch.In der folgenden Liste werden alle zugehörigen Berechtigungen AWS KMS beschrieben, die von Amazon FSx für Dateisysteme mit Verschlüsselung im Ruhezustand unterstützt werden:

  • kms:Encrypt – (Optional) Verschlüsselt Klartext in Geheimtext. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.

  • kms:Decrypt – (Erforderlich) Entschlüsselt Geheimtext. Chiffretext ist Klartext, der zuvor verschlüsselt wurde. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.

  • kms: ReEncrypt — (Optional) Verschlüsselt Daten auf der Serverseite mit einem neuen Code AWS KMS key, ohne dass der Klartext der Daten auf der Clientseite offengelegt wird. Die Daten werden zuerst entschlüsselt und dann neu verschlüsselt. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.

  • kms: GenerateDataKeyWithoutPlaintext — (Erforderlich) Gibt einen unter einem Schlüssel verschlüsselten Datenverschlüsselungsschlüssel zurück. KMS Diese Berechtigung ist in der Standardschlüsselrichtlinie unter kms: GenerateDataKey * enthalten.

  • kms: CreateGrant — (Erforderlich) Fügt einem Schlüssel einen Zuschuss hinzu, um anzugeben, wer den Schlüssel verwenden kann und unter welchen Bedingungen. Erteilungen sind eine alternative Berechtigungsmethode zu Schlüsselrichtlinien. Weitere Informationen zu Grants finden Sie unter Verwendung von Grants im AWS Key Management Service -Entwicklerhandbuch. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.

  • kms: DescribeKey — (Erforderlich) Stellt detaillierte Informationen über den angegebenen KMS Schlüssel bereit. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.

  • kms: ListAliases — (Optional) Listet alle Schlüsselaliase im Konto auf. Wenn Sie die Konsole verwenden, um ein verschlüsseltes Dateisystem zu erstellen, füllt diese Berechtigung die Liste der KMS Schlüssel auf. Wir empfehlen für eine optimale Benutzererfahrung diese Berechtigung. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.