Verschlüsselung gespeicherter Daten - Amazon FSx für Windows-Dateiserver
So FSx nutzt Amazon AWS KMS FSx Wichtige Richtlinien von Amazon für AWS KMS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsselung gespeicherter Daten

Alle FSx Amazon-Dateisysteme sind im Ruhezustand mit Schlüsseln verschlüsselt, die mit AWS Key Management Service (AWS KMS) verwaltet werden. Daten werden automatisch verschlüsselt, bevor sie in das Dateisystem geschrieben werden, und beim Lesen automatisch entschlüsselt. Diese Prozesse werden von Amazon transparent abgewickelt FSx, sodass Sie Ihre Anwendungen nicht ändern müssen.

Amazon FSx verwendet einen branchenüblichen AES-256-Verschlüsselungsalgorithmus, um FSx Daten und Metadaten von Amazon im Ruhezustand zu verschlüsseln. Weitere Informationen finden Sie unter Grundlagen der Kryptographie im AWS Key Management Service -Entwicklerhandbuch.

Anmerkung

Die Infrastruktur AWS für die Schlüsselverwaltung verwendet von den Federal Information Processing Standards (FIPS) 140-2 zugelassene kryptografische Algorithmen. Die Infrastruktur entspricht den Empfehlungen der National Institute of Standards and Technology (NIST) 800-57.

So FSx nutzt Amazon AWS KMS

Amazon FSx integriert sich in AWS KMS unsere Schlüsselverwaltung. Amazon FSx verwendet ein AWS KMS key , um Ihr Dateisystem zu verschlüsseln. Sie wählen den KMS-Schlüssel, der zum Verschlüsseln und Entschlüsseln von Dateisystemen (sowohl Daten als auch Metadaten) verwendet wird. Sie können Zuweisungen für diesen KMS-Schlüssel aktivieren, deaktivieren oder widerrufen. Dieser KMS-Schlüssel kann einer der beiden folgenden Typen sein:

  • Von AWS verwalteter Schlüssel— Dies ist der Standard-KMS-Schlüssel, der kostenlos verwendet werden kann.

  • Kundenverwalteter Schlüssel – Dies ist der flexibelste KMS-Schlüssel, da Sie seine Schlüsselrichtlinien und Berechtigungen für mehrere Benutzer oder Dienste konfigurieren können. Weitere Informationen zum Erstellen von kundenverwalteten Schlüsseln finden Sie unter Creating Keys im AWS Key Management Service Developer Guide.

Wenn Sie einen vom Kunden verwalteten Schlüssel als KMS-Schlüssel für die Verschlüsselung und Entschlüsselung von Dateidaten verwenden, können Sie die Schlüsselrotation aktivieren. In diesem Fall rotiert AWS KMS Ihren Schlüssel einmal jährlich automatisch. Darüber hinaus können Sie mit einem vom Kunden verwalteten Schlüssel jederzeit wählen, wann Sie den Zugriff auf Ihren KMS-Schlüssel deaktivieren, erneut aktivieren, löschen oder widerrufen möchten. Weitere Informationen finden Sie unter Rotating AWS KMS keys im AWS Key Management Service Entwicklerhandbuch.

Die Verschlüsselung und Entschlüsselung des Dateisystems im Ruhezustand erfolgt transparent. AWS-Konto IDs Spezifische für Amazon FSx erscheinen jedoch in Ihren AWS CloudTrail Protokollen, die sich auf AWS KMS Aktionen beziehen.

FSx Wichtige Richtlinien von Amazon für AWS KMS

Schlüsselrichtlinien sind die primäre Methode zur Zugriffssteuerung für KMS-Schlüssel. Weitere Informationen zu den wichtigsten Richtlinien finden Sie unter Verwenden wichtiger Richtlinien AWS KMS im AWS Key Management Service Entwicklerhandbuch.In der folgenden Liste werden alle zugehörigen Berechtigungen AWS KMS beschrieben, die von Amazon FSx für Dateisysteme mit Verschlüsselung im Ruhezustand unterstützt werden:

  • kms:Encrypt – (Optional) Verschlüsselt Klartext in Geheimtext. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.

  • kms:Decrypt – (Erforderlich) Entschlüsselt Geheimtext. Geheimtext ist Klartext, der zuvor verschlüsselt wurde. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.

  • kms: ReEncrypt — (Optional) Verschlüsselt Daten auf der Serverseite mit einem neuen KMS-Schlüssel, ohne den Klartext der Daten auf der Clientseite offenzulegen. Die Daten werden zuerst entschlüsselt und dann neu verschlüsselt. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.

  • kms: GenerateDataKeyWithoutPlaintext — (Erforderlich) Gibt einen mit einem KMS-Schlüssel verschlüsselten Datenverschlüsselungsschlüssel zurück. Diese Berechtigung ist in der Standardschlüsselrichtlinie unter kms: GenerateDataKey * enthalten.

  • kms: CreateGrant — (Erforderlich) Fügt einem Schlüssel einen Zuschuss hinzu, um anzugeben, wer den Schlüssel verwenden kann und unter welchen Bedingungen. Erteilungen sind eine alternative Berechtigungsmethode zu Schlüsselrichtlinien. Weitere Informationen zu Zuschüssen finden Sie unter Verwendung von Zuschüssen im AWS Key Management Service Entwicklerhandbuch. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.

  • kms: DescribeKey — (Erforderlich) Stellt detaillierte Informationen zum angegebenen KMS-Schlüssel bereit. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.

  • kms: ListAliases — (Optional) Listet alle Schlüsselaliase im Konto auf. Wenn Sie die Konsole verwenden, um ein verschlüsseltes Dateisystem zu erstellen, füllt diese Berechtigung die Liste der KMS-Schlüssel auf. Wir empfehlen für eine optimale Benutzererfahrung diese Berechtigung. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.