Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS KMS
Amazon EFS se integra con AWS Key Management Service (AWS KMS) para la administración de claves. Amazon EFS utiliza claves gestionadas por el cliente para cifrar tu sistema de archivos de la siguiente manera:
-
Cifrado de metadatos en reposo: Amazon EFS utiliza Clave administrada de AWS para AmazonEFS,
aws/elasticfilesystem, para cifrar y descifrar los metadatos del sistema de archivos (es decir, los nombres de los archivos, los nombres de los directorios y el contenido de los directorios). -
Cifrado de datos de archivos en reposo: elija la clave administrada por el cliente usada para cifrar y descifrar los datos de archivo (es decir, el contenido de los archivos). Puede habilitar, deshabilitar o revocar concesiones en esta clave administrada por el cliente. Esta clave administrada por el cliente puede ser de uno de los dos siguientes tipos:
-
Clave administrada de AWS para Amazon EFS: esta es la clave gestionada por el cliente predeterminada,
aws/elasticfilesystem. No se le cobrará por crear ni almacenar una clave administrada por el cliente, pero sí por utilizarla. Para obtener más información, consulte Precios de AWS Key Management Service. -
Clave gestionada por el cliente: es la KMS clave más flexible de usar, ya que puede configurar sus políticas y concesiones clave para varios usuarios o servicios. Para obtener más información sobre la creación de claves administradas por el cliente, consulte Creación de claves en la Guía para AWS Key Management Service desarrolladores.
Si utiliza una clave administrada por el cliente para el cifrado y descifrado de datos de archivo, puede activar la rotación de claves. Cuando habilitas la rotación de claves, la rota AWS KMS automáticamente una vez al año. Además, una clave administrada por el cliente le permite elegir el momento en que desea deshabilitar, volver a habilitar, eliminar o revocar el acceso a su clave gestionada por el cliente en cualquier momento. Para obtener más información, consulte Administración del acceso a los sistemas de archivos cifrados.
-
importante
Amazon solo EFS acepta claves simétricas gestionadas por el cliente. No puedes usar claves asimétricas gestionadas por el cliente con AmazonEFS.
El cifrado y descifrado de datos en reposo se administran de forma transparente. Sin embargo, las AWS cuentas IDs específicas de Amazon EFS aparecen en tus AWS CloudTrail registros relacionados con AWS KMS las acciones. Para obtener más información, consulte Entradas de archivos de EFS registro de Amazon para sistemas de encrypted-at-rest archivos.
Políticas EFS clave de Amazon para AWS KMS
Las políticas de claves son la forma principal de controlar el acceso a las claves administradas por el cliente. Para obtener más información sobre las políticas de claves, consulte Políticas de claves en AWS KMS en la Guía para desarrolladores de AWS Key Management Service . En la siguiente lista se describen todos los permisos AWS KMS relacionados con los sistemas de archivos cifrados en reposo que Amazon EFS exige o admite de otro modo:
-
kms:Encrypt - (opcional): cifra texto plano en texto cifrado. Este permiso está incluido en la política de claves predeterminada.
-
kms: Decrypt: (obligatorio) descifra texto cifrado. El texto cifrado es texto no cifrado que se ha cifrado previamente. Este permiso está incluido en la política de claves predeterminada.
-
kms: ReEncrypt — (opcional) Cifra los datos del lado del servidor con una nueva clave administrada por el cliente, sin exponer el texto sin formato de los datos del lado del cliente. Los datos se descifran en primer lugar y luego se vuelven a cifrar. Este permiso está incluido en la política de claves predeterminada.
-
kms: GenerateDataKeyWithoutPlaintext — (Obligatorio) Devuelve una clave de cifrado de datos cifrada con una clave gestionada por el cliente. Este permiso está incluido en la política de claves predeterminada en kms: GenerateDataKey *.
-
kms: CreateGrant — (Obligatorio) Añade una concesión a una clave para especificar quién puede utilizarla y en qué condiciones. Las concesiones son mecanismos de permiso alternativo para las políticas de claves. Para obtener más información sobre las concesiones, consulte Uso de concesiones en la Guía para desarrolladores de AWS Key Management Service . Este permiso está incluido en la política de claves predeterminada.
-
kms: DescribeKey — (Obligatorio) Proporciona información detallada sobre la clave gestionada por el cliente especificada. Este permiso está incluido en la política de claves predeterminada.
-
kms: ListAliases — (opcional) Muestra todos los alias clave de la cuenta. Al utilizar la consola para crear un sistema de archivos cifrados, este permiso rellena la lista de KMSclaves de selección. Le recomendamos que utilice este permiso para proporcionar la mejor experiencia de usuario. Este permiso está incluido en la política de claves predeterminada.
Clave administrada de AWS para la EFS KMS política de Amazon
La KMS política JSON Clave administrada de AWS de Amazon EFS aws/elasticfilesystem es la siguiente:
{ "Version": "2012-10-17", "Id": "auto-elasticfilesystem-1", "Statement": [ { "Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:CreateGrant", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com", "kms:CallerAccount": "111122223333" } } }, { "Sid": "Allow direct access to key metadata to the account", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": [ "kms:Describe*", "kms:Get*", "kms:List*", "kms:RevokeGrant" ], "Resource": "*" } ] }
