Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

AWS KMS

PDF
RSS
Modo de enfoque
AWS KMS - Amazon Elastic File System
Políticas clave de Amazon EFS para AWS KMS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Amazon EFS se integra con AWS Key Management Service (AWS KMS) para la administración de claves. Amazon EFS usa claves maestras de cliente para cifrar el sistema de archivos de la siguiente forma:

  • Cifrado de metadatos en reposo: Amazon EFS utiliza la Clave administrada de AWS para Amazon EFS, aws/elasticfilesystem, para cifrar y descifrar metadatos del sistema de archivos (es decir, nombres de archivo, nombres de directorio y contenido de los directorios).

  • Cifrado de datos de archivos en reposo: elija la clave administrada por el cliente usada para cifrar y descifrar los datos de archivo (es decir, el contenido de los archivos). Puede habilitar, deshabilitar o revocar concesiones en esta clave administrada por el cliente. Esta clave administrada por el cliente puede ser de uno de los dos siguientes tipos:

    • Clave administrada de AWS para Amazon EFS: esta es la clave administrada por el cliente predeterminada,aws/elasticfilesystem. No se le cobrará por crear ni almacenar una clave administrada por el cliente, pero sí por utilizarla. Para obtener más información, consulte Precios de AWS Key Management Service.

    • Clave administrada por el cliente: se trata de la clave del KMS más flexible, ya que puede configurar las políticas de claves y concesiones para varios usuarios o servicios. Para obtener más información sobre la creación de claves administradas por el cliente, consulte Creación de claves en la Guía para AWS Key Management Service desarrolladores.

      Si utiliza una clave administrada por el cliente para el cifrado y descifrado de datos de archivo, puede activar la rotación de claves. Cuando habilitas la rotación de claves, la rota AWS KMS automáticamente una vez al año. Además, una clave administrada por el cliente le permite elegir el momento en que desea deshabilitar, volver a habilitar, eliminar o revocar el acceso a su clave gestionada por el cliente en cualquier momento. Para obtener más información, consulte Administración del acceso a los sistemas de archivos cifrados.

importante

Amazon EFS solo acepta claves simétricas administradas por el cliente. No puede usar claves asimétricas administradas por el cliente con Amazon EFS.

El cifrado y descifrado de datos en reposo se administran de forma transparente. Sin embargo, las AWS cuentas IDs específicas de Amazon EFS aparecen en AWS CloudTrail los registros relacionados con AWS KMS las acciones. Para obtener más información, consulte Entradas de archivos de registro de Amazon EFS para sistemas de encrypted-at-rest archivos.

Políticas clave de Amazon EFS para AWS KMS

Las políticas de claves son la forma principal de controlar el acceso a las claves administradas por el cliente. Para obtener más información sobre las políticas de claves, consulte Políticas de claves en AWS KMS en la Guía para desarrolladores de AWS Key Management Service . En la siguiente lista se describen todos los permisos relacionados con AWS KMS que Amazon EFS admite para sistemas de archivos cifrados en reposo:

  • kms:Encrypt - (opcional): cifra texto plano en texto cifrado. Este permiso está incluido en la política de claves predeterminada.

  • kms: Decrypt: (obligatorio) descifra texto cifrado. El texto cifrado es texto no cifrado que se ha cifrado previamente. Este permiso está incluido en la política de claves predeterminada.

  • kms: ReEncrypt — (Opcional) Cifra los datos del lado del servidor con una nueva clave administrada por el cliente, sin exponer el texto sin formato de los datos del lado del cliente. Los datos se descifran en primer lugar y luego se vuelven a cifrar. Este permiso está incluido en la política de claves predeterminada.

  • kms: GenerateDataKeyWithoutPlaintext — (Obligatorio) Devuelve una clave de cifrado de datos cifrada con una clave gestionada por el cliente. Este permiso está incluido en la política de claves predeterminada en kms: GenerateDataKey *.

  • kms: CreateGrant — (Obligatorio) Añade una concesión a una clave para especificar quién puede utilizarla y en qué condiciones. Las concesiones son mecanismos de permiso alternativo para las políticas de claves. Para obtener más información sobre las concesiones, consulte Uso de concesiones en la Guía para desarrolladores de AWS Key Management Service . Este permiso está incluido en la política de claves predeterminada.

  • kms: DescribeKey — (Obligatorio) Proporciona información detallada sobre la clave gestionada por el cliente especificada. Este permiso está incluido en la política de claves predeterminada.

  • kms: ListAliases — (opcional) Muestra todos los alias clave de la cuenta. Si utiliza la consola para crear un sistema de archivos cifrados, este permiso rellena la lista Seleccionar clave maestra de KMS. Le recomendamos que utilice este permiso para proporcionar la mejor experiencia de usuario. Este permiso está incluido en la política de claves predeterminada.

Clave administrada de AWS para la política de Amazon EFS KMS

La política JSON de KMS Clave administrada de AWS para Amazon EFS aws/elasticfilesystem es la siguiente:

{
    "Version": "2012-10-17",
    "Id": "auto-elasticfilesystem-1",
    "Statement": [
        {
            "Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com",
                    "kms:CallerAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "Allow direct access to key metadata to the account",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "kms:Describe*",
                "kms:Get*",
                "kms:List*",
                "kms:RevokeGrant"
            ],
            "Resource": "*"
        }
    ]
}

En esta página

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.