Cifrado de datos en reposo - FSx para Lustre
Funcionamiento del cifrado en reposoAdministración de claves AWS KMS

Cifrado de datos en reposo

El cifrado de los datos en reposo se habilita automáticamente al crear un sistema de archivos de Amazon FSx for Lustre mediante la AWS Management Console, la AWS CLI o mediante programación a través de la API de Amazon FSx o uno de los SDK de AWS. Su organización podría necesitar el cifrado en reposo de todos los datos que cumplan una clasificación específica o que se asocien a una determinada aplicación, carga de trabajo o entorno. Si crea un sistema de archivos persistente, puede especificar la clave AWS KMS con la que se cifrarán los datos. Si crea un sistema de archivos Scratch, los datos se cifran usando claves gestionadas por Amazon FSx. Para obtener más información sobre cómo crear un sistema de archivos cifrado en reposo mediante la consola, consulte Crear el sistema de archivos de Amazon FSx for Lustre.

nota

La infraestructura de gestión de claves de AWS utiliza algoritmos criptográficos aprobados por el estándar de procesamiento de la información federal (FIPS) 140-2. La infraestructura se adhiere a las recomendaciones del Instituto Nacional de Normas y Tecnología (NIST) 800-57.

Para obtener más información sobre cómo FSx para Lustre utiliza AWS KMS, consulte Cómo Amazon FSx for Lustre usa AWS KMS.

Funcionamiento del cifrado en reposo

En un sistema de archivos cifrados, los datos y los metadatos se cifran automáticamente antes de escribirse en el sistema de archivos. Del mismo modo, cuando se leen los datos y metadatos, se descifran automáticamente antes de que se presenten a la aplicación. Estos procesos los administra Amazon FSx for Lustre de forma transparente, por lo que no tiene que modificar sus aplicaciones.

Amazon FSx for Lustre usa el algoritmo de cifrado AES-256 estándar del sector para cifrar datos en reposo de sistemas de archivos. Para obtener más información, consulte los Conceptos básicos de la criptografía en la Guía del desarrollador de AWS Key Management Service.

Cómo Amazon FSx for Lustre usa AWS KMS

Amazon FSx for Lustre cifra datos de manera automática antes de escribirse en el sistema de archivos y los descifra de la misma manera a medida que se leen. Los datos se cifran mediante un cifrado de bloques XTS-AES-256. Todos los sistemas de archivos scratch de FSx para Lustre se cifran en reposo mediante claves administradas por AWS KMS. Amazon FSx for Lustre se integra con AWS KMS para la administración de claves Las claves utilizadas para cifrar los sistemas de archivos Scratch en reposo son únicas por sistema de archivos y se destruyen una vez eliminado el sistema de archivos. En el caso de los sistemas de archivos persistentes, debe elegir la clave de KMS usada para cifrar y descifrar los datos. Puede especificar qué clave se usará cuando se cree un sistema de archivos persistente. Puede habilitar, deshabilitar o revocar concesiones en esta clave de KMS. Esta clave de KMS puede ser de uno de los dos siguientes tipos:

  • Clave administrada de AWSpara Amazon FSx: es la clave de KMS predeterminada. No se le cobrará por crear ni almacenar una clave de KMS, pero sí por utilizarla. Para más información, consulte Precios de AWS Key Management Service.

  • Clave administrada por el cliente: se trata de la clave de KMS más flexible, ya que puede configurar las políticas de claves y concesiones para varios usuarios o servicios. Para obtener más información acerca de la creación de claves administradas por el cliente, consulte la Creación de claves en la Guía para desarrolladores de AWS Key Management Service.

Si utiliza una clave administrada por el cliente como clave de KMS para el cifrado y descifrado de datos de archivo, puede activar la rotación de claves. Cuando se activa la rotación de claves, AWS KMS rota automáticamente su clave una vez al año. Además, una clave administrada por el cliente le permite elegir el momento en que desea deshabilitar, volver a habilitar, eliminar o revocar el acceso a su clave gestionada por el cliente en cualquier momento.

importante

Amazon FSx solo admite claves KMS de cifrado simétricas. No puede utilizar claves KMS asimétricas con Amazon FSx.

Políticas de claves de Amazon FSx para AWS KMS

Las políticas de claves son la forma principal de controlar el acceso a las claves KMS. Para obtener más información acerca de las políticas de claves, consulte Uso de las políticas de claves en AWS KMS en la Guía para desarrolladores de AWS Key Management Service.En la siguiente lista se describen todos los permisos relacionados con AWS KMS que Amazon FSx admite para sistemas de archivos cifrados en reposo:

  • kms:Encrypt: (opcional) cifra texto no cifrado en texto cifrado. Este permiso está incluido en la política de claves predeterminada.

  • kms: Decrypt: (obligatorio) descifra texto cifrado. El texto cifrado es texto no cifrado que se ha cifrado previamente. Este permiso está incluido en la política de claves predeterminada.

  • kms:ReEncrypt: (opcional) cifra datos del lado del servidor con una nueva clave de KMS, sin exponer el texto no cifrado de los datos en el lado del cliente. Los datos se descifran en primer lugar y luego se vuelven a cifrar. Este permiso está incluido en la política de claves predeterminada.

  • kms:GenerateDataKeyWithoutPlaintext: (obligatorio) devuelve una clave de cifrado de datos cifrada con una clave de KMS. Este permiso está incluido en la política de claves predeterminada en kms:GenerateDataKey*.

  • kms:CreateGrant: (obligatorio) añade una concesión a una clave para especificar quién puede utilizar la clave y en qué condiciones. Las concesiones son mecanismos de permiso alternativo para las políticas de claves. Para obtener más información sobre las concesiones, consulte Uso de concesiones en la Guía para desarrolladores de AWS Key Management Service. Este permiso está incluido en la política de claves predeterminada.

  • kms:DescribeKey: (obligatorio) proporciona información detallada acerca de la clave de KMS especificada. Este permiso está incluido en la política de claves predeterminada.

  • kms:ListAliases: (opcional) muestra todos los alias de clave de la cuenta. Si utiliza la consola para crear un sistema de archivos cifrados, este permiso rellena la lista para seleccionar la clave de KMS. Le recomendamos que utilice este permiso para proporcionar la mejor experiencia de usuario. Este permiso está incluido en la política de claves predeterminada.