Cifrado de datos en reposo - FSxpara Lustre
Funcionamiento del cifrado en reposoAWS KMS administración de claves

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado de datos en reposo

El cifrado de los datos en reposo se habilita automáticamente al crear un sistema de archivos de Amazon FSx for Lustre a través del AWS Management Console AWS CLI, el o mediante programación a través de Amazon FSx API o uno de los. AWS SDKs Su organización podría necesitar el cifrado en reposo de todos los datos que cumplan una clasificación específica o que se asocien a una determinada aplicación, carga de trabajo o entorno. Si crea un sistema de archivos persistente, puede especificar la AWS KMS clave con la que se cifrarán los datos. Si creas un sistema de archivos temporal, los datos se cifran mediante claves gestionadas por AmazonFSx. Para obtener más información sobre cómo crear un sistema de archivos cifrado en reposo mediante la consola, consulte Crear un sistema de archivos Amazon FSx for Lustre.

nota

La infraestructura de administración de AWS claves utiliza algoritmos criptográficos aprobados por las normas federales de procesamiento de información (FIPS) 140-2. La infraestructura es coherente con las recomendaciones del Instituto Nacional de Estándares y Tecnología (NIST) 800-57.

Para obtener más información sobre los usos FSx de Lustre AWS KMS, consulte. Cómo utiliza Amazon FSx for Lustre AWS KMS

Funcionamiento del cifrado en reposo

En un sistema de archivos cifrados, los datos y los metadatos se cifran automáticamente antes de escribirse en el sistema de archivos. Del mismo modo, cuando se leen los datos y metadatos, se descifran automáticamente antes de que se presenten a la aplicación. Amazon FSx for Lustre gestiona estos procesos de forma transparente, por lo que no tiene que modificar sus aplicaciones.

Amazon FSx for Lustre utiliza el algoritmo de cifrado AES -256 estándar del sector para cifrar los datos del sistema de archivos en reposo. Para obtener más información, consulte los Conceptos básicos de la criptografía en la Guía del desarrollador de AWS Key Management Service .

Cómo utiliza Amazon FSx for Lustre AWS KMS

Amazon FSx for Lustre cifra los datos automáticamente antes de escribirlos en el sistema de archivos y los descifra automáticamente a medida que se leen. Los datos se cifran mediante un cifrado de XTS AES -256 bloques. Todos los sistemas de archivos Scratch FSx for Lustre están cifrados en reposo con claves gestionadas por. AWS KMS Amazon FSx for Lustre se integra con la administración AWS KMS de claves. Las claves utilizadas para cifrar los sistemas de archivos Scratch en reposo son únicas por sistema de archivos y se destruyen una vez eliminado el sistema de archivos. En el caso de los sistemas de archivos persistentes, usted elige la KMS clave utilizada para cifrar y descifrar los datos. Puede especificar qué clave se usará cuando se cree un sistema de archivos persistente. Puede activar, desactivar o revocar las concesiones de esta clave. KMS Esta KMS clave puede ser de uno de los dos tipos siguientes:

  • Clave administrada de AWS para Amazon FSx: esta es la KMS clave predeterminada. No se te cobra por crear y almacenar una KMS clave, pero hay cargos por uso. Para obtener más información, consulte Precios de AWS Key Management Service.

  • Clave administrada por el cliente: es la KMS clave más flexible de usar, ya que puede configurar sus políticas clave y concesiones para varios usuarios o servicios. Para obtener más información sobre la creación de claves administradas por el cliente, consulte Creación de claves en la Guía para AWS Key Management Service desarrolladores.

Si utiliza una clave gestionada por el cliente como KMS clave para el cifrado y descifrado de los datos de los archivos, puede activar la rotación de claves. Cuando habilita la rotación de claves, la rota AWS KMS automáticamente una vez al año. Además, una clave administrada por el cliente le permite elegir el momento en que desea deshabilitar, volver a habilitar, eliminar o revocar el acceso a su clave gestionada por el cliente en cualquier momento.

importante

Amazon solo FSx acepta KMS claves de cifrado simétricas. No puedes usar KMS claves asimétricas con AmazonFSx.

Políticas FSx clave de Amazon para AWS KMS

Las políticas clave son la principal forma de controlar el acceso a KMS las claves. Para obtener más información sobre las políticas de claves, consulte Uso de las políticas de claves en AWS KMS en la Guía para desarrolladores de AWS Key Management Service . En la siguiente lista se describen todos los permisos AWS KMS relacionados con los que Amazon admite FSx para los sistemas de archivos cifrados en reposo:

  • kms:Encrypt - (opcional): cifra texto plano en texto cifrado. Este permiso está incluido en la política de claves predeterminada.

  • kms: Decrypt: (obligatorio) descifra texto cifrado. El texto cifrado es texto no cifrado que se ha cifrado previamente. Este permiso está incluido en la política de claves predeterminada.

  • kms: ReEncrypt — (opcional) Cifra los datos del lado del servidor con una nueva KMS clave, sin exponer el texto sin formato de los datos del lado del cliente. Los datos se descifran en primer lugar y luego se vuelven a cifrar. Este permiso está incluido en la política de claves predeterminada.

  • kms: GenerateDataKeyWithoutPlaintext — (Obligatorio) Devuelve una clave de cifrado de datos cifrada bajo una KMS clave. Este permiso está incluido en la política de claves predeterminada en kms: GenerateDataKey *.

  • kms: CreateGrant — (Obligatorio) Añade una concesión a una clave para especificar quién puede utilizarla y en qué condiciones. Las concesiones son mecanismos de permiso alternativo para las políticas de claves. Para obtener más información sobre las concesiones, consulte Uso de concesiones en la Guía para desarrolladores de AWS Key Management Service . Este permiso está incluido en la política de claves predeterminada.

  • kms: DescribeKey — (Obligatorio) Proporciona información detallada sobre la KMS clave especificada. Este permiso está incluido en la política de claves predeterminada.

  • kms: ListAliases — (opcional) Muestra todos los alias clave de la cuenta. Al utilizar la consola para crear un sistema de archivos cifrados, este permiso rellena la lista para seleccionar la KMS clave. Le recomendamos que utilice este permiso para proporcionar la mejor experiencia de usuario. Este permiso está incluido en la política de claves predeterminada.