Cifrado de datos en reposo - FSx para ONTAP
Cómo FSx usa Amazon AWS KMSPolíticas FSx clave de Amazon para AWS KMS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado de datos en reposo

Todos los sistemas FSx de NetApp ONTAP archivos de Amazon están cifrados en reposo con claves gestionadas mediante AWS Key Management Service (AWS KMS). Los datos se cifran de manera automática antes de escribirse en el sistema de archivos y se descifran de la misma manera a medida que se leen. Amazon gestiona estos procesos de forma transparenteFSx, por lo que no tienes que modificar tus aplicaciones.

Amazon FSx utiliza un algoritmo de cifrado AES -256 estándar del sector para cifrar los datos y metadatos de FSx Amazon en reposo. Para obtener más información, consulte los Conceptos básicos de la criptografía en la Guía del desarrollador de AWS Key Management Service .

nota

La infraestructura de administración de AWS claves utiliza algoritmos criptográficos aprobados por las normas federales de procesamiento de información (FIPS) 140-2. La infraestructura es coherente con las recomendaciones del Instituto Nacional de Estándares y Tecnología (NIST) 800-57.

Cómo FSx usa Amazon AWS KMS

Amazon FSx se integra AWS KMS para la gestión de claves. Amazon FSx utiliza KMS claves para cifrar tu sistema de archivos. Tú eliges la KMS clave utilizada para cifrar y descifrar los sistemas de archivos (tanto de datos como de metadatos). Puede activar, desactivar o revocar las concesiones de esta clave. KMS Esta KMS clave puede ser de uno de los dos tipos siguientes:

  • AWS KMS-clave administrada: es la KMS clave predeterminada y es de uso gratuito.

  • KMSClave administrada por el cliente: es la KMS clave más flexible de usar, ya que puede configurar sus políticas clave y concesiones para varios usuarios o servicios. Para obtener más información sobre la creación de KMS claves, consulte Creación de claves en la Guía AWS Key Management Service para desarrolladores.

importante

Amazon solo FSx acepta KMS claves de cifrado simétricas. No puedes usar KMS claves asimétricas con AmazonFSx.

Si utilizas una KMS clave gestionada por el cliente como KMS clave para el cifrado y descifrado de los datos de los archivos, puedes activar la rotación de claves. Cuando se activa la rotación de claves, AWS KMS rota automáticamente su clave una vez al año. Además, con una KMS clave administrada por el cliente, puede elegir cuándo deshabilitar, volver a habilitar, eliminar o revocar el acceso a su clave en cualquier momento. KMS Para más información, consulte la sección sobre Rotar AWS KMS keys y Habilitar y deshabilitar claves en la Guía del desarrollador de AWS Key Management Service .

Políticas FSx clave de Amazon para AWS KMS

Las políticas clave son la principal forma de controlar el acceso a KMS las claves. Para obtener más información sobre las políticas de claves, consulte Uso de las políticas de claves en AWS KMS en la Guía para desarrolladores de AWS Key Management Service . En la siguiente lista se describen todos los permisos AWS KMS relacionados que Amazon admite FSx para los sistemas de archivos cifrados en reposo:

  • kms:Encrypt - (opcional): cifra texto plano en texto cifrado. Este permiso está incluido en la política de claves predeterminada.

  • kms: Decrypt - (obligatorio): descifra texto cifrado. El texto cifrado es texto plano que se ha cifrado previamente. Este permiso está incluido en la política de claves predeterminada.

  • kms: ReEncrypt — (opcional) Cifra los datos del lado del servidor con uno nuevo AWS KMS key, sin exponer el texto sin formato de los datos del lado del cliente. Los datos se descifran en primer lugar y luego se vuelven a cifrar. Este permiso está incluido en la política de claves predeterminada.

  • kms: GenerateDataKeyWithoutPlaintext — (Obligatorio) Devuelve una clave de cifrado de datos cifrada bajo una KMS clave. Este permiso está incluido en la política de claves predeterminada en kms: GenerateDataKey *.

  • kms: CreateGrant — (Obligatorio) Añade una concesión a una clave para especificar quién puede utilizarla y en qué condiciones. Las concesiones son mecanismos de permiso alternativo para las políticas de claves. Para obtener más información sobre las concesiones, consulte Uso de concesiones en la Guía para desarrolladores de AWS Key Management Service . Este permiso está incluido en la política de claves predeterminada.

  • kms: DescribeKey — (Obligatorio) Proporciona información detallada sobre la KMS clave especificada. Este permiso está incluido en la política de claves predeterminada.

  • kms: ListAliases — (opcional) Muestra todos los alias clave de la cuenta. Al utilizar la consola para crear un sistema de archivos cifrados, este permiso rellena la lista de KMS claves. Le recomendamos que utilice este permiso para proporcionar la mejor experiencia de usuario. Este permiso está incluido en la política de claves predeterminada.