Aplicación del cifrado de datos en reposo - Cifrado de datos de archivos con Amazon Elastic File System

Aplicación del cifrado de datos en reposo

El cifrado tiene un efecto mínimo en la latencia y el rendimiento de E/S. El cifrado y el descifrado son transparentes para los usuarios, las aplicaciones y los servicios. Amazon EFS cifra todos los datos y metadatos en su nombre antes de que se escriban en el disco y se descifran antes de que los clientes los lean. No es necesario cambiar las herramientas, las aplicaciones o los servicios del cliente para acceder a un sistema de archivos cifrados.

Su organización podría necesitar el cifrado en reposo de todos los datos que cumplan una clasificación específica o que se asocien a una determinada aplicación, carga de trabajo o entorno. Puede utilizar políticas basadas en identidad AWS Identity and Access Management (IAM) para imponer el cifrado de los datos en reposo para los recursos del sistema de archivos de Amazon EFS. Con una clave de condición de IAM, puede evitar que los usuarios creen sistemas de archivos EFS que no estén cifrados.

Por ejemplo, una política de IAM que permite explícitamente a los usuarios crear solo sistemas de archivos EFS cifrados utiliza la siguiente combinación de efecto, acción y condición:

  • El valor de Effect es Allow.

  • El valor de Action es elasticfilesystem:CreateFileSystem.

  • El valor de Condition elasticfilesystem:Encrypted es true.

El siguiente ejemplo ilustra una política basada en identidad de IAM que autoriza a las entidades principales a crear solo sistemas de archivos cifrados.

{
  “Version”: “2012-10-17”,
  “Statement”: [
    {
      “Sid”: “VisualEditior0”,
      “Effect”: “Allow”,
      “Action”: “elasticfilesystem:CreateFileSystem”,
      “Condition”: {
        “Bool”: {
          “elasticfilesystem:Encrypted”: “true”
        }
      },
      “Resource”: “*”
    }
}

El atributo Resource establecido en * significa que la política de IAM se aplica a todos los recursos de EFS creados. Puede agregar atributos condicionales adicionales basados en etiquetas para aplicarlos solo para un subconjunto de recursos de EFS con necesidades de clasificación de datos.

También puede aplicar la creación de sistemas de archivos cifrados de Amazon EFS a nivel AWS Organizations mediante el uso de políticas de control de servicios para todas las cuentas de AWS o unidades organizativas de su organización. Para obtener más información sobre las políticas de control de servicios en AWS Organizations, consulte Políticas de control de servicios en la Guía del usuario de AWS Organizations.