Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Amazon EFS s'intègre à AWS Key Management Service (AWS KMS) pour la gestion des clés. Amazon EFS utilise des clés principales client (clés CMK) pour chiffrer votre système de fichiers de la façon suivante :
-
Chiffrement des métadonnées au repos – Amazon EFS utilise Clé gérée par AWS pour Amazon EFS,
aws/elasticfilesystem, pour chiffrer et déchiffrer les métadonnées du système de fichiers (c’est-à-dire les noms de fichiers, les noms de répertoires et le contenu des répertoires). -
Chiffrement de données au repos de fichier – Vous choisissez la clé gérée par le client utilisée pour chiffrer et déchiffrer les données des fichiers (c’est-à-dire le contenu de vos fichiers). Vous pouvez activer, désactiver ou révoquer les subventions sur cette clé gérée par le client. Cette clé gérée côté client peut être l’un des deux types suivants :
-
Clé gérée par AWS pour Amazon EFS — Il s'agit de la clé gérée par le client par défaut,
aws/elasticfilesystem. La création et le stockage d’une clé gérée par le client ne sont pas facturés, mais il y a des frais d’utilisation. Pour en savoir plus, consultez la page Tarification AWS Key Management Service. -
Clé gérée par le client – Il s’agit de la clé KMS la plus souple à utiliser, car vous pouvez configurer ses stratégies de clé et ses octrois pour plusieurs utilisateurs ou services. Pour plus d'informations sur la création de clés gérées par le client, consultez la section Création de clés dans le guide du AWS Key Management Service développeur.
Vous pouvez activer la rotation des clés si vous utilisez une clé gérée par le client pour le chiffrement des données et le déchiffrement des données des fichiers. Lorsque vous activez la rotation des clés, elle fait AWS KMS automatiquement pivoter votre clé une fois par an. De plus, avec une clé gérée par le client, vous pouvez choisir à tout moment de désactiver, réactiver, supprimer ou révoquer l’accès à votre clé gérée par le client. Pour de plus amples informations, veuillez consulter Gestion de l’accès aux systèmes de fichiers chiffrés.
-
Important
Amazon EFS accepte uniquement les clés symétriques gérées côté client. Vous ne pouvez pas utiliser de clés asymétriques gérées par le client avec Amazon EFS.
Le chiffrement et le déchiffrement des données au repos sont gérés de façon transparente. Cependant, les AWS comptes IDs spécifiques à Amazon EFS apparaissent dans vos AWS CloudTrail journaux relatifs aux AWS KMS actions. Pour de plus amples informations, veuillez consulter Entrées du fichier journal Amazon EFS pour les systèmes de encrypted-at-rest fichiers.
Politiques clés d'Amazon EFS pour AWS KMS
Les stratégies de clé constituent le principal moyen de contrôler l’accès aux clés gérées par le client. Pour plus d’informations sur les stratégie de clé, consultez Stratégie de clé AWS KMSdans le AWS Key Management Service Guide du développeur. La liste suivante décrit toutes les autorisations liées au AWS KMS qui sont requises ou prises en charge par Amazon EFS pour les systèmes de fichiers chiffrés au repos :
-
kms:Encrypt - (Facultatif) Chiffre le texte brut en texte chiffré. Cette autorisation est incluse dans la stratégie de clé par défaut.
-
kms:Decrypt - (Obligatoire) Déchiffre le texte chiffré. Le texte chiffré est du texte brut qui a été précédemment chiffré. Cette autorisation est incluse dans la stratégie de clé par défaut.
-
kms : ReEncrypt — (Facultatif) Chiffre les données côté serveur avec une nouvelle clé gérée par le client, sans exposer le texte clair des données côté client. Les données sont d’abord déchiffrées, puis chiffrées à nouveau. Cette autorisation est incluse dans la stratégie de clé par défaut.
-
kms : GenerateDataKeyWithoutPlaintext — (Obligatoire) Renvoie une clé de chiffrement des données chiffrée sous une clé gérée par le client. Cette autorisation est incluse dans la politique clé par défaut sous kms : GenerateDataKey *.
-
kms : CreateGrant — (Obligatoire) Ajoute une autorisation à une clé pour spécifier qui peut utiliser la clé et dans quelles conditions. Les octrois sont des mécanismes d’autorisation alternatifs aux stratégies de clé. Pour plus d’informations sur les octrois, consultez Utilisation d’octrois dans le AWS Key Management Service Guide du développeur. Cette autorisation est incluse dans la stratégie de clé par défaut.
-
kms : DescribeKey — (Obligatoire) Fournit des informations détaillées sur la clé gérée par le client spécifiée. Cette autorisation est incluse dans la stratégie de clé par défaut.
-
kms : ListAliases — (Facultatif) Répertorie tous les alias clés du compte. Lorsque vous utilisez la console pour créer un système de fichiers chiffré, cette autorisation renseigne la liste Sélectionner une clé principale KMS. Nous vous recommandons d’utiliser cette autorisation pour offrir un confort d’utilisation maximal. Cette autorisation est incluse dans la stratégie de clé par défaut.
Clé gérée par AWS pour la politique KMS d'Amazon EFS
La politique JSON de politique KMS Clé gérée par AWS pour Amazon EFS aws/elasticfilesystem est la suivante :
{
"Version": "2012-10-17",
"Id": "auto-elasticfilesystem-1",
"Statement": [
{
"Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com",
"kms:CallerAccount": "111122223333"
}
}
},
{
"Sid": "Allow direct access to key metadata to the account",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:Describe*",
"kms:Get*",
"kms:List*",
"kms:RevokeGrant"
],
"Resource": "*"
}
]
}