Chiffrement de données au repos - Amazon Elastic File System
Imposer la création de systèmes de EFS fichiers Amazon chiffrés au reposChiffrement d’un système de fichiers au repos à l’aide de la consoleComment fonctionne le chiffrement au repos ?

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement de données au repos

Vous pouvez créer des systèmes de fichiers chiffrés à l'aide du AWS Management Console AWS CLI, ou par programmation via Amazon EFS API ou l'un des. AWS SDKs Votre organisation peut exiger le chiffrement de toutes les données qui répondent à une classification spécifique ou qui sont associées à une application, une charge de travail ou un environnement spécifique.

Une fois que vous avez créé un système de EFS fichiers, vous ne pouvez pas modifier ses paramètres de chiffrement. Cela signifie que vous ne pouvez pas modifier un système de fichiers non chiffré pour le chiffrer. À la place, vous devez créer un système de fichiers chiffré.

Note

L'infrastructure de gestion des AWS clés utilise des algorithmes cryptographiques approuvés par les Federal Information Processing Standards (FIPS) 140-2. L'infrastructure est conforme aux recommandations 800-57 du National Institute of Standards and Technology (NIST).

Imposer la création de systèmes de EFS fichiers Amazon chiffrés au repos

Vous pouvez utiliser la clé de elasticfilesystem:Encrypted IAM condition dans les politiques basées sur l'identité AWS Identity and Access Management (IAM) pour contrôler si les utilisateurs peuvent créer des systèmes de EFS fichiers Amazon chiffrés au repos. Pour de plus amples informations sur l’utilisation de la clé de condition , veuillez consulter Exemple : imposer la création de systèmes de fichiers chiffrés.

Vous pouvez également définir des politiques de contrôle des services (SCPs) internes AWS Organizations afin d'appliquer EFS le chiffrement à tous Compte AWS les membres de votre organisation. Pour plus d'informations sur les politiques de contrôle des services dans AWS Organizations, voir Politiques de contrôle des services dans le Guide de AWS Organizations l'utilisateur.

Chiffrement d’un système de fichiers au repos à l’aide de la console

Lorsque vous créez un nouveau système de fichiers à l'aide de la EFS console Amazon, le chiffrement au repos est activé par défaut. La procédure suivante décrit comment activer le chiffrement pour un nouveau système de fichiers lorsque vous le créez à partir de la console.

Note

Le chiffrement au repos n'est pas activé par défaut lors de la création d'un nouveau système de fichiers à l'aide de AWS CLI API, etSDKs. Pour de plus amples informations, veuillez consulter Création d'un système de fichiers (AWS CLI).

Pour chiffrer un nouveau système de fichiers à l'aide de la console EFS

  1. Ouvrez la console Amazon Elastic File System à l'adresse https://console.aws.amazon.com/efs/.

  2. Choisissez Créer un système de fichiers pour ouvrir l’assistant de création de système de fichiers.

  3. (Facultatif) Entrez un Nom pour votre système de fichiers.

  4. Pour Virtual Private Cloud (VPC), choisissez votre VPC ou conservez-le sur votre valeur par défautVPC.

  5. Choisissez Créer pour créer un système de fichiers utilisant les paramètres recommandés par le service suivants :

    • Le chiffrement des données au repos est activé en utilisant votre option par défaut AWS KMS key pour Amazon EFS (aws/elasticfilesystem).

    • Sauvegardes automatiques activées - Pour plus d’informations, consultez Sauvegarde des systèmes EFS de fichiers.

    • Cibles de montage : Amazon EFS crée des cibles de montage avec les paramètres suivants :

      • Situé dans chaque zone de disponibilité dans Région AWS laquelle le système de fichiers est créé.

      • Situé dans les sous-réseaux par défaut du sous-réseau VPC que vous avez sélectionné.

      • Utilisez le groupe VPC de sécurité par défaut. Vous pouvez gérer les groupes de sécurité une fois le système de fichiers créé.

      Pour de plus amples informations, veuillez consulter Gérer des cibles de Montage.

    • Mode performance à usage général — Pour plus d’informations, consultez Modes de performances.

    • Débit élastique – Pour plus d’informations, consultez Modes de débit.

    • Gestion du cycle de vie activée avec une stratégie à 30 jours — Pour plus d’informations, consultez Gestion du cycle de vie du stockage pour les systèmes de EFS fichiers.

  6. La page Systèmes de fichiers apparaît avec une bannière en haut indiquant l’état du système de fichiers que vous avez créé. Un lien permettant d’accéder à la page de détails du système de fichiers apparaît dans la bannière lorsque ce dernier est disponible.

Vous disposez désormais d'un nouveau système de encrypted-at-rest fichiers.

Comment fonctionne le chiffrement au repos ?

Dans un système de fichiers chiffré, les données et les métadonnées sont automatiquement chiffrées avant d’être écrites dans le système de fichiers. De même, au fur et à mesure que les données et les métadonnées sont lues, elles sont automatiquement déchiffrées avant d’être présentées à l’application. Ces processus sont gérés de manière transparente par AmazonEFS, de sorte que vous n'avez pas à modifier vos applications.

Amazon EFS utilise l'algorithme de chiffrement standard AES -256 pour chiffrer les EFS données et les métadonnées au repos. Pour de plus amples informations, consultez Principes de base du chiffrement dans le AWS Key Management Service Guide du développeur.

Comment Amazon EFS utilise AWS KMS

Amazon EFS s'intègre à AWS Key Management Service (AWS KMS) pour la gestion des clés. Amazon EFS utilise des clés gérées par le client pour chiffrer votre système de fichiers de la manière suivante :

  • Chiffrement des métadonnées au repos : Amazon EFS utilise Clé gérée par AWS for Amazon EFS pour chiffrer et déchiffrer les métadonnées des systèmes de fichiers (c'est-à-dire les noms de fichiers, les noms de répertoires et le contenu des répertoires). aws/elasticfilesystem

  • Chiffrement de données au repos de fichier – Vous choisissez la clé gérée par le client utilisée pour chiffrer et déchiffrer les données des fichiers (c’est-à-dire le contenu de vos fichiers). Vous pouvez activer, désactiver ou révoquer les subventions sur cette clé gérée par le client. Cette clé gérée côté client peut être l’un des deux types suivants :

    • Clé gérée par AWS pour Amazon EFS — Il s'agit de la clé gérée par le client par défaut,aws/elasticfilesystem. La création et le stockage d’une clé gérée par le client ne sont pas facturés, mais il y a des frais d’utilisation. Pour en savoir plus, consultez la page Tarification AWS Key Management Service.

    • Clé gérée par le client : il s'agit de la KMS clé la plus flexible à utiliser, car vous pouvez configurer ses politiques clés et ses autorisations pour plusieurs utilisateurs ou services. Pour plus d'informations sur la création de clés gérées par le client, consultez la section Création de clés dans le guide du AWS Key Management Service développeur.

      Vous pouvez activer la rotation des clés si vous utilisez une clé gérée par le client pour le chiffrement des données et le déchiffrement des données des fichiers. Lorsque vous activez la rotation des clés, elle fait AWS KMS automatiquement pivoter votre clé une fois par an. De plus, avec une clé gérée par le client, vous pouvez choisir à tout moment de désactiver, réactiver, supprimer ou révoquer l’accès à votre clé gérée par le client. Pour de plus amples informations, veuillez consulter Gestion de l’accès aux systèmes de fichiers chiffrés.

Important

Amazon EFS accepte uniquement les clés symétriques gérées par le client. Vous ne pouvez pas utiliser de clés asymétriques gérées par le client avec AmazonEFS.

Le chiffrement et le déchiffrement des données au repos sont gérés de façon transparente. Cependant, les AWS comptes IDs spécifiques à Amazon EFS apparaissent dans vos AWS CloudTrail journaux relatifs aux AWS KMS actions. Pour de plus amples informations, veuillez consulter Entrées de fichiers EFS journaux Amazon pour les systèmes de encrypted-at-rest fichiers.

Politiques EFS clés d'Amazon pour AWS KMS

Les stratégies de clé constituent le principal moyen de contrôler l’accès aux clés gérées par le client. Pour plus d’informations sur les stratégie de clé, consultez Stratégie de clé AWS KMSdans le AWS Key Management Service Guide du développeur. La liste suivante décrit toutes les autorisations AWS KMS associées requises ou prises en charge par Amazon EFS pour les systèmes de fichiers chiffrés au repos :

  • kms:Encrypt - (Facultatif) Chiffre le texte brut en texte chiffré. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms:Decrypt - (Obligatoire) Déchiffre le texte chiffré. Le texte chiffré est du texte brut qui a été précédemment chiffré. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms : ReEncrypt — (Facultatif) Chiffre les données côté serveur avec une nouvelle clé gérée par le client, sans exposer le texte clair des données côté client. Les données sont d’abord déchiffrées, puis chiffrées à nouveau. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms : GenerateDataKeyWithoutPlaintext — (Obligatoire) Renvoie une clé de chiffrement des données chiffrée sous une clé gérée par le client. Cette autorisation est incluse dans la politique clé par défaut sous kms : GenerateDataKey *.

  • kms : CreateGrant — (Obligatoire) Ajoute une autorisation à une clé pour spécifier qui peut utiliser la clé et dans quelles conditions. Les octrois sont des mécanismes d’autorisation alternatifs aux stratégies de clé. Pour plus d’informations sur les octrois, consultez Utilisation d’octrois dans le AWS Key Management Service Guide du développeur. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms : DescribeKey — (Obligatoire) Fournit des informations détaillées sur la clé gérée par le client spécifiée. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms : ListAliases — (Facultatif) Répertorie tous les alias clés du compte. Lorsque vous utilisez la console pour créer un système de fichiers chiffré, cette autorisation alimente la liste des KMSclés de sélection. Nous vous recommandons d’utiliser cette autorisation pour offrir un confort d’utilisation maximal. Cette autorisation est incluse dans la stratégie de clé par défaut.

Clé gérée par AWS pour la EFS KMS politique d'Amazon

La KMS politique JSON applicable Clé gérée par AWS à Amazon EFS aws/elasticfilesystem est la suivante :

{
    "Version": "2012-10-17",
    "Id": "auto-elasticfilesystem-1",
    "Statement": [
        {
            "Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com",
                    "kms:CallerAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "Allow direct access to key metadata to the account",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "kms:Describe*",
                "kms:Get*",
                "kms:List*",
                "kms:RevokeGrant"
            ],
            "Resource": "*"
        }
    ]
}