Gestion de l’accès aux systèmes de fichiers chiffrés

Amazon vous permet EFS de créer des systèmes de fichiers chiffrés. Amazon EFS prend en charge deux formes de chiffrement pour les systèmes de fichiers : le chiffrement en transit et le chiffrement au repos. Les opérations de gestion de clés que vous devez effectuer concernent uniquement le chiffrement au repos. Amazon gère EFS automatiquement les clés de chiffrement pendant le transfert.

Si vous créez un système de fichiers qui utilise le chiffrement au repos, les données et métadonnées sont chiffrées au repos. Amazon EFS utilise AWS Key Management Service (AWS KMS) pour la gestion des clés. Lorsque vous créez un système de fichiers utilisant le chiffrement au repos, vous spécifiez une AWS KMS key. La KMS clé peut être aws/elasticfilesystem (celle Clé gérée par AWS pour AmazonEFS) ou une clé gérée par le client que vous gérez.

Les données des fichiers, c'est-à-dire le contenu de vos fichiers, sont chiffrées au repos à l'aide de la KMS clé que vous avez spécifiée lors de la création de votre système de fichiers. Les métadonnées (noms de fichiers, noms de répertoires et contenus de répertoires) sont chiffrées à l'aide d'une clé gérée par Amazon. EFS

Le code EFS Clé gérée par AWS correspondant à votre système de fichiers est utilisé comme KMS clé pour chiffrer les métadonnées de votre système de fichiers, par exemple les noms de fichiers, les noms de répertoires et le contenu des répertoires. Vous êtes le propriétaire de la clé gérée par le client utilisée pour chiffrer les données de fichier (contenu de vos fichiers) au repos.

Vous gérez qui a accès à vos KMS clés et au contenu de vos systèmes de fichiers cryptés. Cet accès est contrôlé à la fois par les politiques AWS Identity and Access Management (IAM) et AWS KMS. IAMles politiques contrôlent l'accès d'un utilisateur aux EFS API actions Amazon. AWS KMS les politiques relatives aux clés contrôlent l'accès d'un utilisateur à la KMS clé que vous avez spécifiée lors de la création du système de fichiers. Pour plus d’informations, consultez les ressources suivantes :

IAMUtilisateurs dans le guide de IAM l'utilisateur
Politiques clés décrites AWS KMS dans le guide du AWS Key Management Service développeur
Les subventions figurent AWS KMS dans le guide du AWS Key Management Service développeur.

En tant qu’administrateur de clé, vous pouvez importer des clés externes. Vous pouvez également les activer, les désactiver ou les supprimer. L'état de la KMS clé que vous avez spécifiée (lorsque vous avez créé le système de fichiers avec le chiffrement au repos) affecte l'accès à son contenu. La KMS clé doit être en bon enabled état pour que les utilisateurs puissent accéder au contenu d'un système de encrypted-at-rest fichiers chiffré à l'aide de cette clé.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Configuration des politiques de cycle de vie

Gestion des KMS clés pour les systèmes de EFS fichiers