Chiffrement de données au repos - FSx pour Lustre
Comment fonctionne le chiffrement au repos ?AWS KMS gestion des clés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement de données au repos

Le chiffrement des données au repos est automatiquement activé lorsque vous créez un Amazon FSx for Lustre système de fichiers via le AWS Management Console AWS CLI, ou par programmation via l' FSx API Amazon ou l'un des. AWS SDKs Votre organisation peut exiger le chiffrement de toutes les données qui répondent à une classification spécifique ou qui sont associées à une application, une charge de travail ou un environnement spécifique. Si vous créez un système de fichiers persistant, vous pouvez spécifier la AWS KMS clé avec laquelle chiffrer les données. Si vous créez un système de fichiers scratch, les données sont cryptées à l'aide de clés gérées par Amazon FSx. Pour plus d'informations sur la création d'un système de fichiers chiffré au repos à l'aide de la console, voir Créer votre Amazon FSx for Lustre système de fichiers.

Note

L'infrastructure de gestion des AWS clés utilise des algorithmes cryptographiques approuvés par les Federal Information Processing Standards (FIPS) 140-2. Cette infrastructure est conforme aux recommandations NIST (National Institute of Standards and Technology) 800-57.

Pour plus d'informations sur FSx les utilisations de Lustre AWS KMS, voirComment ? Amazon FSx for Lustre utilise AWS KMS.

Comment fonctionne le chiffrement au repos ?

Dans un système de fichiers chiffré, les données et les métadonnées sont automatiquement chiffrées avant d’être écrites dans le système de fichiers. De même, au fur et à mesure que les données et les métadonnées sont lues, elles sont automatiquement déchiffrées avant d’être présentées à l’application. Ces processus sont gérés de manière transparente par Amazon FSx for Lustre, vous n'avez donc pas à modifier vos applications.

Amazon FSx for Lustre utilise l'algorithme de chiffrement AES-256 standard pour chiffrer les données du système de fichiers au repos. Pour de plus amples informations, consultez Principes de base du chiffrement dans le Guide du développeur AWS Key Management Service .

Comment ? Amazon FSx for Lustre utilise AWS KMS

Amazon FSx for Lustre chiffre les données automatiquement avant leur écriture dans le système de fichiers et les déchiffre automatiquement au fur et à mesure de leur lecture. Les données sont cryptées à l'aide d'un chiffrement par blocs XTS-AES-256. Tous les systèmes de fichiers Scratch FSx for Lustre sont chiffrés au repos à l'aide de clés gérées par AWS KMS. Amazon FSx for Lustre s'intègre à AWS KMS la gestion des clés. Les clés utilisées pour chiffrer les systèmes de fichiers temporaires au repos sont uniques par système de fichiers et détruites une fois le système de fichiers supprimé. Pour les systèmes de fichiers persistants, vous choisissez la clé KMS utilisée pour chiffrer et déchiffrer les données. Vous spécifiez la clé à utiliser lorsque vous créez un système de fichiers persistant. Vous pouvez activer, désactiver ou révoquer les autorisations sur cette clé KMS. Cette clé KMS peut être de l'un des deux types suivants :

  • Clé gérée par AWS pour Amazon FSx — Il s'agit de la clé KMS par défaut. La création et le stockage d'une clé KMS ne vous sont pas facturés, mais des frais d'utilisation s'appliquent. Pour en savoir plus, consultez Pricing AWS Key Management Service (Tarification).

  • Clé gérée par le client – Il s’agit de la clé KMS la plus souple à utiliser, car vous pouvez configurer ses stratégies de clé et ses octrois pour plusieurs utilisateurs ou services. Pour plus d'informations sur la création de clés gérées par le client, consultez la section Création de clés dans le guide du AWS Key Management Service développeur.

Si vous utilisez une clé gérée par le client comme clé KMS pour le chiffrement et le déchiffrement des données de fichiers, vous pouvez activer la rotation des clés. Lorsque vous activez la rotation des clés, elle fait AWS KMS automatiquement pivoter votre clé une fois par an. De plus, avec une clé gérée par le client, vous pouvez choisir à tout moment de désactiver, réactiver, supprimer ou révoquer l’accès à votre clé gérée par le client.

Important

Amazon FSx accepte uniquement les clés KMS de chiffrement symétriques. Vous ne pouvez pas utiliser de clés KMS asymétriques avec Amazon FSx.

Politiques FSx clés d'Amazon pour AWS KMS

Les politiques de clé constituent le principal moyen de contrôler l'accès aux clés KMS. Pour plus d'informations sur les politiques clés, consultez la section Utilisation des politiques clés AWS KMS dans le Guide du AWS Key Management Service développeur.La liste suivante décrit toutes les autorisations AWS KMS associées prises en charge par Amazon FSx pour les systèmes de fichiers chiffrés au repos :

  • kms:Encrypt - (Facultatif) Chiffre le texte brut en texte chiffré. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms:Decrypt - (Obligatoire) Déchiffre le texte chiffré. Le texte chiffré est du texte brut qui a été précédemment chiffré. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms : ReEncrypt — (Facultatif) Chiffre les données côté serveur avec une nouvelle clé KMS, sans exposer le texte clair des données côté client. Les données sont d’abord déchiffrées, puis chiffrées à nouveau. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms : GenerateDataKeyWithoutPlaintext — (Obligatoire) Renvoie une clé de chiffrement des données chiffrée sous une clé KMS. Cette autorisation est incluse dans la politique clé par défaut sous kms : GenerateDataKey *.

  • kms : CreateGrant — (Obligatoire) Ajoute une autorisation à une clé pour spécifier qui peut utiliser la clé et dans quelles conditions. Les octrois sont des mécanismes d’autorisation alternatifs aux stratégies de clé. Pour plus d'informations sur les subventions, consultez la section Utilisation des subventions dans le Guide du AWS Key Management Service développeur. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms : DescribeKey — (Obligatoire) Fournit des informations détaillées sur la clé KMS spécifiée. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms : ListAliases — (Facultatif) Répertorie tous les alias clés du compte. Lorsque vous utilisez la console pour créer un système de fichiers chiffré, cette autorisation remplit la liste pour sélectionner la clé KMS. Nous vous recommandons d’utiliser cette autorisation pour offrir un confort d’utilisation maximal. Cette autorisation est incluse dans la stratégie de clé par défaut.