Chiffrement de données au repos - FSx pour ONTAP
Comment Amazon FSx utilise AWS KMSPolitiques FSx clés d'Amazon pour AWS KMS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement de données au repos

Tous les systèmes de fichiers Amazon FSx for NetApp ONTAP sont chiffrés au repos à l'aide de clés gérées à l'aide de AWS Key Management Service (AWS KMS). Les données sont automatiquement cryptées avant d'être écrites dans le système de fichiers et déchiffrées automatiquement au fur et à mesure de leur lecture. Ces processus sont gérés de manière transparente par Amazon FSx, vous n'avez donc pas à modifier vos applications.

Amazon FSx utilise un algorithme de chiffrement AES-256 conforme aux normes du secteur pour chiffrer les FSx données et métadonnées Amazon au repos. Pour de plus amples informations, consultez Principes de base du chiffrement dans le Guide du développeur AWS Key Management Service .

Note

L'infrastructure de gestion des AWS clés utilise des algorithmes cryptographiques approuvés par les Federal Information Processing Standards (FIPS) 140-2. Cette infrastructure est conforme aux recommandations NIST (National Institute of Standards and Technology) 800-57.

Comment Amazon FSx utilise AWS KMS

Amazon FSx s'intègre à AWS KMS la gestion des clés. Amazon FSx utilise des clés KMS pour chiffrer votre système de fichiers. Vous choisissez la clé KMS utilisée pour chiffrer et déchiffrer les systèmes de fichiers (données et métadonnées). Vous pouvez activer, désactiver ou révoquer les autorisations sur cette clé KMS. Cette clé KMS peut être de l'un des deux types suivants :

  • AWS-clé KMS gérée : il s'agit de la clé KMS par défaut, dont l'utilisation est gratuite.

  • Clé KMS gérée par le client : il s'agit de la clé KMS la plus flexible à utiliser, car vous pouvez configurer ses politiques clés et ses autorisations pour plusieurs utilisateurs ou services. Pour plus d'informations sur la création de clés KMS, consultez la section Création de clés dans le guide du AWS Key Management Service développeur.

Important

Amazon FSx accepte uniquement les clés KMS de chiffrement symétriques. Vous ne pouvez pas utiliser de clés KMS asymétriques avec Amazon FSx.

Si vous utilisez une clé KMS gérée par le client comme clé KMS pour le chiffrement et le déchiffrement des données de fichiers, vous pouvez activer la rotation des clés. Lorsque vous activez la rotation des clés, AWS KMS effectue automatiquement une rotation de votre clé une fois par an. En outre, avec une clé KMS gérée par le client, vous pouvez choisir à tout moment quand désactiver, réactiver, supprimer ou révoquer l'accès à votre clé KMS. Pour plus d'informations, voir Rotation, activation AWS KMS keys et désactivation des clés dans le manuel du AWS Key Management Service développeur.

Politiques FSx clés d'Amazon pour AWS KMS

Les politiques de clé constituent le principal moyen de contrôler l'accès aux clés KMS. Pour plus d'informations sur les politiques clés, consultez la section Utilisation des politiques clés AWS KMS dans le Guide du AWS Key Management Service développeur.La liste suivante décrit toutes les autorisations AWS KMS associées prises en charge par Amazon FSx pour les systèmes de fichiers chiffrés au repos :

  • kms:Encrypt - (Facultatif) Chiffre le texte brut en texte chiffré. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms:Decrypt - (Obligatoire) Déchiffre le texte chiffré. Le texte chiffré est du texte brut préalablement chiffré. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms : ReEncrypt — (Facultatif) Chiffre les données côté serveur avec une nouvelle AWS KMS key, sans exposer le texte clair des données côté client. Les données sont d’abord déchiffrées, puis chiffrées à nouveau. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms : GenerateDataKeyWithoutPlaintext — (Obligatoire) Renvoie une clé de chiffrement des données chiffrée sous une clé KMS. Cette autorisation est incluse dans la politique clé par défaut sous kms : GenerateDataKey *.

  • kms : CreateGrant — (Obligatoire) Ajoute une autorisation à une clé pour spécifier qui peut utiliser la clé et dans quelles conditions. Les octrois sont des mécanismes d’autorisation alternatifs aux stratégies de clé. Pour plus d’informations sur les octrois, consultez Utilisation d’octrois dans le AWS Key Management Service Guide du développeur. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms : DescribeKey — (Obligatoire) Fournit des informations détaillées sur la clé KMS spécifiée. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms : ListAliases — (Facultatif) Répertorie tous les alias clés du compte. Lorsque vous utilisez la console pour créer un système de fichiers chiffré, cette autorisation alimente la liste des clés KMS. Nous vous recommandons d’utiliser cette autorisation pour offrir un confort d’utilisation maximal. Cette autorisation est incluse dans la stratégie de clé par défaut.