Chiffrement de données au repos - FSx pour ONTAP
Comment Amazon FSx utilise AWS KMSPolitiques FSx clés d'Amazon pour AWS KMS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement de données au repos

Tous les systèmes de NetApp ONTAP fichiers Amazon FSx for sont chiffrés au repos à l'aide de clés gérées à l'aide de AWS Key Management Service (AWS KMS). Les données sont automatiquement cryptées avant d'être écrites dans le système de fichiers et déchiffrées automatiquement au fur et à mesure de leur lecture. Ces processus sont gérés de manière transparente par AmazonFSx, de sorte que vous n'avez pas à modifier vos applications.

Amazon FSx utilise un algorithme de chiffrement standard AES -256 pour chiffrer les données et métadonnées FSx Amazon au repos. Pour de plus amples informations, consultez Principes de base du chiffrement dans le Guide du développeur AWS Key Management Service .

Note

L'infrastructure de gestion des AWS clés utilise des algorithmes cryptographiques approuvés par les Federal Information Processing Standards (FIPS) 140-2. L'infrastructure est conforme aux recommandations 800-57 du National Institute of Standards and Technology (NIST).

Comment Amazon FSx utilise AWS KMS

Amazon FSx s'intègre à AWS KMS la gestion des clés. Amazon FSx utilise des KMS clés pour chiffrer votre système de fichiers. Vous choisissez la KMS clé utilisée pour chiffrer et déchiffrer les systèmes de fichiers (données et métadonnées). Vous pouvez activer, désactiver ou révoquer les autorisations associées à cette KMS clé. Cette KMS clé peut être de l'un des deux types suivants :

  • AWS-managed KMS key — Il s'agit de la KMS clé par défaut, et son utilisation est gratuite.

  • KMSClé gérée par le client : il s'agit de la KMS clé la plus flexible à utiliser, car vous pouvez configurer ses politiques clés et ses autorisations pour plusieurs utilisateurs ou services. Pour plus d'informations sur la création de KMS clés, consultez la section Création de clés dans le guide du AWS Key Management Service développeur.

Important

Amazon FSx accepte uniquement les KMS clés de chiffrement symétriques. Vous ne pouvez pas utiliser de KMS clés asymétriques avec AmazonFSx.

Si vous utilisez une KMS clé gérée par le client comme KMS clé pour le chiffrement et le déchiffrement des données des fichiers, vous pouvez activer la rotation des clés. Lorsque vous activez la rotation des clés, AWS KMS effectue automatiquement une rotation de votre clé une fois par an. En outre, avec une KMS clé gérée par le client, vous pouvez choisir à tout moment quand désactiver, réactiver, supprimer ou révoquer l'accès à votre KMS clé. Pour plus d'informations, voir Rotation, activation AWS KMS keys et désactivation des clés dans le guide du AWS Key Management Service développeur.

Politiques FSx clés d'Amazon pour AWS KMS

Les politiques relatives aux clés constituent le principal moyen de contrôler l'accès aux KMS clés. Pour plus d'informations sur les politiques clés, consultez la section Utilisation des politiques clés AWS KMS dans le Guide du AWS Key Management Service développeur.La liste suivante décrit toutes les autorisations AWS KMS associées prises en charge par Amazon FSx pour les systèmes de fichiers chiffrés au repos :

  • kms:Encrypt - (Facultatif) Chiffre le texte brut en texte chiffré. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms:Decrypt - (Obligatoire) Déchiffre le texte chiffré. Le texte chiffré est du texte brut qui a déjà été chiffré. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms : ReEncrypt — (Facultatif) Chiffre les données côté serveur avec une nouvelle AWS KMS key, sans exposer le texte clair des données côté client. Les données sont d’abord déchiffrées, puis chiffrées à nouveau. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms : GenerateDataKeyWithoutPlaintext — (Obligatoire) Renvoie une clé de chiffrement des données chiffrée sous une KMS clé. Cette autorisation est incluse dans la politique clé par défaut sous kms : GenerateDataKey *.

  • kms : CreateGrant — (Obligatoire) Ajoute une autorisation à une clé pour spécifier qui peut utiliser la clé et dans quelles conditions. Les octrois sont des mécanismes d’autorisation alternatifs aux stratégies de clé. Pour plus d’informations sur les octrois, consultez Utilisation d’octrois dans le AWS Key Management Service Guide du développeur. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms : DescribeKey — (Obligatoire) Fournit des informations détaillées sur la KMS clé spécifiée. Cette autorisation est incluse dans la stratégie de clé par défaut.

  • kms : ListAliases — (Facultatif) Répertorie tous les alias clés du compte. Lorsque vous utilisez la console pour créer un système de fichiers chiffré, cette autorisation remplit la liste des KMS clés. Nous vous recommandons d’utiliser cette autorisation pour offrir un confort d’utilisation maximal. Cette autorisation est incluse dans la stratégie de clé par défaut.