Chiffrement en transit

Le chiffrement des données en transit est pris en charge sur les partages de fichiers mappés sur une instance de calcul compatible avec le SMB protocole 3.0 ou une version ultérieure. Cela inclut toutes les versions de Windows à partir de Windows Server 2012 et Windows 8, ainsi que tous les clients Linux dotés du client Samba version 4.2 ou ultérieure. Le serveur de fichiers Amazon FSx pour Windows chiffre automatiquement les données en transit à l'aide du SMB chiffrement lorsque vous accédez à votre système de fichiers sans avoir à modifier vos applications.

SMBle chiffrement utilise AES -128- GCM ou AES -128- CCM (la GCM variante étant choisie si le client prend en charge la version SMB 3.1.1) comme algorithme de chiffrement, et assure également l'intégrité des données lors de la signature à l'aide de clés de session SMB Kerberos. L'utilisation de AES -128- améliore GCM les performances, par exemple jusqu'à deux fois plus lors de la copie de fichiers volumineux via des SMB connexions cryptées.

Pour répondre aux exigences de conformité relatives au chiffrement permanent data-in-transit, vous pouvez limiter l'accès au système de fichiers afin de n'autoriser l'accès qu'aux clients qui prennent en charge SMB le chiffrement. Vous pouvez également activer ou désactiver le chiffrement en transit par partage de fichiers ou pour l'ensemble du système de fichiers. Cela vous permet d'avoir un mélange de partages de fichiers chiffrés et non chiffrés sur le même système de fichiers.

Gestion du chiffrement en transit

Vous pouvez utiliser un ensemble de PowerShell commandes personnalisées pour contrôler le chiffrement de vos données en transit entre votre système FSx de fichiers Windows File Server et les clients. Vous pouvez limiter l'accès au système de fichiers aux seuls clients prenant en charge SMB le chiffrement afin que data-in-transit celui-ci soit toujours chiffré. Lorsque l'application du chiffrement est activée data-in-transit, les utilisateurs accédant au système de fichiers depuis des clients ne prenant pas en charge le chiffrement SMB 3.0 ne pourront pas accéder aux partages de fichiers pour lesquels le chiffrement est activé.

Vous pouvez également contrôler le chiffrement au niveau du data-in-transit partage de fichiers plutôt qu'au niveau du serveur de fichiers. Vous pouvez utiliser les contrôles de chiffrement au niveau du partage de fichiers pour associer des partages de fichiers chiffrés et non chiffrés sur le même système de fichiers si vous souhaitez appliquer le chiffrement en transit à certains partages de fichiers contenant des données sensibles et permettre à tous les utilisateurs d'accéder à d'autres partages de fichiers. Le chiffrement à l'échelle du serveur a priorité sur le chiffrement au niveau du partage. Si le chiffrement global est activé, vous ne pouvez pas désactiver le chiffrement de manière sélective pour certains partages.

Vous pouvez gérer le chiffrement des utilisateurs en transit sur votre système de fichiers à l'aide d'Amazon FSx CLI pour la gestion à distance sur PowerShell. Pour savoir comment l'utiliserCLI, voirUtiliser Amazon FSx CLI pour PowerShell.

Vous trouverez ci-dessous les commandes que vous pouvez utiliser pour gérer le chiffrement des utilisateurs en transit sur votre système de fichiers.

Chiffrement dans Transit Command Description

Chiffrement dans Transit Command	Description
Get-FSxSmbServerConfiguration	Récupère la configuration du serveur Server Message Block (SMB). Dans la réponse du système, vous pouvez déterminer les paramètres de chiffrement en transit pour votre système de fichiers en fonction des valeurs des `RejectUnencryptedAccess` propriétés `EncryptData` et.
Set-FSxSmbServerConfiguration	Cette commande propose deux options pour configurer le chiffrement en transit : `-EncryptData $True\|$False`— Définissez ce paramètre sur pour `True` activer le chiffrement des données en transit. Définissez ce paramètre sur `False` pour désactiver le chiffrement des données en transit. `-RejectUnencryptedAccess $True\|$False`— Définissez ce paramètre sur pour `True` interdire aux clients qui ne prennent pas en charge le chiffrement d'accéder au système de fichiers. Définissez ce paramètre sur `False` pour autoriser les clients qui ne prennent pas en charge le chiffrement à accéder au système de fichiers.

Get-FSxSmbServerConfiguration

Récupère la configuration du serveur Server Message Block (SMB). Dans la réponse du système, vous pouvez déterminer les paramètres de chiffrement en transit pour votre système de fichiers en fonction des valeurs des RejectUnencryptedAccess propriétés EncryptData et.

Set-FSxSmbServerConfiguration

Cette commande propose deux options pour configurer le chiffrement en transit :

-EncryptData $True|$False— Définissez ce paramètre sur pour True activer le chiffrement des données en transit. Définissez ce paramètre sur False pour désactiver le chiffrement des données en transit.
-RejectUnencryptedAccess $True|$False— Définissez ce paramètre sur pour True interdire aux clients qui ne prennent pas en charge le chiffrement d'accéder au système de fichiers. Définissez ce paramètre sur False pour autoriser les clients qui ne prennent pas en charge le chiffrement à accéder au système de fichiers.

L'aide en ligne de chaque commande fournit une référence de toutes les options de commande. Pour accéder à cette aide, exécutez la commande avec-?, par exempleGet-FSxSmbServerConfiguration -?.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Chiffrement au repos

ACLs Windows