Gestion de clés - Chiffrement des données de fichier avec Amazon Elastic File System

Gestion de clés

Amazon EFS est intégré à AWS KMS, qui gère les clés de chiffrement des systèmes de fichiers chiffrés. AWS KMS prend également en charge le chiffrement par d'autres services AWS tels qu'Amazon Simple Storage Service (Amazon S3), Amazon Elastic Block Store (Amazon EBS), Amazon Relational Database Service (Amazon RDS), Amazon Aurora, Amazon Redshift, Amazon WorkMail, WorkSpaces, etc. Pour chiffrer le contenu du système de fichiers, Amazon EFS utilise l'algorithme Advanced Encryption Standard avec le mode XTS et une clé 256 bits (XTS-AES-256).

Il faut répondre à trois questions importantes lorsque l'on considère comment sécuriser les données au repos en adoptant une politique de chiffrement. Ces questions s'appliquent également aux données stockées dans des services gérés et non gérés tels qu'Amazon EBS.

Où sont stockées les clés ?

AWS KMS stocke vos clés principales dans un stockage hautement durable dans un format chiffré afin de garantir qu'elles peuvent être récupérées en cas de besoin.

Où sont utilisées les clés ?

L'utilisation d'un système de fichiers Amazon EFS chiffrés est transparente pour les clients qui montent le système de fichiers. Toutes les opérations cryptographiques ont lieu au sein du service EFS, car les données sont chiffrées avant d'être écrites sur le disque et déchiffrées après qu'un client a émis une demande de lecture.

Qui peut utiliser les clés ?

Les politiques de clé AWS KMS contrôlent l'accès aux clés de chiffrement.

Nous vous recommandons de les associer à des politiques IAM pour fournir une autre couche de contrôle. Chaque clé possède une politique de clé. Si la clé est une clé CMK gérée par AWS, AWS gère la politique de clé. Si la clé est une clé CMK gérée par le client, vous gérez la politique de clé. Ces politiques de clé constituent le principal moyen de contrôler l'accès aux clés CMK. Elles définissent les autorisations qui régissent l'utilisation et la gestion des clés.

Lorsque vous créez un système de fichiers chiffrés à l'aide d'Amazon EFS, vous accordez à Amazon EFS l'accès pour utiliser la clé CMK en votre nom. Les appels qu'Amazon EFSS effectue à AWS KMS en votre nom apparaissent dans vos journaux CloudTrail comme s'ils provenaient de votre compte AWS. La capture d'écran suivante montre l'exemple d'événement CloudTrail pour un appel KMS Decrypt effectué par Amazon EFS.

CloudTrail event record for KMS Decrypt call by Amazon EFS, showing event details and parameters.

Journal CloudTrail pour KMS Decrypt

Pour de plus amples informations sur AWS KMS et sur la façon de gérer l'accès aux clés de chiffrement, consultez Gestion de l'accès aux clés CMK AWS KMS dans le Guide du développeur AWS KMS.

Pour de plus amples informations sur la façon dont AWS KMS gère le chiffrement, consultez le livre blanc Détails cryptographiques AWS KMS.

Pour de plus amples informations sur la création d'un utilisateur et d'un groupe IAM administrateur, consultez Création de votre premier utilisateur et groupe administrateur IAM dans le Guide de l'utilisateur IAM.