View a markdown version of this page

Enkripsi - Amazon Simple Storage Service
Enkripsi saat diamKebijakan utama File S3 untuk AWS KMSNegara-negara kunci dan efeknyaEnkripsi saat bergerak

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi

File S3 menyediakan kemampuan enkripsi yang komprehensif untuk melindungi data Anda baik saat istirahat maupun dalam perjalanan.

Enkripsi saat diam

Bucket S3 Anda dienkripsi menggunakan mekanisme enkripsi Amazon S3. Untuk informasi tentang enkripsi data di S3, lihat Melindungi data dengan enkripsi.

File S3 mengenkripsi data saat istirahat di sistem file S3 menggunakan enkripsi sisi server. Enkripsi di sisi server adalah enkripsi data di tempat tujuan oleh aplikasi atau layanan yang menerimanya. Dalam sistem file S3, data dan metadata dienkripsi secara default sebelum ditulis ke penyimpanan dan secara otomatis didekripsi saat dibaca. Proses ini ditangani secara transparan oleh File S3, jadi Anda tidak perlu memodifikasi aplikasi Anda. Semua data yang diam dalam sistem file dienkripsi menggunakan AWS kunci Key Management Service (KMS) menggunakan salah satu metode berikut:

  • (Default) Enkripsi sisi server dengan kunci KMS yang AWS dimiliki (SSE-KMS)

  • Enkripsi sisi server dengan kunci KMS yang dikelola Pelanggan (SSE-KMS-CMK)

Ada biaya tambahan untuk menggunakan kunci AWS KMS. Untuk informasi selengkapnya, lihat konsep kunci AWS KMS dalam Panduan Pengembang Layanan Manajemen AWS Kunci dan harga AWS KMS.

Enkripsi sisi server dengan kunci KMS yang AWS dimiliki (SSE-KMS)

Ini adalah kunci default untuk mengenkripsi data saat istirahat di sistem file S3 Anda. AWS kunci yang dimiliki adalah kumpulan kunci KMS yang dimiliki dan dikelola oleh suatu AWS layanan. File S3 memiliki dan mengelola enkripsi data dan metadata Anda saat istirahat di sistem file S3 Anda saat Anda menggunakan kunci yang dimiliki. AWS Untuk detail lebih lanjut tentang kunci yang AWS dimiliki, kunjungi kunci AWS KMS.

Enkripsi sisi server dengan kunci AWS KMS yang dikelola pelanggan (SSE-KMS-CMK)

Saat membuat sistem file Anda, Anda dapat memilih untuk mengkonfigurasi AWS kunci Key Management Service (AWS KMS) yang Anda kelola. Ketika Anda menggunakan enkripsi SSE-KMS dengan sistem file S3, kunci AWS KMS harus berada di Wilayah yang sama dengan sistem file.

Kebijakan utama File S3 untuk AWS KMS

Kebijakan utama adalah cara utama untuk mengontrol akses ke kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang kebijakan utama, lihat Kebijakan utama di AWS KMS di Panduan Pengembang Layanan Manajemen AWS Utama. Daftar berikut menjelaskan semua izin AWS terkait KMS yang didukung oleh File S3 untuk mengenkripsi sistem file saat istirahat:

kms:Encrypt

(Opsional) Mengenkripsi plaintext menjadi ciphertext. Izin ini termasuk dalam kebijakan kunci default.

kms:Decrypt

(Wajib) Mendekripsi ciphertext. Ciphertext adalah plaintext yang telah dienkripsi sebelumnya. Izin ini termasuk dalam kebijakan kunci default.

km: ReEncrypt

(Opsional) Mengenkripsi data di sisi server dengan kunci yang dikelola pelanggan baru, tanpa mengekspos teks biasa data di sisi klien. Data pertama kali didekripsi dan kemudian dienkripsi ulang. Izin ini termasuk dalam kebijakan kunci default.

km: GenerateDataKeyWithoutPlaintext

(Wajib) Mengembalikan kunci enkripsi data yang dienkripsi di bawah kunci yang dikelola pelanggan. Izin ini disertakan dalam kebijakan kunci default di bawah kms: GenerateDataKey *.

km: CreateGrant

(Wajib) Menambahkan hibah ke kunci untuk menentukan siapa yang dapat menggunakan kunci dan dalam kondisi apa. Hibah adalah mekanisme izin lainnya untuk kebijakan kunci. Untuk informasi selengkapnya tentang hibah, lihat Hibah di AWS KMS di Panduan Pengembang Layanan Manajemen AWS Utama. Izin ini termasuk dalam kebijakan kunci default.

km: DescribeKey

(Wajib) Memberikan informasi rinci tentang kunci yang dikelola pelanggan yang ditentukan. Izin ini termasuk dalam kebijakan kunci default.

km: ListAliases

(Opsional) Daftar semua alias kunci di akun. Saat Anda menggunakan konsol untuk membuat sistem file terenkripsi, izin ini mengisi daftar kunci Select KMS. Kami merekomendasikan untuk menggunakan izin ini untuk memberikan pengalaman pengguna yang terbaik. Izin ini termasuk dalam kebijakan kunci default.

Negara-negara kunci dan efeknya

Status kunci KMS Anda secara langsung memengaruhi akses ke sistem file terenkripsi Anda:

Diaktifkan

Operasi normal - akses baca dan tulis penuh ke sistem file.

Nonaktif

Sistem file menjadi tidak dapat diakses setelah beberapa waktu. Dapat diaktifkan kembali.

Menunggu penghapusan

Sistem file menjadi tidak dapat diakses. Penghapusan dapat dibatalkan selama masa tunggu. Perhatikan bahwa setelah membatalkan penghapusan kunci, kunci perlu dipindahkan ke status diaktifkan.

Dihapus

Sistem file tidak dapat diakses secara permanen. Tindakan ini tidak dapat dibalik.

Awas

Jika Anda menonaktifkan atau menghapus kunci KMS yang digunakan untuk sistem file Anda, atau mencabut akses File S3 ke kunci, sistem file Anda akan menjadi tidak dapat diakses. Hal ini dapat mengakibatkan hilangnya data jika Anda tidak memiliki backup. Selalu pastikan Anda memiliki prosedur pencadangan yang tepat sebelum membuat perubahan pada kunci enkripsi.

Enkripsi saat bergerak

File S3 memerlukan enkripsi data dalam perjalanan menggunakan Transport Layer Security (TLS). Ketika Anda me-mount sistem file Anda menggunakan mount helper, semua data yang bepergian antara klien Anda dan sistem file dienkripsi menggunakan TLS. Mount helper menginisialisasi proses efs-proxy untuk membuat koneksi TLS yang aman dengan sistem file Anda. Mount helper juga membuat proses amazon-efs-mount-watchdog yang disebut yang memantau kesehatan mount, dan dimulai secara otomatis saat pertama kali sistem file S3 dipasang. Ini memastikan bahwa setiap proses efs-proxy mount berjalan, dan menghentikan proses ketika sistem file dilepas. Jika karena alasan tertentu proses dihentikan secara tidak terduga, proses pengawas memulai ulang.

Berikut ini menjelaskan cara kerja enkripsi TLS dalam perjalanan:

  1. Koneksi TLS yang aman dibuat antara klien Anda dan sistem file

  2. Semua lalu lintas NFS dirutekan melalui koneksi terenkripsi ini

  3. Data dienkripsi sebelum transmisi dan didekripsi setelah diterima

Enkripsi data dalam perjalanan mengubah pengaturan klien NFS Anda. Saat Anda memeriksa sistem file yang dipasang secara aktif, Anda melihat satu dipasang ke 127.0.0.1, atau localhost, seperti pada contoh berikut.

$ mount | column -t
127.0.0.1:/  on  /home/ec2-user/s3files        type  nfs4         (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)

Anda me-mount sistem file Anda menggunakan mount helper, yang selalu mengenkripsi data dalam perjalanan menggunakan TLS. Oleh karena itu, saat memasang, klien NFS Anda dikonfigurasi ulang untuk dipasang ke port lokal.