Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengenkripsi data saat istirahat
Anda dapat membuat sistem file terenkripsi menggunakan AWS Management Console, AWS CLI, atau secara terprogram melalui Amazon EFS API atau salah satu. AWS SDKs Organisasi Anda mungkin memerlukan enkripsi semua data yang sesuai dengan klasifikasi tertentu atau yang diasosiasikan dengan aplikasi, beban kerja, atau lingkungan tertentu.
Setelah Anda membuat sistem EFS file, Anda tidak dapat mengubah pengaturan enkripsi. Ini berarti Anda tidak dapat memodifikasi sistem file yang tidak terenkripsi untuk membuatnya terenkripsi. Sebagai gantinya, Anda perlu membuat sistem file baru yang dienkripsi.
catatan
Infrastruktur manajemen AWS kunci menggunakan Standar Pemrosesan Informasi Federal (FIPS) 140-2 algoritma kriptografi yang disetujui. Infrastrukturnya konsisten dengan rekomendasi National Institute of Standards and Technology (NIST) 800-57.
Menegakkan pembuatan sistem EFS file Amazon yang dienkripsi saat istirahat
Anda dapat menggunakan kunci elasticfilesystem:Encrypted IAM kondisi dalam kebijakan berbasis identitas AWS Identity and Access Management (IAM) untuk mengontrol apakah pengguna dapat membuat sistem EFS file Amazon yang dienkripsi saat istirahat. Untuk informasi selengkapnya tentang menggunakan kunci kondisi, lihatContoh: Menegakkan pembuatan sistem file terenkripsi.
Anda juga dapat menentukan kebijakan kontrol layanan (SCPs) di dalam AWS Organizations untuk menerapkan EFS enkripsi untuk semua Akun AWS s di organisasi Anda. Untuk informasi selengkapnya tentang kebijakan kontrol layanan AWS Organizations, lihat Kebijakan kontrol layanan di Panduan AWS Organizations Pengguna.
Mengenkripsi sistem file saat istirahat menggunakan konsol
Saat Anda membuat sistem file baru menggunakan EFS konsol Amazon, enkripsi saat istirahat diaktifkan secara default. Prosedur berikut menjelaskan cara mengaktifkan enkripsi untuk sistem file baru saat Anda membuatnya dari konsol.
catatan
Enkripsi saat istirahat tidak diaktifkan secara default saat membuat sistem file baru menggunakan AWS CLI,API, danSDKs. Untuk informasi selengkapnya, lihat Buat sistem file (AWS CLI).
Untuk mengenkripsi sistem file baru menggunakan konsol EFS
-
Buka konsol Amazon Elastic File System di https://console.aws.amazon.com/efs/
. -
Pilih Buat sistem file untuk membuka kotak dialog Buat sistem file.
-
(Opsional) Masukkan Nama untuk sistem file Anda.
-
Untuk Virtual Private Cloud (VPC)VPC, pilih, atau tetapkan ke default AndaVPC.
-
Pilih Buat untuk membuat sistem file yang menggunakan pengaturan yang direkomendasikan layanan berikut:
Enkripsi data saat istirahat diaktifkan menggunakan default Anda AWS KMS key untuk Amazon EFS (
aws/elasticfilesystem).Pencadangan otomatis diaktifkan — Untuk informasi selengkapnya, lihat. Mencadangkan sistem EFS file
Target pemasangan - Amazon EFS membuat target mount dengan pengaturan berikut:
Terletak di setiap Availability Zone di Wilayah AWS mana sistem file dibuat.
Terletak di subnet default VPC yang Anda pilih.
Gunakan grup keamanan default. VPC Anda dapat mengelola grup keamanan setelah sistem file dibuat.
Untuk informasi selengkapnya, lihat Mengelola target mount.
Mode kinerja Tujuan Umum - Untuk informasi selengkapnya, lihatMode kinerja.
Mode throughput elastis — Untuk informasi lebih lanjut, lihatMode throughput.
Manajemen siklus hidup diaktifkan dengan kebijakan 30 hari — Untuk informasi selengkapnya, lihat. Mengelola siklus hidup penyimpanan untuk sistem file EFS
-
Halaman sistem File muncul dengan spanduk di bagian atas yang menunjukkan status sistem file yang Anda buat. Tautan untuk mengakses halaman detail sistem file muncul di spanduk saat sistem file tersedia.
Anda sekarang memiliki sistem encrypted-at-rest file baru.
Cara kerja enkripsi saat istirahat
Dalam sistem file yang dienkripsi, data dan metadata dienkripsi secara otomatis sebelum ditulis ke sistem file. Demikian pula, ketika data dan metadata terbaca, mereka secara otomatis didekripsi sebelum ditampilkan ke aplikasi. Proses ini ditangani secara transparan oleh AmazonEFS, jadi Anda tidak perlu memodifikasi aplikasi Anda.
Amazon EFS menggunakan algoritme enkripsi AES -256 standar industri untuk mengenkripsi EFS data dan metadata saat istirahat. Untuk informasi selengkapnya, lihat Dasar-dasar kriptografi di Panduan AWS Key Management Service Pengembang.
Bagaimana Amazon EFS menggunakan AWS KMS
Amazon EFS terintegrasi dengan AWS Key Management Service (AWS KMS) untuk manajemen kunci. Amazon EFS menggunakan kunci yang dikelola pelanggan untuk mengenkripsi sistem file Anda dengan cara berikut:
-
Mengenkripsi metadata saat istirahat — Amazon menggunakan for Kunci yang dikelola AWS Amazon EFSEFS,
aws/elasticfilesystem, untuk mengenkripsi dan mendekripsi metadata sistem file (yaitu, nama file, nama direktori, dan konten direktori). -
Mengenkripsi data file saat istirahat — Anda memilih kunci yang dikelola pelanggan yang digunakan untuk mengenkripsi dan mendekripsi data file (yaitu, isi file Anda). Anda dapat mengaktifkan, menonaktifkan, atau mencabut hibah pada kunci yang dikelola pelanggan ini. Kunci yang dikelola pelanggan ini dapat menjadi salah satu dari dua jenis berikut:
-
Kunci yang dikelola AWS untuk Amazon EFS - Ini adalah kunci yang dikelola pelanggan default,
aws/elasticfilesystem. Anda tidak dikenakan biaya untuk membuat dan menyimpan kunci yang dikelola pelanggan, tetapi ada biaya penggunaan. Untuk mempelajari lebih lanjut, lihat AWS Key Management Service harga. -
Kunci terkelola pelanggan — Ini adalah KMS kunci yang paling fleksibel untuk digunakan, karena Anda dapat mengonfigurasi kebijakan dan hibah utamanya untuk beberapa pengguna atau layanan. Untuk informasi selengkapnya tentang membuat kunci terkelola pelanggan, lihat Membuat kunci di Panduan AWS Key Management Service Pengembang.
Jika Anda menggunakan kunci yang dikelola pelanggan untuk enkripsi dan dekripsi data file, Anda dapat mengaktifkan rotasi kunci. Ketika Anda mengaktifkan rotasi kunci, AWS KMS secara otomatis memutar kunci Anda sekali per tahun. Selain itu, dengan kunci yang dikelola pelanggan, Anda dapat memilih kapan harus menonaktifkan, mengaktifkan kembali, menghapus, atau mencabut akses ke kunci yang dikelola pelanggan kapan saja. Untuk informasi selengkapnya, lihat Mengelola akses ke sistem file terenkripsi.
-
penting
Amazon hanya EFS menerima kunci yang dikelola pelanggan simetris. Anda tidak dapat menggunakan kunci yang dikelola pelanggan asimetris dengan AmazonEFS.
Enkripsi data dan dekripsi saat istirahat ditangani secara transparan. Namun, AWS akun IDs khusus untuk Amazon EFS muncul di AWS CloudTrail log Anda yang terkait dengan AWS KMS tindakan. Untuk informasi selengkapnya, lihat Entri file EFS log Amazon untuk sistem encrypted-at-rest file.
Kebijakan EFS utama Amazon untuk AWS KMS
Kebijakan utama adalah cara utama untuk mengontrol akses ke kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang kebijakan utama, lihat Kebijakan utama AWS KMS di Panduan AWS Key Management Service Pengembang.Daftar berikut menjelaskan semua izin AWS KMS terkait yang diperlukan atau didukung oleh Amazon EFS untuk sistem file terenkripsi saat istirahat:
-
kms:Encrypt – (Opsional) Mengenkripsi plaintext ke ciphertext. Izin ini termasuk dalam kebijakan kunci default.
-
kms:Decrypt – (Wajib) Mendekripsi ciphertext. Ciphertext adalah plaintext yang telah dienkripsi sebelumnya. Izin ini termasuk dalam kebijakan kunci default.
-
kms: ReEncrypt — (Opsional) Mengenkripsi data di sisi server dengan kunci yang dikelola pelanggan baru, tanpa mengekspos plaintext data di sisi klien. Data pertama kali didekripsi dan kemudian dienkripsi ulang. Izin ini termasuk dalam kebijakan kunci default.
-
kms: GenerateDataKeyWithoutPlaintext — (Diperlukan) Mengembalikan kunci enkripsi data yang dienkripsi di bawah kunci yang dikelola pelanggan. Izin ini disertakan dalam kebijakan kunci default di bawah kms: GenerateDataKey *.
-
kms: CreateGrant — (Diperlukan) Menambahkan hibah ke kunci untuk menentukan siapa yang dapat menggunakan kunci dan dalam kondisi apa. Hibah adalah mekanisme izin lainnya untuk kebijakan kunci. Untuk informasi lebih lanjut tentang hibah, lihat Menggunakan Pemberian di Panduan Developer AWS Key Management Service . Izin ini termasuk dalam kebijakan kunci default.
-
kms: DescribeKey — (Diperlukan) Memberikan informasi rinci tentang kunci terkelola pelanggan yang ditentukan. Izin ini termasuk dalam kebijakan kunci default.
-
kms: ListAliases — (Opsional) Daftar semua alias kunci di akun. Saat Anda menggunakan konsol untuk membuat sistem file terenkripsi, izin ini mengisi daftar kunci Pilih KMS. Kami merekomendasikan untuk menggunakan izin ini untuk memberikan pengalaman pengguna yang terbaik. Izin ini termasuk dalam kebijakan kunci default.
Kunci yang dikelola AWS untuk EFS KMS kebijakan Amazon
KMSKebijakan JSON Kunci yang dikelola AWS untuk AmazonEFS, aws/elasticfilesystem adalah sebagai berikut:
{ "Version": "2012-10-17", "Id": "auto-elasticfilesystem-1", "Statement": [ { "Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:CreateGrant", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com", "kms:CallerAccount": "111122223333" } } }, { "Sid": "Allow direct access to key metadata to the account", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": [ "kms:Describe*", "kms:Get*", "kms:List*", "kms:RevokeGrant" ], "Resource": "*" } ] }
