Mengenkripsi data saat istirahat - FSxuntuk Lustre
Cara kerja enkripsi saat istirahatAWS KMS manajemen kunci

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengenkripsi data saat istirahat

Enkripsi data saat istirahat diaktifkan secara otomatis saat Anda membuat sistem file Amazon FSx untuk Lustre melalui, file AWS Management Console AWS CLI, atau secara terprogram melalui Amazon FSx API atau salah satu file. AWS SDKs Organisasi Anda mungkin memerlukan enkripsi semua data yang sesuai dengan klasifikasi tertentu atau yang diasosiasikan dengan aplikasi, beban kerja, atau lingkungan tertentu. Jika Anda membuat sistem file persisten, Anda dapat menentukan AWS KMS kunci untuk mengenkripsi data. Jika Anda membuat sistem file scratch, data dienkripsi menggunakan kunci yang dikelola oleh Amazon. FSx Untuk informasi selengkapnya tentang membuat sistem file yang dienkripsi saat istirahat menggunakan konsol, lihat Membuat sistem file Amazon FSx untuk Lustre.

catatan

Infrastruktur manajemen AWS kunci menggunakan Standar Pemrosesan Informasi Federal (FIPS) 140-2 algoritma kriptografi yang disetujui. Infrastrukturnya konsisten dengan rekomendasi Institut Standar dan Teknologi Nasional (NIST) 800-57.

Untuk informasi lebih lanjut tentang cara FSx penggunaan Lustre AWS KMS, lihat. Bagaimana Amazon FSx untuk Lustre menggunakan AWS KMS

Cara kerja enkripsi saat istirahat

Dalam sistem file yang dienkripsi, data dan metadata dienkripsi secara otomatis sebelum ditulis ke sistem file. Demikian pula, ketika data dan metadata terbaca, mereka secara otomatis didekripsi sebelum ditampilkan ke aplikasi. Proses ini ditangani secara transparan oleh Amazon FSx untuk Lustre, jadi Anda tidak perlu memodifikasi aplikasi Anda.

Amazon FSx for Lustre menggunakan algoritma enkripsi AES -256 standar industri untuk mengenkripsi data sistem file saat istirahat. Untuk informasi selengkapnya, lihat Dasar-dasar Kriptografi di Panduan Developer AWS Key Management Service .

Bagaimana Amazon FSx untuk Lustre menggunakan AWS KMS

Amazon FSx for Lustre mengenkripsi data secara otomatis sebelum ditulis ke sistem file, dan secara otomatis mendekripsi data saat dibaca. Data dienkripsi menggunakan cipher blok XTS - AES -256. Semua goresan FSx untuk sistem file Lustre dienkripsi saat istirahat dengan kunci yang dikelola oleh. AWS KMS Amazon FSx for Lustre terintegrasi dengan AWS KMS untuk manajemen kunci. Kunci yang digunakan untuk mengenkripsi sistem file scratch saat istirahat unik per sistem file nya, dan akan hancur setelah sistem file dihapus. Untuk sistem file persisten, Anda memilih KMS kunci yang digunakan untuk mengenkripsi dan mendekripsi data. Anda menentukan kunci mana yang akan digunakan saat Anda membuat sistem file tetap. Anda dapat mengaktifkan, menonaktifkan, atau mencabut hibah pada kunci ini. KMS KMSKunci ini dapat menjadi salah satu dari dua jenis berikut:

  • Kunci yang dikelola AWS untuk Amazon FSx - Ini adalah KMS kunci default. Anda tidak dikenakan biaya untuk membuat dan menyimpan KMS kunci, tetapi ada biaya penggunaan. Untuk informasi selengkapnya, lihat harga AWS Key Management Service.

  • Kunci terkelola pelanggan — Ini adalah KMS kunci yang paling fleksibel untuk digunakan, karena Anda dapat mengonfigurasi kebijakan dan hibah utamanya untuk beberapa pengguna atau layanan. Untuk informasi selengkapnya tentang membuat kunci terkelola pelanggan, lihat Membuat kunci di Panduan AWS Key Management Service Pengembang.

Jika Anda menggunakan kunci yang dikelola pelanggan sebagai KMS kunci untuk enkripsi dan dekripsi data file, Anda dapat mengaktifkan rotasi kunci. Ketika Anda mengaktifkan rotasi kunci, AWS KMS secara otomatis memutar kunci Anda sekali per tahun. Selain itu, dengan kunci yang dikelola pelanggan, Anda dapat memilih kapan harus menonaktifkan, mengaktifkan kembali, menghapus, atau mencabut akses ke kunci yang dikelola pelanggan kapan saja.

penting

Amazon hanya FSx menerima kunci enkripsi KMS simetris. Anda tidak dapat menggunakan KMS kunci asimetris dengan AmazonFSx.

Kebijakan FSx utama Amazon untuk AWS KMS

Kebijakan kunci adalah cara utama untuk mengontrol akses ke KMS kunci. Untuk informasi selengkapnya tentang kebijakan kunci, lihat Menggunakan kebijakan kunci di AWS KMS dalam Panduan Developer AWS Key Management Service . Daftar berikut menjelaskan semua izin AWS KMS terkait yang didukung oleh Amazon FSx untuk sistem file terenkripsi saat istirahat:

  • kms:Encrypt – (Opsional) Mengenkripsi plaintext ke ciphertext. Izin ini termasuk dalam kebijakan kunci default.

  • kms:Decrypt – (Wajib) Mendekripsi ciphertext. Ciphertext adalah plaintext yang telah dienkripsi sebelumnya. Izin ini termasuk dalam kebijakan kunci default.

  • kms: ReEncrypt — (Opsional) Mengenkripsi data di sisi server dengan KMS kunci baru, tanpa mengekspos plaintext data di sisi klien. Data pertama kali didekripsi dan kemudian dienkripsi ulang. Izin ini termasuk dalam kebijakan kunci default.

  • kms: GenerateDataKeyWithoutPlaintext — (Diperlukan) Mengembalikan kunci enkripsi data yang dienkripsi di bawah kunci. KMS Izin ini disertakan dalam kebijakan kunci default di bawah kms: GenerateDataKey *.

  • kms: CreateGrant — (Diperlukan) Menambahkan hibah ke kunci untuk menentukan siapa yang dapat menggunakan kunci dan dalam kondisi apa. Hibah adalah mekanisme izin lainnya untuk kebijakan kunci. Untuk informasi selengkapnya tentang hibah, lihat Menggunakan hibah di Panduan AWS Key Management Service Pengembang. Izin ini termasuk dalam kebijakan kunci default.

  • kms: DescribeKey — (Diperlukan) Memberikan informasi rinci tentang KMS kunci yang ditentukan. Izin ini termasuk dalam kebijakan kunci default.

  • kms: ListAliases — (Opsional) Daftar semua alias kunci di akun. Saat Anda menggunakan konsol untuk membuat sistem file terenkripsi, izin ini mengisi daftar untuk memilih kunci. KMS Kami merekomendasikan untuk menggunakan izin ini untuk memberikan pengalaman pengguna yang terbaik. Izin ini termasuk dalam kebijakan kunci default.