Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Enkripsi data saat tidak digunakan
Semua Amazon FSx untuk sistem NetApp ONTAP file dienkripsi saat istirahat dengan kunci yang dikelola menggunakan AWS Key Management Service ()AWS KMS. Data dienkripsi secara otomatis sebelum ditulis ke sistem file, dan secara otomatis didekripsi saat dibaca. Proses ini ditangani secara transparan oleh AmazonFSx, jadi Anda tidak perlu memodifikasi aplikasi Anda.
Amazon FSx menggunakan algoritma enkripsi AES -256 standar industri untuk mengenkripsi FSx data Amazon dan metadata saat istirahat. Untuk informasi selengkapnya, lihat Dasar-dasar Kriptografi di Panduan Developer AWS Key Management Service .
catatan
Infrastruktur manajemen AWS kunci menggunakan Standar Pemrosesan Informasi Federal (FIPS) 140-2 algoritma kriptografi yang disetujui. Infrastrukturnya konsisten dengan rekomendasi Institut Standar dan Teknologi Nasional (NIST) 800-57.
Bagaimana Amazon FSx menggunakan AWS KMS
Amazon FSx terintegrasi dengan AWS KMS untuk manajemen kunci. Amazon FSx menggunakan KMS kunci untuk mengenkripsi sistem file Anda. Anda memilih KMS kunci yang digunakan untuk mengenkripsi dan mendekripsi sistem file (baik data maupun metadata). Anda dapat mengaktifkan, menonaktifkan, atau mencabut hibah pada kunci ini. KMS KMSKunci ini dapat menjadi salah satu dari dua jenis berikut:
-
AWS-managed KMS key — Ini adalah KMS kunci default, dan gratis untuk digunakan.
-
KMSKunci yang dikelola pelanggan — Ini adalah KMS kunci yang paling fleksibel untuk digunakan, karena Anda dapat mengonfigurasi kebijakan dan hibah utamanya untuk beberapa pengguna atau layanan. Untuk informasi selengkapnya tentang membuat KMS kunci, lihat Membuat Kunci di Panduan AWS Key Management Service Pengembang.
penting
Amazon hanya FSx menerima kunci enkripsi KMS simetris. Anda tidak dapat menggunakan KMS kunci asimetris dengan AmazonFSx.
Jika Anda menggunakan kunci yang dikelola pelanggan sebagai KMS KMS kunci untuk enkripsi dan dekripsi data file, Anda dapat mengaktifkan rotasi kunci. Bila Anda mengaktifkan rotasi kunci, AWS KMS secara otomatis akan merotasi kunci Anda satu kali per tahun. Selain itu, dengan KMS kunci yang dikelola pelanggan, Anda dapat memilih kapan harus menonaktifkan, mengaktifkan kembali, menghapus, atau mencabut akses ke kunci Anda KMS kapan saja. Untuk informasi selengkapnya, lihat Memutar AWS KMS keys dan Mengaktifkan dan menonaktifkan kunci di Panduan Pengembang.AWS Key Management Service
Kebijakan FSx utama Amazon untuk AWS KMS
Kebijakan kunci adalah cara utama untuk mengontrol akses ke KMS kunci. Untuk informasi selengkapnya tentang kebijakan kunci, lihat Menggunakan kebijakan kunci di AWS KMS dalam Panduan Developer AWS Key Management Service . Daftar berikut menjelaskan semua izin AWS KMS terkait yang didukung oleh Amazon FSx untuk sistem file terenkripsi saat istirahat:
-
kms:Encrypt – (Opsional) Mengenkripsi plaintext ke ciphertext. Izin ini termasuk dalam kebijakan kunci default.
-
kms:Decrypt – (Wajib) Mendekripsi ciphertext. Ciphertext adalah teks biasa yang sebelumnya telah dienkripsi. Izin ini termasuk dalam kebijakan kunci default.
-
kms: ReEncrypt — (Opsional) Mengenkripsi data di sisi server dengan yang baru AWS KMS key, tanpa mengekspos plaintext data di sisi klien. Data pertama kali didekripsi dan kemudian dienkripsi ulang. Izin ini termasuk dalam kebijakan kunci default.
-
kms: GenerateDataKeyWithoutPlaintext — (Diperlukan) Mengembalikan kunci enkripsi data yang dienkripsi di bawah kunci. KMS Izin ini disertakan dalam kebijakan kunci default di bawah kms: GenerateDataKey *.
-
kms: CreateGrant — (Diperlukan) Menambahkan hibah ke kunci untuk menentukan siapa yang dapat menggunakan kunci dan dalam kondisi apa. Hibah adalah mekanisme izin lainnya untuk kebijakan kunci. Untuk informasi lebih lanjut tentang hibah, lihat Menggunakan Pemberian di Panduan Developer AWS Key Management Service . Izin ini termasuk dalam kebijakan kunci default.
-
kms: DescribeKey — (Diperlukan) Memberikan informasi rinci tentang KMS kunci yang ditentukan. Izin ini termasuk dalam kebijakan kunci default.
-
kms: ListAliases — (Opsional) Daftar semua alias kunci di akun. Saat Anda menggunakan konsol untuk membuat sistem file terenkripsi, izin ini mengisi daftar kunci. KMS Kami merekomendasikan untuk menggunakan izin ini untuk memberikan pengalaman pengguna yang terbaik. Izin ini termasuk dalam kebijakan kunci default.