Mengelola Kunci - Mengenkripsi Data File dengan Amazon Elastic File System

Mengelola Kunci

Amazon EFS terintegrasi dengan AWS KMS, yang mengelola kunci enkripsi untuk sistem file terenkripsi. AWS KMS juga mendukung enkripsi oleh layanan AWS lainnya seperti Amazon Simple Storage Service (Amazon S3), Amazon Elastic Block Store (Amazon EBS), Amazon Relational Database Service (Amazon RDS), Amazon Aurora, Amazon Redshift, Amazon WorkMail, WorkSpaces, dll. Untuk mengenkripsi konten sistem file, Amazon EFS menggunakan algoritme Advanced Encryption Standard dengan Mode XTS dan kunci 256-bit (XTS-AES-256).

Ada tiga pertanyaan penting untuk dijawab ketika mempertimbangkan bagaimana mengamankan data at rest dengan mengadopsi kebijakan enkripsi apa pun. Pertanyaan-pertanyaan ini sama-sama berlaku untuk data yang disimpan dalam layanan terkelola dan tidak terkelola seperti Amazon EBS.

Di mana kunci disimpan?

AWS KMS menyimpan kunci utama Anda dalam penyimpanan yang sangat berdaya tahan dalam format terenkripsi untuk membantu memastikan bahwa kunci tersebut dapat diambil jika diperlukan.

Di mana kunci digunakan?

Penggunaan sistem file Amazon EFS terenkripsi akan terlihat untuk klien yang memasang sistem file. Semua operasi kriptografi terjadi dalam layanan EFS, karena data dienkripsi sebelum ditulis ke disk dan didekripsi setelah klien mengeluarkan permintaan baca.

Siapa yang bisa menggunakan kunci?

Kebijakan kunci AWS KMS mengontrol akses ke kunci enkripsi.

Kami sarankan Anda menggabungkannya dengan kebijakan IAM untuk menyediakan lapisan kontrol lain. Setiap kunci memiliki kebijakan kunci. Jika kuncinya adalah CMK yang dikelola AWS, AWS yang akan mengelola kebijakan kunci. Jika kuncinya adalah CMK yang dikelola pelanggan, Anda yang akan mengelola kebijakan kunci. Kebijakan kunci ini adalah cara utama untuk mengontrol akses ke CMK. Kebijakan ini mendefinisikan izin yang mengatur penggunaan dan pengelolaan kunci.

Saat Anda membuat sistem file terenkripsi menggunakan Amazon EFS, Anda memberikan akses ke Amazon EFS untuk menggunakan CMK atas nama Anda. Panggilan yang dibuat Amazon EFS ke AWS KMS atas nama Anda muncul di log CloudTrail Anda seolah-olah berasal dari akun AWS Anda. Cuplikan layar berikut menunjukkan contoh peristiwa CloudTrail untuk panggilan KMS Decrypt yang dibuat oleh Amazon EFS.

CloudTrail event record for KMS Decrypt call by Amazon EFS, showing event details and parameters.

Log CloudTrail untuk KMS Decrypt

Untuk informasi selengkapnya tentang AWS KMS dan cara mengelola akses ke kunci enkripsi, lihat Mengelola Akses ke AWS KMS CMK dalam Panduan Developer AWS KMS.

Untuk informasi selengkapnya tentang cara AWS KMS mengelola kriptografi, lihat laporan resmi Detail Kriptografi AWS KMS.

Untuk informasi selengkapnya tentang cara membuat pengguna dan grup IAM administrator, lihat Membuat Pengguna dan Grup Admin IAM Pertama Anda dalam Panduan Pengguna IAM.