Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

AWS KMS

PDF
RSS
Modalità Focus
AWS KMS - Amazon Elastic File System
Politiche chiave di Amazon EFS per AWS KMS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Amazon EFS si integra con AWS Key Management Service (AWS KMS) per la gestione delle chiavi. Amazon EFS utilizza chiavi gestite dal cliente per crittografare il file system nel modo seguente:

  • Crittografia dei dati a riposo - Amazon EFS utilizza Chiave gestita da AWS per Amazon EFS, aws/elasticfilesystem, per criptare e decriptare i metadati del file system (cioè i nomi dei file, i nomi delle directory e i contenuti delle directory).

  • Crittografia dei dati a riposo - L'utente sceglie la chiave gestita dal cliente utilizzata per crittografare e decifrare i file di dati (ovvero i contenuti dei file). È possibile attivare, disattivare o revocare le concessioni su questa chiave gestita dal cliente. Questa chiave gestita dal cliente può essere dei due tipi seguenti:

    • Chiave gestita da AWS per Amazon EFS: questa è la chiave gestita dal cliente predefinita,aws/elasticfilesystem. Non viene addebitato alcun costo per creare e archiviare una chiave gestita dal cliente, ma sono previsti costi di utilizzo. Per ulteriori informazioni, consulta Prezzi di AWS Key Management Service.

    • Chiave gestita dal cliente – Questa è la chiave KMS più flessibile da usare, perché è possibile configurare le policy della chiave e i permessi per più utenti o servizi. Per ulteriori informazioni sulla creazione di chiavi gestite dal cliente, consulta Creating keys nella AWS Key Management Service Developer Guide.

      Se si utilizza una chiave gestita dal cliente per la crittografia e la decrittografia dei dati dei file, è possibile attivare la rotazione delle chiavi. Quando abiliti la rotazione dei tasti, ruota AWS KMS automaticamente la chiave una volta all'anno. Inoltre, con una chiave gestita dal cliente, è possibile scegliere quando disattivare, riattivare, eliminare o revocare l'accesso alla chiave gestita dal cliente in qualsiasi momento. Per ulteriori informazioni, consulta Gestione dell'accesso ai file system crittografati.

Importante

Amazon EFS accetta solo chiavi simmetriche gestite dal cliente. Non puoi usare chiavi asimmetriche gestite dai clienti con Amazon EFS.

La crittografia e la decifratura dei dati memorizzati su disco sono gestite in modo trasparente. Tuttavia, nei AWS CloudTrail log relativi alle AWS KMS azioni vengono visualizzati AWS account IDs specifici di Amazon EFS. Per ulteriori informazioni, consulta Voci dei file di log di Amazon encrypted-at-rest EFS per i file system.

Politiche chiave di Amazon EFS per AWS KMS

Le policy delle chiavi sono il modo principale per controllare l'accesso alle chiavi gestite dai clienti. Per ulteriori informazioni sulle policy delle chiavi, consulta Policy delle chiavi in AWS KMS nella Guida per gli sviluppatori di AWS Key Management Service .Il seguente elenco descrive tutte le autorizzazioni correlate a AWS KMS che sono richieste o comunque supportate da Amazon EFS per i file system crittografati a riposo:

  • kms:Encrypt - (Facoltativa) Crittografa testo normale in testo criptato. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.

  • kms:Decrypt - (Obbligatoria) Decifra il testo criptato. Il testo cifrato è un testo normale che è stato precedentemente crittografato. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.

  • kms: ReEncrypt — (Facoltativo) Crittografa i dati sul lato server con una nuova chiave gestita dal cliente, senza esporre il testo in chiaro dei dati sul lato client. I dati sono prima decifrati e quindi nuovamente crittografati. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.

  • kms: GenerateDataKeyWithoutPlaintext — (Obbligatorio) Restituisce una chiave di crittografia dei dati crittografata con una chiave gestita dal cliente. Questa autorizzazione è inclusa nella politica delle chiavi predefinita in kms: GenerateDataKey *.

  • kms: CreateGrant — (Obbligatorio) Aggiunge una concessione a una chiave per specificare chi può utilizzare la chiave e in quali condizioni. I grant sono meccanismi di autorizzazioni alternative alle policy sulle chiavi. Per ulteriori informazioni sulle autorizzazioni, consulta Utilizzo delle autorizzazioni nella Guida per gli sviluppatori di AWS Key Management Service . Questa autorizzazione è inclusa nella policy sulla chiave predefinita.

  • kms: DescribeKey — (Obbligatorio) Fornisce informazioni dettagliate sulla chiave gestita dal cliente specificata. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.

  • kms: ListAliases — (Facoltativo) Elenca tutti gli alias chiave dell'account. Quando si utilizza la console per creare un file system crittografato, questa autorizzazione popola l'elenco Seleziona chiave KMS. Consigliamo di usare questa autorizzazione per garantire la migliore esperienza utente. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.

Chiave gestita da AWS per la politica Amazon EFS KMS

La policy KMS JSON per Chiave gestita da AWS Amazon EFS aws/elasticfilesystem è la seguente:

{
    "Version": "2012-10-17",
    "Id": "auto-elasticfilesystem-1",
    "Statement": [
        {
            "Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com",
                    "kms:CallerAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "Allow direct access to key metadata to the account",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "kms:Describe*",
                "kms:Get*",
                "kms:List*",
                "kms:RevokeGrant"
            ],
            "Resource": "*"
        }
    ]
}

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.