Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS KMS
Amazon EFS si integra con AWS Key Management Service (AWS KMS) per la gestione delle chiavi. Amazon EFS utilizza chiavi gestite dal cliente per crittografare il file system nel modo seguente:
-
Crittografia dei metadati inattivi: Amazon EFS utilizza Chiave gestita da AWS for Amazon EFS per crittografare e decrittografare i metadati del file system (ovvero nomi di file, nomi di directory e contenuti delle directory).
aws/elasticfilesystem -
Crittografia dei dati a riposo - L'utente sceglie la chiave gestita dal cliente utilizzata per crittografare e decifrare i file di dati (ovvero i contenuti dei file). È possibile attivare, disattivare o revocare le concessioni su questa chiave gestita dal cliente. Questa chiave gestita dal cliente può essere dei due tipi seguenti:
-
Chiave gestita da AWS per Amazon EFS: questa è la chiave gestita dal cliente predefinita,
aws/elasticfilesystem. Non viene addebitato alcun costo per creare e archiviare una chiave gestita dal cliente, ma sono previsti costi di utilizzo. Per ulteriori informazioni, consulta Prezzi di AWS Key Management Service. -
Chiave gestita dal cliente: questa è la KMS chiave più flessibile da utilizzare, poiché puoi configurarne le politiche e le concessioni chiave per più utenti o servizi. Per ulteriori informazioni sulla creazione di chiavi gestite dal cliente, consulta Creazione di chiavi nella Guida per gli AWS Key Management Service sviluppatori.
Se si utilizza una chiave gestita dal cliente per la crittografia e la decrittografia dei dati dei file, è possibile attivare la rotazione delle chiavi. Quando abiliti la rotazione dei tasti, ruota AWS KMS automaticamente la chiave una volta all'anno. Inoltre, con una chiave gestita dal cliente, è possibile scegliere quando disattivare, riattivare, eliminare o revocare l'accesso alla chiave gestita dal cliente in qualsiasi momento. Per ulteriori informazioni, consulta Gestione dell'accesso ai file system crittografati.
-
Importante
Amazon EFS accetta solo chiavi simmetriche gestite dal cliente. Non puoi utilizzare chiavi asimmetriche gestite dai clienti con Amazon. EFS
La crittografia e la decifratura dei dati memorizzati su disco sono gestite in modo trasparente. Tuttavia, nei AWS CloudTrail registri relativi alle AWS KMS azioni EFS vengono visualizzati AWS account IDs specifici di Amazon. Per ulteriori informazioni, consulta Voci dei file di EFS log di Amazon per i encrypted-at-rest file system.
Politiche EFS chiave di Amazon per AWS KMS
Le policy delle chiavi sono il modo principale per controllare l'accesso alle chiavi gestite dai clienti. Per ulteriori informazioni sulle policy delle chiavi, consulta Policy delle chiavi in AWS KMS nella Guida per gli sviluppatori di AWS Key Management Service .L'elenco seguente descrive tutte le autorizzazioni AWS KMS correlate richieste o altrimenti supportate da Amazon EFS per i file system crittografati a riposo:
-
kms:Encrypt - (Facoltativa) Crittografa testo normale in testo criptato. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
-
kms:Decrypt - (Obbligatoria) Decifra il testo criptato. Il testo cifrato è un testo normale che è stato precedentemente crittografato. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
-
kms: ReEncrypt — (Facoltativo) Crittografa i dati sul lato server con una nuova chiave gestita dal cliente, senza esporre il testo in chiaro dei dati sul lato client. I dati sono prima decifrati e quindi nuovamente crittografati. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
-
kms: GenerateDataKeyWithoutPlaintext — (Obbligatorio) Restituisce una chiave di crittografia dei dati crittografata con una chiave gestita dal cliente. Questa autorizzazione è inclusa nella politica delle chiavi predefinita in kms: GenerateDataKey *.
-
kms: CreateGrant — (Obbligatorio) Aggiunge una concessione a una chiave per specificare chi può utilizzare la chiave e in quali condizioni. I grant sono meccanismi di autorizzazioni alternative alle policy sulle chiavi. Per ulteriori informazioni sulle autorizzazioni, consulta Utilizzo delle autorizzazioni nella Guida per gli sviluppatori di AWS Key Management Service . Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
-
kms: DescribeKey — (Obbligatorio) Fornisce informazioni dettagliate sulla chiave gestita dal cliente specificata. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
-
kms: ListAliases — (Facoltativo) Elenca tutti gli alias chiave dell'account. Quando si utilizza la console per creare un file system crittografato, questa autorizzazione compila l'elenco delle chiavi di selezione KMS. Consigliamo di usare questa autorizzazione per garantire la migliore esperienza utente. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
Chiave gestita da AWS per la EFS KMS politica di Amazon
La KMS politica JSON Chiave gestita da AWS per Amazon aws/elasticfilesystem è EFS la seguente:
{ "Version": "2012-10-17", "Id": "auto-elasticfilesystem-1", "Statement": [ { "Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:CreateGrant", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com", "kms:CallerAccount": "111122223333" } } }, { "Sid": "Allow direct access to key metadata to the account", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": [ "kms:Describe*", "kms:Get*", "kms:List*", "kms:RevokeGrant" ], "Resource": "*" } ] }
