Crittografia dei dati a riposo - FSx per ONTAP

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia dei dati a riposo

Tutti i sistemi Amazon FSx for NetApp ONTAP file sono crittografati quando sono inattivi con chiavi gestite tramite AWS Key Management Service (AWS KMS). I dati vengono crittografati automaticamente prima di essere scritti nel file system e decrittografati automaticamente non appena vengono letti. Questi processi sono gestiti in modo trasparente da AmazonFSx, quindi non devi modificare le tue applicazioni.

Amazon FSx utilizza un algoritmo di crittografia AES -256 standard del settore per crittografare FSx dati e metadati Amazon inattivi. Per ulteriori informazioni, consulta Elementi di base di crittografia nella Guida per sviluppatori di AWS Key Management Service .

Nota

L'infrastruttura di gestione delle AWS chiavi utilizza algoritmi crittografici approvati dal Federal Information Processing Standards () 140-2FIPS. L'infrastruttura è coerente con le raccomandazioni 800-57 del National Institute of Standards and Technology (NIST).

Come FSx utilizza Amazon AWS KMS

Amazon FSx si integra con AWS KMS per la gestione delle chiavi. Amazon FSx utilizza KMS le chiavi per crittografare il tuo file system. Scegli la KMS chiave utilizzata per crittografare e decrittografare i file system (dati e metadati). È possibile abilitare, disabilitare o revocare le concessioni su questa chiave. KMS Questa KMS chiave può essere di uno dei due tipi seguenti:

  • AWS-managed KMS key: questa è la KMS chiave predefinita e può essere utilizzata gratuitamente.

  • KMSChiave gestita dal cliente: questa è la KMS chiave più flessibile da utilizzare, poiché è possibile configurarne le politiche e le concessioni chiave per più utenti o servizi. Per ulteriori informazioni sulla creazione di KMS chiavi, consulta Creating Keys nella Developer Guide. AWS Key Management Service

Importante

Amazon FSx accetta solo chiavi di crittografia KMS simmetriche. Non puoi usare chiavi asimmetriche KMS con Amazon. FSx

Se utilizzi una KMS chiave gestita dal cliente come KMS chiave per la crittografia e la decrittografia dei dati dei file, puoi abilitare la rotazione delle chiavi. Quando si abilita la rotazione delle chiavi, AWS KMS fa ruotare automaticamente la chiave una volta all'anno. Inoltre, con una KMS chiave gestita dal cliente, puoi scegliere quando disabilitare, riattivare, eliminare o revocare l'accesso alla tua chiave in qualsiasi momento. KMS Per ulteriori informazioni, consulta Rotazione AWS KMS keys e attivazione e disattivazione delle chiavi nella Guida per gli sviluppatori.AWS Key Management Service

Politiche FSx chiave di Amazon per AWS KMS

Le politiche chiave sono il modo principale per controllare l'accesso alle KMS chiavi. Per ulteriori informazioni sulle politiche chiave, consulta Using key policy AWS KMS nella AWS Key Management Service Developer Guide.L'elenco seguente descrive tutte le autorizzazioni AWS KMS relative supportate da Amazon FSx per i file system crittografati a riposo:

  • kms:Encrypt - (Facoltativa) Crittografa testo normale in testo criptato. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.

  • kms:Decrypt - (Obbligatoria) Decifra il testo criptato. Il testo cifrato è testo semplice che è stato precedentemente crittografato. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.

  • kms: ReEncrypt — (Facoltativo) Crittografa i dati sul lato server con uno nuovo AWS KMS key, senza esporre il testo in chiaro dei dati sul lato client. I dati sono prima decifrati e quindi nuovamente crittografati. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.

  • kms: GenerateDataKeyWithoutPlaintext — (Obbligatorio) Restituisce una chiave di crittografia dei dati crittografata con una chiave. KMS Questa autorizzazione è inclusa nella politica delle chiavi predefinita in kms: GenerateDataKey *.

  • kms: CreateGrant — (Obbligatorio) Aggiunge una concessione a una chiave per specificare chi può utilizzare la chiave e in quali condizioni. I grant sono meccanismi di autorizzazioni alternative alle policy sulle chiavi. Per ulteriori informazioni sulle autorizzazioni, consulta Utilizzo delle autorizzazioni nella Guida per gli sviluppatori di AWS Key Management Service . Questa autorizzazione è inclusa nella policy sulla chiave predefinita.

  • kms: DescribeKey — (Obbligatorio) Fornisce informazioni dettagliate sulla chiave specificataKMS. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.

  • kms: ListAliases — (Facoltativo) Elenca tutti gli alias chiave dell'account. Quando si utilizza la console per creare un file system crittografato, questa autorizzazione compila l'elenco delle chiavi. KMS Consigliamo di usare questa autorizzazione per garantire la migliore esperienza utente. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.