Crittografia dei dati inattivi - Amazon FSx per Windows File Server
Come utilizza Amazon FSx AWS KMSPolitiche chiave di Amazon FSx per AWS KMS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia dei dati inattivi

Tutti i file system Amazon FSx sono crittografati quando sono inattivi con chiavi gestite tramite AWS Key Management Service ()AWS KMS. I dati vengono crittografati automaticamente prima di essere scritti nel file system e decrittografati automaticamente durante la lettura. Questi processi sono gestiti in modo trasparente da Amazon FSx, quindi non è necessario modificare le applicazioni.

Amazon FSx utilizza un algoritmo di crittografia AES-256 standard di settore per crittografare dati e metadati Amazon FSx a riposo. Per ulteriori informazioni, consulta Elementi di base di crittografia nella Guida per sviluppatori di AWS Key Management Service .

Nota

L'infrastruttura di gestione delle AWS chiavi utilizza algoritmi crittografici approvati dal Federal Information Processing Standards (FIPS) 140-2. L'infrastruttura è compatibile con le raccomandazioni National Institute of Standards and Technology (NIST) 800-57.

Come utilizza Amazon FSx AWS KMS

Amazon FSx si integra con AWS KMS per la gestione delle chiavi. Amazon FSx utilizza an AWS KMS key per crittografare il file system. Scegli la chiave KMS utilizzata per crittografare e decrittografare i file system (dati e metadati). Puoi abilitare, disabilitare o revocare le concessioni su questa chiave KMS. Questa chiave KMS può essere di uno dei due tipi seguenti:

  • Chiave gestita da AWS— Questa è la chiave KMS predefinita ed è gratuita.

  • Chiave gestita dal cliente – Questa è la chiave KMS più flessibile da usare, perché è possibile configurare le policy della chiave e i permessi per più utenti o servizi. Per ulteriori informazioni sulla creazione di chiavi gestite dai clienti, consulta Creating keys nella AWS Key Management Service Developer Guide.

Se utilizzi una chiave gestita dal cliente come chiave KMS per la crittografia e la decrittografia dei dati dei file, puoi abilitare la rotazione delle chiavi. Quando si abilita la rotazione delle chiavi, AWS KMS fa ruotare automaticamente la chiave una volta all'anno. Inoltre, con una chiave gestita dal cliente, puoi scegliere quando disabilitare, riattivare, eliminare o revocare l'accesso alla tua chiave KMS in qualsiasi momento. Per ulteriori informazioni, consulta Rotating AWS KMS keys nella Developer Guide. AWS Key Management Service

La crittografia e la decrittografia dei file system inattivi vengono gestite in modo trasparente. Tuttavia, Account AWS gli ID specifici di Amazon FSx vengono visualizzati nei AWS CloudTrail log relativi alle azioni. AWS KMS

Politiche chiave di Amazon FSx per AWS KMS

Le policy chiave sono lo strumento principale per controllare l'accesso alle chiavi KMS. Per ulteriori informazioni sulle politiche chiave, consulta Using key policy AWS KMS nella AWS Key Management Service Developer Guide.L'elenco seguente descrive tutte le autorizzazioni AWS KMS correlate supportate da Amazon FSx per i file system crittografati a riposo:

  • kms:Encrypt - (Facoltativa) Crittografa testo normale in testo criptato. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.

  • kms:Decrypt - (Obbligatoria) Decifra il testo criptato. Il testo cifrato è un testo normale che è stato precedentemente crittografato. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.

  • kms: ReEncrypt — (Facoltativo) Crittografa i dati sul lato server con una nuova chiave KMS, senza esporre il testo in chiaro dei dati sul lato client. I dati sono prima decifrati e quindi nuovamente crittografati. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.

  • kms: GenerateData KeyWithout Plaintext — (Obbligatorio) Restituisce una chiave di crittografia dei dati crittografata con una chiave KMS. Questa autorizzazione è inclusa nella politica delle chiavi predefinita in kms: Key*. GenerateData

  • kms: CreateGrant — (Obbligatorio) Aggiunge una concessione a una chiave per specificare chi può utilizzare la chiave e in quali condizioni. I grant sono meccanismi di autorizzazioni alternative alle policy sulle chiavi. Per ulteriori informazioni sulle sovvenzioni, consulta Using grants nella Developer Guide.AWS Key Management Service Questa autorizzazione è inclusa nella policy sulla chiave predefinita.

  • kms: DescribeKey — (Obbligatorio) Fornisce informazioni dettagliate sulla chiave KMS specificata. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.

  • kms: ListAliases — (Facoltativo) Elenca tutti gli alias chiave dell'account. Quando usi la console per creare un file system crittografato, questa autorizzazione compila l'elenco delle chiavi KMS. Consigliamo di usare questa autorizzazione per garantire la migliore esperienza utente. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.