Creazione di un file system crittografato
È possibile creare un file system crittografato utilizzando la Console di gestione AWS, l'AWS CLI, l'API di Amazon EFS o gli SDK AWS. È possibile abilitare la crittografia per un file system solo al momento della sua creazione.
Amazon EFS si integra con AWS KMS per la gestione delle chiavi e utilizza una CMK per crittografare il file system. I metadati del file system, come nomi di file, nomi di directory e contenuti delle directory, vengono crittografati e decrittografati utilizzando una CMK gestita da AWS.
Il contenuto dei file, o dati dei file, viene crittografato e decrittografato utilizzando una CMK a scelta dell'utente. La CMK può essere di uno dei tre seguenti tipi:
-
Una CMK gestita da AWS per Amazon EFS
-
Una CMK gestita dal cliente dal suo account AWS
-
Una CMK gestita dal cliente da un altro account AWS
La propria organizzazione potrebbe essere soggetta a policy aziendali o normative che richiedono il controllo completo in termini di creazione, rotazione, eliminazione, nonché il controllo degli accessi e la policy di utilizzo per le CMK. In tal caso, consigliamo di utilizzare una CMK gestita dal cliente. In altri scenari è possibile utilizzare una CMK gestita da AWS.
Tutti gli utenti dispongono di una CMK gestita da AWS per Amazon EFS, il cui alias è aws/elasticfilesystem
. AWS gestisce la policy della chiave di questa CMK e non è possibile modificarla. Non ci sono costi per la creazione e l'archiviazione di CMK gestite da AWS.
Se si decide di utilizzare una CMK gestita dal cliente per crittografare il file system, selezionare l'alias della chiave della CMK gestita dal cliente di cui si è proprietari. In alternativa, è possibile inserire l'Amazon Resource Name (ARN) di una CMK gestita dal cliente di proprietà di un altro account. Con una CMK gestita dal cliente di proprietà, è possibile controllare quali utenti e servizi possono utilizzare la chiave attraverso policy della chiave e autorizzazioni sulla chiave.
È anche possibile controllare la durata e la rotazione di queste chiavi scegliendo quando disabilitare, riattivare, eliminare o revocare l'accesso. Per informazioni sulla gestione dell'accesso alle chiavi in altri account AWS, consultare Modifica della policy della chiave nella Guida per gli sviluppatori di AWS KMS.
Per ulteriori informazioni su come gestire le CMK gestite dai clienti, consultare Chiavi master del cliente (CMK) nella Guida per gli sviluppatori di AWS KMS.
Nelle sezioni seguenti viene illustrato come creare un file system crittografato utilizzando la Console di gestione AWS e l'AWS CLI.