Applicazione della crittografia dei dati a riposo
La crittografia ha un effetto minimo sulla latenza e sul throughput di I/O. La crittografia e la decrittografia sono trasparenti per utenti, applicazioni e servizi. Tutti i dati e i metadati vengono crittografati da Amazon EFS per conto del cliente prima di essere scritti su disco e decrittografati prima di essere letti dai client. Non è necessario modificare gli strumenti, le applicazioni o i servizi client per accedere a un file system crittografato.
Un'organizzazione potrebbe richiedere la crittografia di tutti i dati che soddisfano una determinata classificazione o sono associati a una determinata applicazione, carico di lavoro o ambiente. È possibile utilizzare policy basate sull'identità di AWS Identity and Access Management
Ad esempio, una policy IAM che consente esplicitamente agli utenti di creare solo file system EFS crittografati utilizza la seguente combinazione di effetti, operazioni e condizioni:
Il valore del campo
Effect
èAllow
.Il valore del campo
Action
èelasticfilesystem:CreateFileSystem
.Il valore del campo
Condition elasticfilesystem:Encrypted
ètrue
.
L'esempio seguente illustra una policy basata sull'identità IAM che autorizza le entità alla sola creazione di file system crittografati.
{ “Version”: “2012-10-17”, “Statement”: [ { “Sid”: “VisualEditior0”, “Effect”: “Allow”, “Action”: “elasticfilesystem:CreateFileSystem”, “Condition”: { “Bool”: { “elasticfilesystem:Encrypted”: “true” } }, “Resource”: “*” } }
L'attributo Resource
impostato su *
indica che la policy IAM si applica a tutte le risorse EFS create. È possibile aggiungere attributi condizionali aggiuntivi basati su tag per applicarli solo a un sottoinsieme di risorse EFS con esigenze di riservatezza dei dati.
È anche possibile imporre la creazione di file system Amazon EFS crittografati a livello di AWS Organizations utilizzando policy di controllo dei servizi per tutti gli account AWS o le unità organizzative dell'organizzazione. Per ulteriori informazioni sulle policy di controllo dei servizi in AWS Organizations, consultare Policy di controllo dei servizi nella Guida per gli utenti di AWS Organizations.