Applicazione della crittografia dei dati a riposo - Crittografia dei dati dei file con Amazon Elastic File System

Applicazione della crittografia dei dati a riposo

La crittografia ha un effetto minimo sulla latenza e sul throughput di I/O. La crittografia e la decrittografia sono trasparenti per utenti, applicazioni e servizi. Tutti i dati e i metadati vengono crittografati da Amazon EFS per conto del cliente prima di essere scritti su disco e decrittografati prima di essere letti dai client. Non è necessario modificare gli strumenti, le applicazioni o i servizi client per accedere a un file system crittografato.

Un'organizzazione potrebbe richiedere la crittografia di tutti i dati che soddisfano una determinata classificazione o sono associati a una determinata applicazione, carico di lavoro o ambiente. È possibile utilizzare policy basate sull'identità di AWS Identity and Access Management (IAM) per imporre la crittografia dei dati a riposo per le risorse del file system Amazon EFS. Utilizzando una chiave di condizione IAM, è possibile impedire agli utenti di creare file system EFS non crittografati.

Ad esempio, una policy IAM che consente esplicitamente agli utenti di creare solo file system EFS crittografati utilizza la seguente combinazione di effetti, operazioni e condizioni:

  • Il valore del campo Effect è Allow.

  • Il valore del campo Action è elasticfilesystem:CreateFileSystem.

  • Il valore del campo Condition elasticfilesystem:Encrypted è true.

L'esempio seguente illustra una policy basata sull'identità IAM che autorizza le entità alla sola creazione di file system crittografati.

{
  “Version”: “2012-10-17”,
  “Statement”: [
    {
      “Sid”: “VisualEditior0”,
      “Effect”: “Allow”,
      “Action”: “elasticfilesystem:CreateFileSystem”,
      “Condition”: {
        “Bool”: {
          “elasticfilesystem:Encrypted”: “true”
        }
      },
      “Resource”: “*”
    }
}

L'attributo Resource impostato su * indica che la policy IAM si applica a tutte le risorse EFS create. È possibile aggiungere attributi condizionali aggiuntivi basati su tag per applicarli solo a un sottoinsieme di risorse EFS con esigenze di riservatezza dei dati.

È anche possibile imporre la creazione di file system Amazon EFS crittografati a livello di AWS Organizations utilizzando policy di controllo dei servizi per tutti gli account AWS o le unità organizzative dell'organizzazione. Per ulteriori informazioni sulle policy di controllo dei servizi in AWS Organizations, consultare Policy di controllo dei servizi nella Guida per gli utenti di AWS Organizations.