Criptografar dados em repouso - FSx para Lustre
Como funciona a criptografia em repousoGerenciamento de chaves do AWS KMS

Criptografar dados em repouso

A criptografia de dados em repouso é habilitada automaticamente quando você cria um sistema de arquivos do Amazon FSx for Lustre por meio do AWS Management Console, da AWS CLI ou programaticamente usando a API do Amazon FSx ou um dos AWS SDKs. Sua organização pode exigir a criptografia de todos os dados que atendem a uma classificação específica ou estejam associados a um determinado aplicativo, workload ou ambiente. Se você criar um sistema de arquivos persistente, poderá especificar a chave do AWS KMS para criptografar os dados. Se você criar um sistema de arquivos transitório, os dados serão criptografados usando chaves gerenciadas pelo Amazon FSx. Para obter mais informações sobre como criar um sistema de arquivos criptografado em repouso usando o console, consulte Criar seu sistema de arquivos do Amazon FSx for Lustre.

nota

A infraestrutura de gerenciamento de chaves da AWS usa algoritmos criptográficos aprovados pelo Federal Information Processing Standards (FIPS) 140-2. A infraestrutura é consistente com as recomendações 800-57 do National Institute of Standards and Technology (NIST).

Para obter mais informações sobre como o FSx para Lustre usa o AWS KMS, consulte Como o Amazon FSx for Lustre usa o AWS KMS.

Como funciona a criptografia em repouso

Em um sistema de arquivos criptografado, os dados e metadados são criptografados automaticamente antes de serem gravados no sistema de arquivos. De maneira semelhante, à medida que os dados e metadados são lidos, eles são automaticamente descriptografados antes de serem apresentados ao aplicativo. Esses processos são tratados de maneira transparente pelo Amazon FSx for Lustre. Portanto, não é necessário modificar seus aplicativos.

O Amazon FSx for Lustre usa um algoritmo de criptografia AES-256 padrão do setor para criptografar dados em repouso do sistema de arquivos. Para obter mais informações, consulte Conceitos básicos de criptografia no Guia do desenvolvedor do AWS Key Management Service.

Como o Amazon FSx for Lustre usa o AWS KMS

O Amazon FSx for Lustre criptografa os dados automaticamente antes que eles sejam gravados no sistema de arquivos e os decriptografa automaticamente conforme eles são lidos. Os dados são criptografados usando uma cifra de bloco XTS-AES-256. Todos os sistemas de arquivos transitórios do FSx para Lustre são criptografados em repouso com chaves gerenciadas pela AWS KMS. O Amazon FSx for Lustre tem integração com o AWS KMS para gerenciamento de chaves. As chaves usadas para criptografar sistemas de arquivos transitórios em repouso são exclusivas por sistema de arquivos e são destruídas após a exclusão do sistema de arquivos. Para sistemas de arquivos persistentes, você escolhe a chave do KMS usada para criptografar e descriptografar dados. Você especifica qual chave será usada ao criar um sistema de arquivos persistente. É possível habilitar, desabilitar ou revogar as concessões nessa chave do KMS. Essa chave do KMS pode ser de um dos seguintes dois tipos:

  • Chave gerenciada pela AWS para o Amazon FSx: essa é a chave do KMS padrão. Você não recebe cobranças pela criação e pelo armazenamento de uma chave do KMS, mas existem cobranças de uso. Para obter mais informações, consulte Preços do AWS Key Management Service.

  • Chave gerenciada pelo cliente: essa é a chave do KMS mais flexível para usar, pois é possível configurar suas políticas de chaves e concessões para diversos usuários ou serviços. Para obter mais informações sobre a criação de chaves gerenciadas pelo cliente, consulte Criar chaves no Guia do desenvolvedor do AWS Key Management Service.

Se você usar uma chave gerenciada pelo cliente como a chave do KMS para descriptografia e criptografia de dados de arquivos, poderá habilitar a rotação de chaves. Ao habilitar a rotação de chaves, o AWS KMS gira sua chave automaticamente uma vez por ano. Além disso, com uma chave gerenciada pelo cliente, é possível escolher quando desabilitar, habilitar novamente, excluir ou revogar o acesso à chave gerenciada pelo cliente a qualquer momento.

Importante

O Amazon FSx aceita somente chaves do KMS com criptografia simétrica. Não é possível usar chaves do KMS assimétricas com o Amazon FSx.

Políticas de chave do Amazon FSx para o AWS KMS

Políticas de chaves são a principal maneira de controlar o acesso a chaves do KMS. Para obter mais informações sobre as políticas de chaves, consulte Using key policies in AWS KMS no Guia do desenvolvedor do AWS Key Management Service.A lista a seguir descreve todas as permissões relacionadas ao AWS KMS com suporte no Amazon FSx para sistemas de arquivos criptografados em repouso:

  • kms:Encrypt: (opcional) criptografa texto simples em texto cifrado. Essa permissão está incluída na política de chaves padrão.

  • kms:Decrypt - (Obrigatório) Descriptografa texto cifrado. O texto cifrado é o texto simples que já foi criptografado. Essa permissão está incluída na política de chaves padrão.

  • kms:ReEncrypt: (Opcional) criptografa dados no lado do servidor com uma nova chave do KMS, sem a necessidade de expor o texto simples dos dados no lado do cliente. Primeiro os dados são descriptografados e, depois, recriptografados. Essa permissão está incluída na política de chaves padrão.

  • kms:GenerateDataKeyWithoutPlaintext: (obrigatório) retorna uma chave de criptografia de dados criptografada em uma chave do KMS. Essa permissão está incluída na política de chave padrão, em kms:GenerateDataKey*.

  • kms:CreateGrant - (Obrigatório) Adiciona uma concessão a uma chave para especificar quem pode usar a chave e em que condições. Concessões são mecanismos de permissão alternativos para políticas de chaves. Para obter mais informações sobre concessões, consulte Using grants no Guia do desenvolvedor do AWS Key Management Service.. Essa permissão está incluída na política de chaves padrão.

  • kms:DescribeKey: (obrigatório) fornece informações detalhadas sobre a chave do KMS especificada. Essa permissão está incluída na política de chaves padrão.

  • kms:ListAliases: (opcional) lista todos os aliases de chaves na conta. Quando você usa o console para criar um sistema de arquivos criptografado, essa permissão preenche a lista para selecionar a chave do KMS. Recomendamos usar essa permissão para proporcionar a melhor experiência do usuário. Essa permissão está incluída na política de chaves padrão.