Criptografar dados em repouso - FSxpara Lustre
Como funciona a criptografia em repousoAWS KMS gerenciamento de chaves

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografar dados em repouso

A criptografia de dados em repouso é ativada automaticamente quando você cria um sistema de arquivos Amazon FSx for Lustre por meio do AWS Management Console AWS CLI, do ou programaticamente por meio do Amazon FSx API ou de um dos. AWS SDKs Sua organização pode exigir a criptografia de todos os dados que atendem a uma classificação específica ou estejam associados a um determinado aplicativo, workload ou ambiente. Se você criar um sistema de arquivos persistente, poderá especificar a AWS KMS chave com a qual criptografar os dados. Se você criar um sistema de arquivos temporário, os dados serão criptografados usando chaves gerenciadas pela AmazonFSx. Para obter mais informações sobre como criar um sistema de arquivos criptografado em repouso usando o console, consulte Crie seu sistema de arquivos Amazon FSx for Lustre.

nota

A infraestrutura de gerenciamento de AWS chaves usa algoritmos criptográficos aprovados pelos Padrões Federais de Processamento de Informações (FIPS) 140-2. A infraestrutura é consistente com as recomendações 800-57 do Instituto Nacional de Padrões e Tecnologia (NIST).

Para obter mais informações sobre como usar FSx o Lustre AWS KMS, consulteComo o Amazon FSx for Lustre usa AWS KMS.

Como funciona a criptografia em repouso

Em um sistema de arquivos criptografado, os dados e metadados são criptografados automaticamente antes de serem gravados no sistema de arquivos. De maneira semelhante, à medida que os dados e metadados são lidos, eles são automaticamente descriptografados antes de serem apresentados ao aplicativo. Esses processos são gerenciados de forma transparente FSx pelo Amazon for Lustre, para que você não precise modificar seus aplicativos.

O Amazon FSx for Lustre usa o algoritmo de criptografia AES -256 padrão do setor para criptografar dados do sistema de arquivos em repouso. Para obter mais informações, consulte Conceitos básicos de criptografia no Guia do desenvolvedor do AWS Key Management Service .

Como o Amazon FSx for Lustre usa AWS KMS

O Amazon FSx for Lustre criptografa os dados automaticamente antes de serem gravados no sistema de arquivos e os descriptografa automaticamente à medida que são lidos. Os dados são criptografados usando uma cifra de bloco XTS - AES -256. Todos os sistemas de arquivos Scratch FSx for Lustre são criptografados em repouso com chaves gerenciadas por AWS KMS. O Amazon FSx for Lustre se integra ao gerenciamento AWS KMS de chaves. As chaves usadas para criptografar sistemas de arquivos transitórios em repouso são exclusivas por sistema de arquivos e são destruídas após a exclusão do sistema de arquivos. Para sistemas de arquivos persistentes, você escolhe a KMS chave usada para criptografar e descriptografar dados. Você especifica qual chave será usada ao criar um sistema de arquivos persistente. Você pode ativar, desativar ou revogar concessões nessa KMS chave. Essa KMS chave pode ser um dos dois tipos a seguir:

  • Chave gerenciada pela AWS para Amazon FSx — Essa é a KMS chave padrão. Você não é cobrado pela criação e armazenamento de uma KMS chave, mas há taxas de uso. Para obter mais informações, consulte Definição de preço do AWS Key Management Service.

  • Chave gerenciada pelo cliente — Essa é a KMS chave mais flexível de usar, pois você pode configurar suas principais políticas e concessões para vários usuários ou serviços. Para obter mais informações sobre a criação de chaves gerenciadas pelo cliente, consulte Criação de chaves no Guia do AWS Key Management Service desenvolvedor.

Se você usar uma chave gerenciada pelo cliente como KMS chave para criptografia e decodificação de dados de arquivos, poderá ativar a rotação de chaves. Quando você ativa a rotação de chaves, gira AWS KMS automaticamente sua chave uma vez por ano. Além disso, com uma chave gerenciada pelo cliente, você pode escolher quando desabilitar, reativar, excluir ou revogar o acesso à sua chave gerenciada pelo cliente a qualquer momento.

Importante

A Amazon FSx aceita somente KMS chaves de criptografia simétricas. Você não pode usar KMS chaves assimétricas com a Amazon. FSx

FSxPolíticas-chave da Amazon para AWS KMS

As políticas de chaves são a principal forma de controlar o acesso às KMS chaves. Para obter mais informações sobre as políticas de chaves, consulte Using key policies in AWS KMS no Guia do desenvolvedor do AWS Key Management Service .A lista a seguir descreve todas as permissões AWS KMS relacionadas suportadas pela Amazon FSx para sistemas de arquivos criptografados em repouso:

  • kms:Encrypt - (Opcional) Criptografa texto simples em texto cifrado. Essa permissão está incluída na política de chaves padrão.

  • kms:Decrypt - (Obrigatório) Descriptografa texto cifrado. O texto cifrado é o texto simples que já foi criptografado. Essa permissão está incluída na política de chaves padrão.

  • kms: ReEncrypt — (Opcional) Criptografa dados no lado do servidor com uma nova KMS chave, sem expor o texto simples dos dados no lado do cliente. Primeiro os dados são descriptografados e, depois, recriptografados. Essa permissão está incluída na política de chaves padrão.

  • kms: GenerateDataKeyWithoutPlaintext — (Obrigatório) Retorna uma chave de criptografia de dados criptografada sob uma KMS chave. Essa permissão está incluída na política de chaves padrão em kms: GenerateDataKey *.

  • kms: CreateGrant — (Obrigatório) Adiciona uma concessão a uma chave para especificar quem pode usar a chave e sob quais condições. Concessões são mecanismos de permissão alternativos para políticas de chaves. Para obter mais informações sobre concessões, consulte Using grants no Guia do desenvolvedor do AWS Key Management Service .. Essa permissão está incluída na política de chaves padrão.

  • kms: DescribeKey — (Obrigatório) Fornece informações detalhadas sobre a KMS chave especificada. Essa permissão está incluída na política de chaves padrão.

  • kms: ListAliases — (Opcional) Lista todos os aliases de chave na conta. Quando você usa o console para criar um sistema de arquivos criptografado, essa permissão preenche a lista para selecionar a KMS chave. Recomendamos usar essa permissão para proporcionar a melhor experiência do usuário. Essa permissão está incluída na política de chaves padrão.