Uso de claves de AWS KMS para Amazon EFS - Amazon Elastic File System
Políticas de claves de Amazon EFS para AWS KMSEstados de la clave y sus efectos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de claves de AWS KMS para Amazon EFS

Amazon EFS se integra con AWS Key Management Service (AWS KMS) para la gestión de claves. Amazon EFS usa claves maestras de cliente para cifrar el sistema de archivos de la siguiente forma:

  • Cifrado de metadatos en reposo: Amazon EFS utiliza la Clave administrada de AWS para Amazon EFS, aws/elasticfilesystem, para cifrar y descifrar metadatos del sistema de archivos (es decir, nombres de archivo, nombres de directorio y contenido de los directorios).

  • Cifrado de datos de archivos en reposo: elija la clave administrada por el cliente usada para cifrar y descifrar los datos de archivo (es decir, el contenido de los archivos). Puede habilitar, deshabilitar o revocar concesiones en esta clave administrada por el cliente. Esta clave administrada por el cliente puede ser de uno de los dos siguientes tipos:

    • Clave administrada de AWS para Amazon EFS: esta es la clave administrada por el cliente predeterminada, aws/elasticfilesystem. No se le cobrará por crear ni almacenar una clave administrada por el cliente, pero sí por utilizarla. Para obtener más información, consulte Precios de AWS Key Management Service.

    • Clave administrada por el cliente: se trata de la clave del KMS más flexible, ya que puede configurar las políticas de claves y concesiones para varios usuarios o servicios. Para obtener más información acerca de la creación de claves administradas por el cliente, consulte la Creación de claves en la Guía para desarrolladores de AWS Key Management Service.

      Si utiliza una clave administrada por el cliente para el cifrado y descifrado de datos de archivo, puede activar la rotación de claves. Cuando se activa la rotación de claves, AWS KMS rota automáticamente su clave una vez al año. Además, una clave administrada por el cliente le permite elegir el momento en que desea deshabilitar, volver a habilitar, eliminar o revocar el acceso a su clave gestionada por el cliente en cualquier momento. Para obtener más información, consulte Uso de claves de AWS KMS para Amazon EFS.

importante

Amazon EFS solo acepta claves simétricas administradas por el cliente. No puede usar claves asimétricas administradas por el cliente con Amazon EFS.

El cifrado y descifrado de datos en reposo se administran de forma transparente. Sin embargo, los ID de cuenta de AWS específicos de Amazon FSx aparecen en sus registros de AWS CloudTrail relacionados con las acciones de AWS KMS. Para obtener más información, consulte Entradas de archivos de registro de Amazon EFS para sistemas de archivos cifrados en reposo.

Políticas de claves de Amazon EFS para AWS KMS

Las políticas de claves son la forma principal de controlar el acceso a las claves administradas por el cliente. Para obtener más información sobre las políticas de claves, consulte Políticas de claves en AWS KMS en la Guía para desarrolladores de AWS Key Management Service. En la siguiente lista se describen todos los permisos relacionados con AWS KMS que Amazon EFS admite para sistemas de archivos cifrados en reposo:

  • kms:Encrypt - (opcional): cifra texto plano en texto cifrado. Este permiso está incluido en la política de claves predeterminada.

  • kms: Decrypt: (obligatorio) descifra texto cifrado. El texto cifrado es texto no cifrado que se ha cifrado previamente. Este permiso está incluido en la política de claves predeterminada.

  • kms:ReEncrypt: (opcional) cifra datos del lado del servidor con una nueva clave administrada por el cliente, sin exponer el texto no cifrado de los datos en el lado del cliente. Los datos se descifran en primer lugar y luego se vuelven a cifrar. Este permiso está incluido en la política de claves predeterminada.

  • kms:GenerateDataKeyWithoutPlaintext: (obligatorio) devuelve una clave de cifrado de datos cifrada con una clave administrada por el cliente. Este permiso está incluido en la política de claves predeterminada en kms:GenerateDataKey*.

  • kms:CreateGrant: (obligatorio) añade una concesión a una clave para especificar quién puede utilizar la clave y en qué condiciones. Las concesiones son mecanismos de permiso alternativo para las políticas de claves. Para obtener más información sobre las concesiones, consulte Concesiones en AWS KMS en la Guía para desarrolladores de AWS Key Management Service. Este permiso está incluido en la política de claves predeterminada.

  • kms:DescribeKey: (obligatorio) proporciona información detallada acerca de la clave administrada por el cliente especificada. Este permiso está incluido en la política de claves predeterminada.

  • kms:ListAliases: (opcional): muestra todos los alias de clave de la cuenta. Si utiliza la consola para crear un sistema de archivos cifrados, este permiso rellena la lista Seleccionar clave maestra de KMS. Le recomendamos que utilice este permiso para proporcionar la mejor experiencia de usuario. Este permiso está incluido en la política de claves predeterminada.

Clave administrada de AWS para la política de KMS de Amazon EFS

La política JSON de KMS de Clave administrada de AWS para Amazon EFS aws/elasticfilesystem es la siguiente:

{
    "Version": "2012-10-17",		 	 	 
    "Id": "auto-elasticfilesystem-1",
    "Statement": [
        {
            "Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com",
                    "kms:CallerAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "Allow direct access to key metadata to the account",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "kms:Describe*",
                "kms:Get*",
                "kms:List*",
                "kms:RevokeGrant"
            ],
            "Resource": "*"
        }
    ]
}

Estados de la clave y sus efectos

El estado de la clave de KMS afecta directamente al acceso al sistema de archivos cifrados:

Habilitado

Funcionamiento normal: acceso completo de lectura y escritura al sistema de archivos

Deshabilitado

El sistema de archivos se vuelve inaccesible después de un breve período. Se puede volver a habilitar.

Eliminación pendiente

El sistema de archivos se vuelve inaccesible. La eliminación se puede cancelar durante el período de espera.

Deleted (Eliminado)

El sistema de archivos está inaccesible de forma permanente. Esta acción no se puede revertir.

aviso

Si deshabilita o elimina la clave de KMS utilizada para su sistema de archivos, o revoca el acceso de Amazon EFS a la clave, su sistema de archivos se volverá inaccesible. Esto puede provocar la pérdida de datos si no tiene copias de seguridad. Asegúrese siempre de contar con los procedimientos de copia de seguridad adecuados antes de realizar cambios en las claves de cifrado.