Cifrado de datos en reposo - Amazon Elastic File System
Funcionamiento del cifrado en reposoAplicación del cifrado en reposo para los sistemas de archivos nuevos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado de datos en reposo

El cifrado en reposo cifra los datos almacenados en el sistema de archivos de EFS. Esto le ayuda a cumplir los requisitos de conformidad y a proteger la información confidencial del acceso no autorizado. Su organización podría necesitar el cifrado en reposo de todos los datos que cumplan una clasificación específica o que se asocien a una determinada aplicación, carga de trabajo o entorno.

nota

La infraestructura de administración de claves de AWS utiliza algoritmos criptográficos aprobados Federal Information Processing Standards (FIPS) 140-3. La infraestructura se adhiere a las recomendaciones del Instituto Nacional de Normas y Tecnología (NIST) 800-57.

Al crear un sistema de archivos mediante la consola de Amazon EFS, el cifrado en reposo se habilita de forma predeterminada. Al utilizar la AWS CLI, la API o los SDK para crear un sistema de archivos, debe habilitar explícitamente el cifrado.

Una vez creado un sistema de archivos de EFS, no puede cambiar su configuración de cifrado. Esto significa que no puede modificar un sistema de archivos no cifrado para cifrarlo. En su lugar, replique el sistema de archivos para copiar datos del sistema de archivos no cifrado a un nuevo sistema de archivos cifrado. Para obtener más información, consulte ¿Cómo activo el cifrado en reposo para un sistema de archivos de EFS existente?

Funcionamiento del cifrado en reposo

En un sistema de archivos cifrado, los datos y los metadatos se cifran de forma predeterminada antes de guardarlos en el almacenamiento y se descifran automáticamente cuando se leen. Estos procesos los administra Amazon EFS de forma transparente, por lo que no tiene que modificar las aplicaciones.

Amazon EFS usa AWS KMS para la administración de claves de la manera siguiente:

  • Cifrado de datos de archivos: el contenido de los archivos se cifra mediante la clave de KMS que especifique. Puede ser:

    • La Clave propiedad de AWS para Amazon EFS (aws/elasticfilesystem): la opción predeterminada, sin cargos adicionales.

    • Una clave administrada por el cliente que usted crea y administra: proporciona funciones adicionales de control y auditoría.

  • Cifrado de metadatos: los nombres de archivo, los nombres de directorio y el contenido del directorio se cifran con una clave que Amazon EFS administra internamente.

Proceso de cifrado

Cuando se crea un sistema de archivos o se replica en un sistema de archivos de la misma cuenta, Amazon EFS utiliza una sesión de acceso directo (FAS) para realizar llamadas de KMS con las credenciales del autor de la llamada. En los registros de CloudTrail, la llamada de kms:CreateGrant parece realizada por la misma identidad de usuario que creó el sistema de archivos o la replicación. Puede identificar las llamadas al servicio de Amazon EFS en CloudTrail buscando el campo invokedBy con el valor elasticfilesystem.amazonaws.com. La política de recursos de la clave de KMS debe permitir la acción CreateGrant para que FAS realice la llamada.

importante

Usted administra el control de la concesión y puede revocarla en cualquier momento. La revocación de la concesión impide que Amazon EFS acceda a la clave de KMS para futuras operaciones. Para obtener más información, consulte Retiro y revocación de concesiones en la Guía para desarrolladores de AWS Key Management Service.

Cuando se utilizan claves de KMS administradas por el cliente, la política de recursos también debe permitir la entidad principal de servicio de Amazon EFS e incluir la condición kms:ViaService para restringir el acceso al punto de conexión del servicio en cuestión. Por ejemplo:

"kms:ViaService":
    "elasticfilesystem.us-east-2.amazonaws.com"

Amazon EFS utiliza un algoritmo de cifrado AES-256 estándar de la industria para cifrar los datos y metadatos en reposo.

Para obtener más información sobre las políticas de claves de KMS para Amazon EFS, consulte Uso de claves de AWS KMS para Amazon EFS.

Aplicación del cifrado en reposo para los sistemas de archivos nuevos

Puede utilizar la clave de condición de IAM elasticfilesystem:Encrypted en las políticas basadas en la identidad de AWS Identity and Access Management (IAM) para forzar la creación en reposo cuando los usuarios creen sistemas de archivos de EFS. Para obtener más información sobre el uso de la clave de condición, consulte Ejemplo: Aplicación de la creación de sistemas de archivos cifrados.

También puede definir políticas de control de servicio (SCP) en AWS Organizations para aplicar el cifrado de Amazon EFS a todas las Cuentas de AWS de su organización. Para obtener más información acerca de las políticas de control de servicios en AWS Organizations, consulte Políticas de control de servicios en la Guía del usuario de AWS Organizations.