Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Datenverschlüsselung in Amazon FSx for Lustre
Amazon FSx for Lustre unterstützt zwei Arten der Verschlüsselung für Dateisysteme: Verschlüsselung von Daten im Ruhezustand und Verschlüsselung bei der Übertragung. Die Verschlüsselung von Daten im Ruhezustand wird automatisch aktiviert, wenn ein FSx Amazon-Dateisystem erstellt wird. Die Verschlüsselung von Daten während der Übertragung wird automatisch aktiviert, wenn Sie von [ EC2Amazon-Instances aus, die diese Funktion unterstützen, auf ein FSx Amazon-Dateisystem](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) zugreifen.
## Verwendung von Verschlüsselung
Wenn Ihr Unternehmen Unternehmens- oder behördlichen Richtlinien unterliegt, die die Verschlüsselung von Daten und Metadaten im Speicher vorschreiben, empfehlen wir, ein verschlüsseltes Dateisystem zu erstellen und Ihr Dateisystem mithilfe der Verschlüsselung von Daten während der Übertragung zu mounten.
Weitere Informationen zum Erstellen eines Dateisystems, das im Ruhezustand mithilfe der Konsole verschlüsselt wird, finden Sie unter [ Erstellen Sie Ihr Amazon FSx for Lustre Dateisystem](getting-started.md#getting-started-step1).
**Topics**
+ [Verwendung von Verschlüsselung](#whenencrypt)
+ [Verschlüsseln von Daten im Ruhezustand](encryption-at-rest.md)
+ [Verschlüsseln von Daten während der Übertragung](encryption-in-transit-fsxl.md)
# Verschlüsseln von Daten im Ruhezustand
Die Verschlüsselung von Daten im Ruhezustand wird automatisch aktiviert, wenn Sie ein Amazon FSx for Lustre Dateisystem über die AWS-Managementkonsole AWS CLI, die oder programmgesteuert über die FSx Amazon-API oder eine der. AWS SDKs Ihr Unternehmen erfordert möglicherweise die Verschlüsselung aller Daten, die einer bestimmten Klassifizierung entsprechen oder zu einer speziellen Anwendung oder Umgebung bzw. zu einem speziellen Workload gehören. Wenn Sie ein persistentes Dateisystem erstellen, können Sie den AWS KMS Schlüssel angeben, mit dem die Daten verschlüsselt werden sollen. Wenn Sie ein Scratch-Dateisystem erstellen, werden die Daten mit von Amazon verwalteten Schlüsseln verschlüsselt FSx. Weitere Informationen zum Erstellen eines Dateisystems, das im Ruhezustand mithilfe der Konsole verschlüsselt wird, finden Sie unter [ Erstellen Sie Ihr Amazon FSx for Lustre Dateisystem](getting-started.md#getting-started-step1).
**Anmerkung**
Die Infrastruktur AWS für die Schlüsselverwaltung verwendet nach den Federal Information Processing Standards (FIPS) 140-2 zugelassene kryptografische Algorithmen. Die Infrastruktur entspricht den Empfehlungen der National Institute of Standards and Technology (NIST) 800-57.
Weitere Informationen zur Verwendung von Lustre finden Sie FSx unter. AWS KMS[Wie Amazon FSx for Lustre verwendet AWS KMS](#FSXKMS)
## Funktionsweise der Verschlüsselung im Ruhezustand
Auf einem verschlüsselten Dateisystem werden Daten und Metadaten automatisch verschlüsselt, bevor sie auf das Dateisystem geschrieben werden. Umgekehrt werden bei Lesevorgängen Daten und Metadaten entschlüsselt, bevor sie an die Anwendung gesendet werden. Diese Prozesse werden transparent abgewickelt von Amazon FSx for Lustre, sodass Sie Ihre Anwendungen nicht ändern müssen.
Amazon FSx for Lustre verwendet den branchenüblichen AES-256-Verschlüsselungsalgorithmus, um ruhende Dateisystemdaten zu verschlüsseln. Weitere Informationen finden Sie unter [Grundlagen der Kryptographie](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html) im *AWS Key Management Service -Entwicklerhandbuch*.
## Wie Amazon FSx for Lustre verwendet AWS KMS
Amazon FSx for Lustre verschlüsselt Daten automatisch, bevor sie in das Dateisystem geschrieben werden, und entschlüsselt Daten automatisch, wenn sie gelesen werden. Daten werden mit einer XTS-AES-256-Blockchiffre verschlüsselt. Alle Scratch FSx for Lustre-Dateisysteme werden im Ruhezustand mit Schlüsseln verschlüsselt, die von verwaltet werden. AWS KMSAmazon FSx for Lustre lässt sich in AWS KMS die Schlüsselverwaltung integrieren. Die Schlüssel, die zur Verschlüsselung von Scratch-Dateisystemen im Ruhezustand verwendet werden, sind für jedes Dateisystem einzigartig und werden nach dem Löschen des Dateisystems vernichtet. Für persistente Dateisysteme wählen Sie den KMS-Schlüssel, der zum Verschlüsseln und Entschlüsseln von Daten verwendet wird. Sie geben an, welcher Schlüssel verwendet werden soll, wenn Sie ein persistentes Dateisystem erstellen. Sie können Zuweisungen für diesen KMS-Schlüssel aktivieren, deaktivieren oder widerrufen. Bei diesem KMS-Schlüssel kann es sich um einen der beiden folgenden Typen handeln:
+ **Von AWS verwalteter Schlüssel für Amazon FSx** — Dies ist der Standard-KMS-Schlüssel. Die Erstellung und Speicherung eines KMS-Schlüssels wird Ihnen nicht in Rechnung gestellt, es fallen jedoch Nutzungsgebühren an. Weitere Informationen finden Sie unter [AWS Key Management Service Preise](https://aws.amazon.com/kms/pricing/).
+ **Kundenverwalteter Schlüssel** – Dies ist der flexibelste KMS-Schlüssel, da Sie seine Schlüsselrichtlinien und Berechtigungen für mehrere Benutzer oder Dienste konfigurieren können. Weitere Informationen zum Erstellen von kundenverwalteten Schlüsseln finden Sie unter [Creating Keys](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) im * AWS Key Management Service Developer Guide.*
Wenn Sie einen vom Kunden verwalteten Schlüssel als KMS-Schlüssel für die Verschlüsselung und Entschlüsselung von Dateidaten verwenden, können Sie die Schlüsselrotation aktivieren. Wenn Sie die Schlüsselrotation aktivieren, AWS KMS wird Ihr Schlüssel automatisch einmal pro Jahr rotiert. Darüber hinaus können Sie bei einem vom Kunden verwalteten Schlüssel (CMK) jederzeit entscheiden, wann Sie den Zugriff auf Ihren vom Kunden verwalteten Schlüssel deaktivieren, wieder aktivieren, löschen oder widerrufen möchten.
**Wichtig**
Amazon FSx akzeptiert nur KMS-Schlüssel mit symmetrischer Verschlüsselung. Sie können keine asymmetrischen KMS-Schlüssel mit Amazon FSx verwenden.
### Die FSx wichtigsten Richtlinien von Amazon für AWS KMS
Schlüsselrichtlinien sind die primäre Methode zur Zugriffssteuerung für KMS-Schlüssel. Weitere Informationen zu den wichtigsten Richtlinien finden Sie [unter Verwenden wichtiger Richtlinien AWS KMS im AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) *Entwicklerhandbuch.*In der folgenden Liste werden alle AWS KMS—bezogenen Berechtigungen beschrieben, die von Amazon FSx für Dateisysteme mit Verschlüsselung im Ruhezustand unterstützt werden:
+ **kms:Encrypt** – (Optional) Verschlüsselt Klartext in Geheimtext. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.
+ **kms:Decrypt** – (Erforderlich) Entschlüsselt Geheimtext. Geheimtext ist Klartext, der zuvor verschlüsselt wurde. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.
+ **kms: ReEncrypt** — (Optional) Verschlüsselt Daten auf der Serverseite mit einem neuen KMS-Schlüssel, ohne den Klartext der Daten auf der Clientseite offenzulegen. Die Daten werden zuerst entschlüsselt und dann neu verschlüsselt. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.
+ **kms: GenerateDataKeyWithoutPlaintext** — (Erforderlich) Gibt einen mit einem KMS-Schlüssel verschlüsselten Datenverschlüsselungsschlüssel zurück. Diese Berechtigung ist in der Standardschlüsselrichtlinie unter **kms: GenerateDataKey \$1** enthalten.
+ **kms: CreateGrant** — (Erforderlich) Fügt einem Schlüssel einen Zuschuss hinzu, um anzugeben, wer den Schlüssel verwenden kann und unter welchen Bedingungen. Erteilungen sind eine alternative Berechtigungsmethode zu Schlüsselrichtlinien. Weitere Informationen zu Zuschüssen finden Sie unter [Verwendung von Zuschüssen](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) im *AWS Key Management Service Entwicklerhandbuch.* Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.
+ **kms: DescribeKey** — (Erforderlich) Stellt detaillierte Informationen zum angegebenen KMS-Schlüssel bereit. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.
+ **kms: ListAliases** — (Optional) Listet alle Schlüsselaliase im Konto auf. Wenn Sie die Konsole verwenden, um ein verschlüsseltes Dateisystem zu erstellen, wird mit dieser Berechtigung die Liste zur Auswahl des KMS-Schlüssels aufgefüllt. Wir empfehlen für eine optimale Benutzererfahrung diese Berechtigung. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.
# Verschlüsseln von Daten während der Übertragung
Scratch 2- und persistente Dateisysteme können Daten während der Übertragung automatisch verschlüsseln, wenn auf das Dateisystem von EC2 Amazon-Instances aus zugegriffen wird, die Verschlüsselung bei der Übertragung unterstützen, sowie für die gesamte Kommunikation zwischen Hosts innerhalb des Dateisystems. Informationen darüber, welche EC2 Instances Verschlüsselung bei der Übertragung unterstützen, finden Sie unter [Verschlüsselung bei der Übertragung im EC2 ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) *Amazon-Benutzerhandbuch*.
Eine Liste der Produkte, AWS-Regionen in denen Amazon FSx for Lustre verfügbar ist, finden Sie unter[Art der Bereitstellung, Verfügbarkeit](using-fsx-lustre.md#persistent-deployment-regions).