用于 Amazon Fargate 临时存储的客户自主管理型密钥 - Amazon Elastic Container Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

用于 Amazon Fargate 临时存储的客户自主管理型密钥

Amazon Fargate 支持使用客户自主管理型密钥来加密存储在临时存储中的 Amazon ECS 任务数据,以帮助监管敏感型客户满足其内部安全政策的需要。客户不仅可以继续享受 Fargate 的无服务器优势,同时还可让合规审计人员更好地了解自行管理的存储加密。尽管 Fargate 默认使用由 Fargate 托管的临时存储加密,但客户在加密财务或健康相关信息等敏感数据时也可以使用自行管理的密钥。

您可以将自己的密钥导入 Amazon KMS 或在 Amazon KMS 中创建密钥。这些自行管理的密钥存储在 Amazon KMS 中并执行标准的 Amazon KMS 生命周期操作,例如轮换、禁用和删除等。您可以利用 CloudTrail 日志来审计密钥访问和使用情况。

默认情况下,每个 KMS 密钥支持 5 万个授权。Fargate 为每个客户自主管理型密钥任务使用单个 Amazon KMS 授权,因此每个密钥最多支持 5 万个并发任务。如果需要增加此上限,您可以申请增加限额,但需要逐一具体审批。

Fargate 不会因使用客户自主管理型密钥而收取额外的费用。您只需按标准价格为用于存储和 API 请求的 Amazon KMS 密钥付费。

主题