静态数据加密 - Amazon Elastic File System
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

静态数据加密

与未加密的文件系统一样,您可以使用Amazon Web Services Management Console,Amazon CLI,或以编程方式通过亚马逊 EFS API 或Amazon开发工具包。您的组织可能要求加密符合特定分类条件的所有数据,或者加密与特定应用程序、工作负载或环境关联的所有数据。

注意

这些区域有:Amazon密钥管理基础设施使用联邦信息处理标准 (FIPS) 140-2 批准的加密算法。该基础设施符合美国国家标准与技术研究院 (NIST) 800-57 建议。

强制创建静态加密的 Amazon EFS 文件系统

您可以使用elasticfilesystem:Encrypted中的 IAM 条件密钥Amazon Identity and Access Management(IAM) 基于身份的策略,用于控制用户是否可以创建静态加密的 Amazon EFS 文件系统。有关使用条件键的更多信息,请参阅使用 IAM 强制创建加密文件系统

您还可以在Amazon Organizations强制执行 EFS 加密的所有Amazon Web Services 账户组织中的数据。有关服务控制策略的更多信息,请参阅Amazon Organizations,请参阅服务控制策略中的Amazon Organizations用户指南

使用控制台对静态文件系统进行加密

当您使用 Amazon EFS 控制台创建新的文件系统时,静态加密处于启用状态。以下过程说明了从控制台中创建新的文件系统时如何为其启用加密。

注意

默认情况下,当创建新文件系统时,静态加密未启用Amazon CLI、API 和软件开发工具包。有关更多信息,请参阅使用创建文件系统Amazon CLI

使用 EFS 控制台加密新的文件系统

  1. 访问 https://console.aws.amazon.com/efs/,打开 Amazon Elastic File System 控制台。

  2. 选择创建文件系统以打开创建文件系统对话框中。

  3. (可选)输入名称适用于您的文件系统。

  4. 适用于Virtual Private Cloud (VPC),选择您的 VPC,或将其设置为默认 VPC。

  5. 选择Create创建使用以下服务推荐设置的文件系统:

    • 使用 Amazon EFS (aws/elasticfilesystem) 的默认密钥启用静态数据加密。

    • 打开自动备份 — 有关更多信息,请参阅使用Amazon BackupAmazon EFS

    • 装载目标 — Amazon EFS 使用以下设置创建装载目标:

      • 位于创建文件系统的区域中的每个可用区。

      • 位于您选择的 VPC 的默认子网中。

      • 使用 VPC 的默认安全组。您可以在创建文件系统后管理安全组。

      有关更多信息,请参阅管理文件系统网络访问性

    • 通用性能模式 — 有关更多信息,请参阅性能模式

    • 突发吞吐量模式 — 有关更多信息,请参阅吞吐量模式

    • 使用 30 天策略启用生命周期管理 — 有关更多信息,请参阅Amazon EFS 生命周期管理

  6. 这些区域有:文件系统页面上显示一个横幅,显示您创建的文件系统的状态。当文件系统可用时,横幅中将显示一个用于访问文件系统详细信息页面的链接。

    
                显示新创建的文件系统及其配置详细信息的 “文件系统详细信息” 页面。

现在,您具有新的静态加密的文件系统。

静态加密的工作原理

在加密的文件系统中,在将数据和元数据写入到文件系统之前,将自动对其进行加密。同样,在读取数据和元数据时,在将其提供给应用程序之前,将自动对其进行解密。Amazon EFS 透明处理这些过程,因此,您不必修改您的应用程序。

Amazon EFS 使用行业标准 AES-256 加密算法静态加密 EFS 数据和元数据。有关更多信息,请参阅 。加密基础知识中的Amazon Key Management Service开发人员指南

Amazon EFS 如何使用Amazon KMS

Amazon EFS 与Amazon Key Management Service(Amazon KMS)以进行密钥管理。Amazon EFS 使用客户主密钥 (CMK) 通过以下方法加密您的文件系统:

  • 静态加密元数据— 亚马逊 EFS 使用Amazon适用于 Amazon EFS 的托管 CMKaws/elasticfilesystem,以加密和解密文件系统元数据(即,文件名、目录名称和目录内容)。

  • 静态加密文件数据— 您选择用于加密和解密文件数据(即,文件内容)的 CMK。您可以启用、禁用或撤销对该 CMK 的授权。该 CMK 可以是以下两种类型之一:

    • Amazon适用于 Amazon EFS 的托管 CMK— 这是默认的 CMKaws/elasticfilesystem。您无需为创建和存储 CMK 支付费用,但需要支付使用费用。要了解更多信息,请参阅Amazon Key Management Service定价

    • 客户管理的 CMK— 这是使用最灵活的主密钥,因为您可以配置其密钥策略以及为多个用户或服务提供授权。有关创建 CMK 的更多信息,请参阅创建密钥中的 Amazon Key Management Service开发人员指南 的第一个版本。

      如果将客户托管 CMK 作为主密钥以加密和解密文件数据,您可以启用密钥轮换。在启用密钥轮换时,Amazon KMS 自动每年轮换一次您的密钥。此外,对于客户托管 CMK,您可以随时选择何时禁用、重新启用、删除或撤销您的 CMK 的访问权限。有关更多信息,请参阅为文件系统禁用、删除或撤销访问 CMK 的权限

重要

Amazon EFS 仅接受对称 CMK。您不能将非对称 CMK 用于 Amazon EFS。

静态数据加密和解密是透明处理的。然而,Amazon特定于亚马逊 EFS 的账户编号将显示在Amazon CloudTrail相关的日志Amazon KMS操作。有关更多信息,请参阅静态加密的 Amazon EFS 日志文件条目

亚马逊 EFS 关键政策Amazon KMS

密钥策略是控制对 CMK 访问的主要方法。有关密钥策略的更多信息,请参阅使用 中的密钥策略Amazon KMS中的Amazon Key Management Service开发人员指南 的第一个版本。下面的列表介绍了的所有Amazon KMS— Amazon EFS 支持的针对静态加密文件系统的相关权限:

  • kms:Encrypt—(可选)将明文加密为密文。该权限包含在默认密钥策略中。

  • kms:Decrypt—(必需)解密密文。密文是以前加密的明文。该权限包含在默认密钥策略中。

  • KMS: 重新加密—(可选)使用新的客户主密钥 (CMK) 加密服务器端的数据,而不公开客户端的数据明文。将先解密数据,然后重新加密。该权限包含在默认密钥策略中。

  • KMS: 生成数据密钥(带字母)—(必需)返回根据 CMK 加密的数据加密密钥。该权限包含在默认密钥策略中的 kms:GenerateDataKey* 下面。

  • kms:CreateGrant—(必需)为密钥添加授权以指定哪些用户可以在什么条件下使用密钥。授权是密钥策略的替代权限机制。有关授权的更多信息,请参阅使用授权中的Amazon Key Management Service开发人员指南 的第一个版本。该权限包含在默认密钥策略中。

  • kms:DescribeKey—(必需)提供有关指定的客户主密钥的详细信息。该权限包含在默认密钥策略中。

  • kms:ListAliases—(可选)列出账户中的所有密钥别名。在使用控制台创建加密的文件系统时,该权限将填充选择 KMS 主密钥列表。我们建议您使用该权限以提供最佳的用户体验。该权限包含在默认密钥策略中。